Статья 14. Информация, которая должна быть предоставлена, если личные данные не были получены от субъекта данных

 
 

1. Если персональные данные получены не от субъекта данных, то контроллер должен предоставить субъекту данных следующую информацию:

  1. идентификацию и контактную информацию контроллера и, при необходимости, его представителя;
  2. контактные данные специалиста по защите, если допустимо;
  3. цели обработки, для которых предназначены персональные данные, а также юридическое основание для обработки;
  4. категории соответствующих персональных данных;
  5. получатели или категории получателей персональных данных, если таковые имеются;
  6. если применимо – информацию о намерении контроллера отправлять персональные данные третьей стране или международной организации, и информацию о наличии или отсутствии решения Комиссии о достаточности уровня защиты, или в указанных в Статье 46 или 47, или в части второй пункта 1 Статьи 49 случае отправки – ссылку на соответствующие или применимые гарантии и информацию о том, каким образом можно получить копию данных, или о том, где они могут быть доступны.

2. В дополнение к указанной в пункте 1, информации, контроллер предоставляет субъекту данных далее указанную информацию, необходимую для обеспечения честной и обозримой обработки в отношении субъекта данных:

  1. период, в течение которого персональные данные будут храниться, или если это не представляется возможным, то критерии для определения указанного периода;
  2. законные интересы контроллера или третьей стороны, если обработка основывается на подпункте f) пункта 1 статьи 6;
  3. существование права потребовать у контроллера доступ к персональным данным, касающимся субъекта данных, и их исправление или удаление или ограничение обработки или права на возражение против обработки, а также права на переносимость данных;
  4. в случае, если обработка основывается на подпункт a) пункта 1 Статьи 6 или пункт a) пункта 2 Статьи 9 – право в любой момент отозвать согласие, не влияющее на законность обработки, осуществленной до предоставленного отзыва;
  5. право подачи жалобы в надзорное учреждение;
  6. информацию о том, из какого источника получены персональные данные и, если применимо, получены ли данные из публично доступных источников;
  7. наличие системы автоматизированного принятия решения, включая профилирование, указанное в пункте 1 и 4 Статьи 22, и, по меньшей мере, в упомянутых случаях, полноценную информацию о заключённой в ней логике, а также о значимости и предполагаемых последствиях такой обработки для субъекта данных.

3. Контроллер предоставляет в пункте 1 и 2 указанную информацию:

  1. в разумный срок после получения персональных данных, но, самое позднее, в течение месяца, с учётом конкретных условий обработки персональных данных;
  2. если персональные данные предусмотрено использовать для связи с субъектом данных, то самое позднее – во время первого взаимодействия с субъектом данных; или
  3. самое позднее, во время первого распространения персональных данных, если предусмотрено их распространение другому получателю.

4. Если контроллер в дальнейшем намеревается обрабатывать персональные данные в других целях, отличных от целей, для которых персональные данные были собраны, то контроллер до указанной дальнейшей обработки информирует субъект данных об упомянутой иной цели и предоставляет ему всю соответствующую дополнительную информацию, указанную в пункте 2.

5. Пункты 1–4 пункты настоящей статьи применяются, если и поскольку:

  1. в распоряжении субъекта данных уже имеется соответствующая информация;
  2. оказывается, что предоставление указанной информации невозможно или оно требует непропорционально большого усилия, в частности, для обработки в целях архивирования в интересах общества, в целях научных или исторических исследований или в статистических целях, с учётом условий и гарантий, указанных в пункте 1 статьи 89, или, постольку, обязанности, указанные в пункте 1 настоящей статьи, могут сделать не позволить или негативно повлиять на достижение целей указанной обработки. В таких случаях контроллер должен принять соответствующие меры для защиты прав, свобод и законных интересов субъекта данных, включая доведение информации до всеобщего сведения;
  3. получение или распространение информации чётко предусмотрена правовыми актами Союза или государства-члена ЕС, применимыми в отношении контроллера и которые обеспечивают соответствующие меры для защиты законных интересов субъекта данных; или
  4. если персональные данные должны оставаться конфиденциальной информацией, соблюдая обязанность сохранения служебной тайны, регулируемой правовыми актами Союза или государства-члена ЕС, включая установленные уставом обязательство сохранения тайны.

 
 

Наверх