Стаття 34. Повідомлення суб'єкта даних про порушення захисту персональних даних

Якщо порушення захисту персональних даних ймовірно призведе до виникнення високого ризику для прав і свобод фізичних осіб, контролер повинен повідомити суб'єкта даних про порушення захисту персональних даних без необґрунтованої затримки.
Повідомлення суб'єкта даних, вказане в параграфі 1 цієї статті, описує, з використанням чітких і простих формулювань, специфіку порушення захисту персональних даних і містить принаймні інформацію та заходи, вказані в пунктах (b), (c) і (d) статті 33(3).
Повідомлення суб'єкта даних, вказане в параграфі 1, є необов'язковим у разі виконання однієї з наведених нижче вимог:
1. контролер вжив необхідних технічних та організаційних заходів захисту, і такі заходи було застосовано до персональних даних, на які вплинуло порушення захисту персональних даних, зокрема ті, що унеможливлюють розуміння персональних даних будь-якою особою, яка не має дозволу на доступ до них, наприклад, шифрування;
2. контролер вжив наступних заходів, що гарантують, що високий ризик для прав і свобод суб'єктів даних, вказаний у параграфі 1, ймовірно більше не матеріалізується;
3. воно передбачатиме докладання надмірних зусиль. У такому разі замість нього надають публічне повідомлення чи подібний інструмент, за допомогою якого повідомляють суб'єктів даних у рівноцінно дієвий спосіб.
Якщо контролер ще не повідомив суб'єкта даних про порушення захисту персональних даних, наглядовий орган, розглянувши ймовірність спричинення порушенням захисту персональних даних високого ризику, може вимагати зробити це чи може вирішити, що будь-яку з умов, вказаних в параграфі 3, виконано.