一般データ保護規則(GDPR)条項

    第34条

    データ主体に対する個人データ侵害の連絡

    1. (1) 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、その個人データ侵害データ主体に対し、不当な遅滞なく、連絡しなければならない。
    2. (2) 本条第1項で定めるデータ主体に対する連絡は、明確かつ平易な言語でその個人データ侵害の性質を記述し、かつ、少なくとも、第33条第3項(b)(c)及び(d)に規定された情報及び勧告を含める。
    3. (3) 第1項で定めるデータ主体に対する連絡は、以下の条件に合致する場合、これを要しない:
      1. 管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合;
      2. 管理者が、第1項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合;
      3. それが過大な負担を要するような場合。 そのような場合、データ主体が平等に効果的な態様で通知されるような広報又はそれに類する方法に変更される。
    4. (4) もし管理者がまだ個人データ侵害データ主体に連絡していない場合、監督機関は、その個人データ侵害が高いリスクを発生させる可能性を検討した上で、そのようにすべきことを要求でき、又は、第3項で定める要件のいずれに該当するかを判断できる。