第34条 向数据主体传达个人数据泄露

  1.当个人数据泄露很可能给自然人的权利与自由带来高风险时,控制者应当及时向数据主体传达对个人数据泄露。

  2.本条第1段所规定的向数据主体传达,应当以清晰和平白的语言传达个人数据泄露的性质,并且应当至少包括第33(3)条(b)(c)(d)点所提供的信息与建议。

  3.当满足如下情形之一时,不要求控制者告知数据主体其个人数据被泄露的信息:

  (a)控制者已经采取合适的技术与组织保证措施,并且那些措施已经应用于那些被个人数据泄露所影响的个人数据,特别是已经应用那些使得未被授权访问的个人无法辨识个人数据的措施,例如加密;

  (b)控制者已经采取后续措施,保证第1段所规定的给数据主体的权利与自由带来的高风险不再有实现的可能;

  (c)告知将需要付出不相称的努力。此时,应存在公告机制或类似措施来承担控制者的告知义务,并且与控制者告知相比,这种措施的告知效果应当至少有相同效果。

  4.如果控制者仍然没有将个人数据泄露告知数据主体,监管机构在考虑了个人数据泄露所可能带来的高风险可能性后,可以要求其告知,或者可以认为符合第3段所规定的情形。