Перейти до змісту

ГЛАВА ІІІ. Права суб'єкта даних

Секція 2. Інформація та доступ до персональних даних

Стаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта даних

  1. Якщо персональні дані було отримано не від суб'єкта даних, контролер повинен надати суб'єкту даних інформацію, а саме про:
    1. особу та контактні дані контролера та, за необхідності, представника контролера;
    2. контактні дані співробітника з питань захисту даних, за необхідності;
    3. цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
    4. категорії відповідних персональних даних;
    5. одержувачі чи категорії одержувачів персональних даних, за наявності;
    6. за необхідності, про те, що контролер прагне передати персональні дані до одержувача в третій країні чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), - зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
  2. Крім інформації, зазначеної в параграфі 1, контролер повинен надати суб'єкту даних інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, що стосується суб'єкта даних, а саме про:
    1. період зберігання персональних даних, або, якщо це неможливо, - критерії визначення такого періоду;
    2. якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси контролера або третьої сторони;
    3. існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб'єкта даних і на заперечення опрацювання, а також права на мобільність даних;
    4. якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), - існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що ґрунтувалося на згоді до її відкликання;
    5. право подавати скаргу до наглядового органу;
    6. те, з якого джерела походять персональні дані, та, за необхідності, про те, чи надійшли вони з джерел, доступних для громадськості;
    7. наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
  3. Контролер повинен надати інформацію, вказану в параграфах 1 та 2:
    1. у розумний строк після отримання персональних даних, але щонайменше протягом одного місяця, враховуючи конкретні обставини, за яких опрацьовують персональні дані;
    2. якщо персональні дані необхідно використати для спілкування з суб'єктом даних, - принаймні в момент першого повідомлення такому суб'єкту даних; або,
    3. якщо передбачається розкриття іншому одержувачу, - принаймні під час першого розкриття персональних даних.
  4. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб'єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
  5. Параграфи 1-4 не застосовують, якщо і оскільки:
    1. суб'єкт даних уже володіє інформацією;
    2. надання такої інформації стає неможливим чи викликало б несумісні наслідки, зокрема, для опрацювання задля досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілях, із урахуванням умов і гарантій, зазначених у статті 89(1) або доки обов'язок, вказаний у параграфі 1 цієї статті, ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання. У таких ситуаціях контролер повинен вжити необхідних заходів для захисту прав і свобод та законних інтересів суб'єкта даних, у тому числі, оприлюднення інформації;
    3. отримання чи розкриття прямо передбачено законодавством Союзу або держави-члена, яке поширюється на контролера та яким передбачено необхідні заходи для захисту законних інтересів суб'єкта даних; або
    4. якщо персональні дані необхідно залишати в таємниці відповідно до обов'язку збереження професійної таємниці, що регулюється законодавством Союзу або держави-члена, в тому числі, статутний обов'язок збереження таємниці.