GDPR 規則 (EU) 2016/679

第34条

データ主体に対する個人データ侵害の連絡

  1. (1) 個人データ侵害が自然人の権利及び自由に対する高いリスクを発生させる可能性がある場合、管理者は、そのデータ主体に対し、不当な遅滞なく、その個人データ侵害を連絡しなければならない。
  2. (2) 本条第 1 項で定める示すデータ主体に対する連絡は、明確かつ平易な言語でその個人データ侵害の性質を記述し、かつ、少なくとも、第33 条第 3 項(b)、第33条第3項、(c)及び第33条第3項、(d)に規定された情報及び勧告を含める。
  3. (3) 第 1 項で定めるデータ主体に対する連絡は、以下の条件に合致する場合、これを要しない:
    1. 管理者が適切な技術上及び組織上の保護措置を実装しており、かつ、当該措置、特に、暗号化のような、データに対するアクセスが承認されていない者にはその個人データを識別できないようにする措置が、個人データ侵害によって害を受けた個人データに対して適用されていた場合;
    2. 管理者が、第 1 項で定めるデータ主体の権利及び自由に対する高いリスクが具体化しないようにすることを確保する事後的な措置を講じた場合;又は、
    3. それが過大な負担を要するような場合。そのような場合、データ主体が平等に効果的な態様で通知されるような広報又はそれに類する方法に変更される。
  4. (4) 管理者がデータ主体に対して個人データ侵害をまだ通知をしていない場合、監督機関は、その個人データ侵害が高いリスクを発生させる可能性を検討した上で、その管理者に対し、そのようにすべきことを要求でき、又は、第 3 項で定める要件のいずれに該当するかを判断できる。