據報道，國泰航空2018年3月發現系統異常，5月留意到有客戶數據外泄，但24日晚才通過香港聯交所公布。香港信息科技商會信息保安召集人范健文稱，歐盟2018年5月實施《一般數據保護條例》(GDPR)，訂明若歐盟公民的資料外泄，涉事公司需在72小時內通報事件，否則會被罰款。范健文認為，本次事件必定牽涉歐盟公民，國泰或已違反GDPR。按條例最高可罰公司去年全球總收入的4%，或2000萬歐元(約1.8億元港幣)，以價高者為準，若以國泰航空去年總收入972.84億元港幣計算，罰款或高達38.9億元港幣。

國泰航空25日向受影響旅客發電子郵件表示，將為他們提供1年的免費個人信息監測服務，可以在互聯網上公開的位置如網頁、討論區、網志以至非公開的位置，都可監測相關的個人資料是否有被披露。使用有關服務屬自愿性質，旅客可決定何種資料需交由有關服務監測，也只會用于以上用途。此外，電子郵件提醒旅客最好不時更換帳戶密碼，以及查看是否有可疑活動，并對詐騙行為時刻保持警覺。

國泰航空顧客及商務總裁盧家培25日稱，相信事件沒有令客戶造成財產損失，強調國泰航空關心事件對乘客的影響，感到抱歉之余也完全沒有隱瞞。而國泰航空已堵住保安漏洞，目前沒有證據顯示在3月后有其他入侵。盧家培表示，過半外泄數據涉及姓名及電話號碼或電子郵件，其他外泄數據并不包括會員帳戶密碼，而涉及的430張信用卡資料中，有93%逾期，剩下的資料也不完備，因而相信事件沒有令客戶造成財產上的損失。

盧家培表示，多月后才發放訊息，是希望掌握更多情況及避免造成“不必要的恐慌”。國泰航空行政總裁何杲25日也錄制短片及向客戶發電子郵件致歉。國泰航空表示，已就事件通知個人資料私隱專員公署及報警。香港警方25日晚稱，已接獲案件，暫列為“有犯罪或不誠實意圖而取用電腦”，會交由網絡安全及科技罪案調查科跟進。

私隱專員黃繼兒表示，香港現在出現資料外泄事故通報只屬自愿性質，即使國泰航空不通報，在香港法律上也難指其違規。他稱，公署會對保安程序作循規審查，并認為國泰航空的做法在道德層面上導致顧客有期望落差，“在道德責任來說，一發覺有異?；顒?、有不妥，便應立即通知”。