- (1) 個人データの侵害が発生した場合、管理者は、その個人データ侵害が自然人の権利及び自由に対するリスクを発生させるおそれがない場合を除き、不当な遅滞なく、かつ、それが実施可能なときは、その侵害に気づいた時から遅くとも72時間以内に、第55条に従って所轄の監督機関に対し、その個人データ侵害を通知しなければならない。 監督機関に対する通知が72時間以内に行われない場合、その通知は、その遅延の理由を付さなければならない。
- (2) 処理者は、個人データ侵害に気づいた後、不当な遅滞なく、管理者に対して通知しなければならない。
- (3) 第1項で定める通知は、少なくとも、以下のとおりとする:
- (4) 同時に情報を提供できない場合、その範囲内において、その情報は、更なる不当な遅滞なく、その状況に応じて提供できる。
- (5) 管理者は、その個人データ侵害と関連する事実関係、その影響及び講じられた救済措置を含め、全ての個人データ侵害を文書化しなければならない。 その文書は、本条の遵守を検証するために、監督機関が利用できるものとしなければならない。
一般データ保護規則(GDPR)条項
第33条