欧盟GDPR（又称《通用数据保护条例》）的保护对象限定为个人数据。因此类数据的数据主体往往为不具备数据处理专业知识的自然人，故而在数据处理过程中也更容易受到侵犯。其中，个人数据在数据处理过程中的泄露就是一个不容忽视的问题。欧盟GDPR为更好地保护个人数据，明确了传达个人数据泄露的必要性。其中，主要包括向数据主体传达以及向监管机构报告两种情形。

在此两种情形中，报告的义务承担方均为数据控制者。

数据主体作为与个人数据最密切相关的存在，个人数据一旦泄露，就意味着数据主体的自身合法权益受到侵犯的风险激增。相较于数据控制者及数据处理者而言，作为数据主体的自然人也是最有动力维护个人数据安全性的存在。因此，欧盟GDPR除在条例中赋予了数据主体诸多权利之外，还在传达个人数据泄露中明确了数据控制者及处理者向数据主体传达泄露信息的要求。

根据欧盟GDPR规定，数据控制者在可行的情况下，必须在个人数据泄露事件发生后的72小时以内向个人数据主体传达其个人数据遭到泄露的消息。若确实因客观情况无法及时传达的，数据控制者必须在不可抗力消失后的第一时间内向个人数据主体传递信息，同时也必须说明不能及时告知的原因。当然，若数据处理者先于数据控制者发现了个人数据泄露的情形，其必须及时将相关情况告知数据控制者，再由数据控制者将该泄露的具体情形转告数据主体。其告知的内容必须包括，该次泄露的性质、可能造成的严重后果、数据保护官的姓名及联系方式、控制者针对此次个人数据泄露事件已经采取的解决措施等。

当然，欧盟GDPR也明确了向数据主体传达个人数据泄露的例外情形，即数据控制者在特殊情形下可以不将该个人数据泄露的相关事项告知数据主体。

此类特殊情形包括：

第一种，数据控制者已经采取了恰当的技术措施来确保遭到泄露的个人数据的数据主体不会因此次泄露事件而遭受合法权益的损失。此类措施包括通过加密的方式防止个人数据主体的身份被确认等。

第二种是数据控制者已经采取了充分的措施保证跟人数据泄露的风险不会存在，也即所谓的保证了个人数据的绝对安全。

第三种是指，在向数据主体进行个人数据泄露告知的情形下，需要付出与其获得的预期收益不相称的努力，则数据控制者可以不再向数据主体进行告知。

若数据控制者自认为其基于前述三个条件，未就个人数据泄露事件向数据主体进行告知，但在监管机构要求的情形下，数据控制者必须就该相关内容向数据主体进行告知。换言之，数据控制者基于特殊情形而自行判断不告知数据主体相关泄露事件的情形并非完全由数据控制者自行决定，数据监督管理机构事实上扮演着二次审核的角色，以通过双重保障来促进个人数据主体处理活动水平的不断提高。

对于传达个人数据泄露来说，欧盟GDPR规定的向数据主体进行传达的方式十分有效地为数据控制者及处理者提供了有力的监督，促进其更好地履行职责。

严正声明：本文章内容为佑碧艾商务咨询（上海）有限公司（以下简称LEB）原创作品，LEB对该作品享有全部著作权。欢迎转发，如需以任何形式转载请注明作品出处及标注作者（LEB）署名，违者将承担相应法律责任。特此声明。