1. Если относящиеся к субъекту данных персональные данные собирают у субъекта данных, то контроллер во время получения персональных данных должен предоставлять субъекту данных следующую информацию:
- идентификацию и контактную информацию контроллера и, при необходимости, его представителя;
- в соответствующем случае – контактные данные специалиста по защите;
- цели обработки, для которых предназначаются персональные данные, а также юридическое основание для обработки;
- законные интересы контроллера или третьей стороны, если обработка основывается на подпункт f) пункта 1, Статьи 6;
- получатели персональных данных или категории получателей, если таковые имеются;
- в соответствующем случае, – информацию о намерении контроллера отправить персональные данные третьей стране или международной организации, и информацию о наличии или отсутствии решения Комиссии о достаточности уровня защиты, или в указанных в Статье 46 или 47, или в части второй пункта 1 Статьи 49 случае отправки – ссылку на соответствующие или применимые гарантии и информацию о том, каким образом можно получить копию данных, или о том, где они могут быть доступны;
2. В дополнение к указанной в пункте 1, информации, контроллер во время получения персональных данных предоставляет субъекту данных следующую дополнительную информацию, необходимую для обеспечения честной и обозримой обработки:
- период, в течение которого будут храниться персональные данные, или если это не представляется возможным, то критерии для определения указанного периода;
- существование права потребовать у контроллера доступ к персональным данным субъекта данных и их исправление или удаление, или ограничение обработки в отношении субъекта данных, или права на возражение против обработки, а также права на переносимость данных;
- в случае, если обработка основывается на подпункт a) пункта 1 Статьи 6 или пункт a) пункта 2 Статьи 9 – право в любой момент отозвать согласие, без воздействия на законность такой обработки, основанной на согласии до предоставленного отзыва;
- право подачи жалобы в надзорное учреждение;
- Информацию является ли требование предоставления персональных данных уставным или контрактным требованием, или требование предоставления персональных данных является необходимым для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и возможные последствия отказа предоставить такие данные;
- наличие системы автоматизированного принятия решения, включая профилирование, указанное в пункте 1 и 4 Статьи 22, и по крайней мере в этих случаях, полноценную информацию о логике работы этой системы, а также о значимости и предполагаемых последствиях такой обработки для субъекта данных.
3. Если контроллер в дальнейшем вознамерится обрабатывать персональные данные в целях, отличных тех целей, для которых персональные данные были собраны, то контроллер до указанной дальнейшей обработки информирует субъект данных о цели будущей обработки и предоставляет ему всю соответствующую дополнительную информацию, согласно пункту 2.
4. Пункты 1, 2 и 3 не применяются, если и поскольку субъект данных уже располагает соответствующей информацией.