Artikkel 13 📖 GDPR. Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt

Artikkel 13 GDPR. Teave, mis tuleb anda juhul, kui isikuandmed on kogutud andmesubjektilt

1. Kui andmesubjektiga seotud isikuandmeid kogutakse andmesubjektilt, teeb vastutav töötleja isikuandmete saamise ajal andmesubjektile teatavaks kogu järgmise teabe:

Põhjendustes Ühendused

Põhjendustes

(60) Õiglase ja läbipaistva töötlemise põhimõte eeldab, et andmesubjekti teavitatakse isikuandmete töötlemise toimingu tegemisest ja selle eesmärkidest. Vastutav töötleja peaks esitama andmesubjektile igasuguse täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks, võttes arvesse isikuandmete töötlemise konkreetseid asjaolusid ja konteksti. Lisaks tuleks andmesubjekti teavitada profiilianalüüsi olemasolust ja sellise analüüsi tagajärgedest. Kui isikuandmeid kogutakse andmesubjektilt, tuleks teda teavitada ka sellest, kas ta on kohustatud isikuandmeid esitama, ja selliste andmete esitamata jätmise tagajärgedest. Sellise teabe võib esitada koos standardsete ikoonidega, et anda kavandatavast töötlemisest selgelt nähtaval, arusaadaval ja loetaval viisil sisuline ülevaade. Kui ikoonid esitatakse elektrooniliselt, peaksid need olema masinloetavad.

Ühendused

a) vastutava töötleja ning kui kohaldatav, siis vastutava töötleja esindaja nimi ja kontaktandmed;

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):

This information should allow for easy identification of the controller and preferably allow for different forms of communications with the data controller (e.g. phone number, email, postal address etc.).

b) asjakohasel juhul andmekaitseametniku kontaktandmed;

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on Data Protection Officers (DPOs) (2017):

The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.

Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances.

[…]

As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.

c) isikuandmete töötlemise eesmärk ja õiguslik alus;

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):

In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified. Where, pursuant to Article 10, personal data relating to criminal convictions and offences or related security measures based on Article 6.1 is processed, where applicable the relevant Union or Member State law under which the processing is carried out should be specified.

d) kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil f, siis teave vastutava töötleja või kolmanda isiku õigustatud huvide kohta;

Suunised & Case Law Ühendused

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The specific interest in question must be identified for the benefit of the data subject. As a matter of best practice, the controller can also provide the data subject with the information from the balancing test, which must be carried out to allow reliance on Article 6.1(f) as a lawful basis for processing, in advance of any collection of data subjects’ personal data. To avoid information fatigue, this can be included within a layered privacy statement/ notice (see paragraph 35). In any case, the WP29 position is that information to the data subject should make it clear that they can obtain information on the balancing test upon request. This is essential for effective transparency where data subjects have doubts as to whether the balancing test has been carried out fairly or they wish to file a complaint with a supervisory authority.

Ühendused

Artikkel 6 GDPR. Isikuandmete töötlemise seaduslikkus

[…]

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

[…]

f) isikuandmete töötlemine on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral, välja arvatud juhul, kui sellise huvi kaaluvad üles andmesubjekti huvid või põhiõigused ja -vabadused, mille nimel tuleb kaitsta isikuandmeid, eriti juhul kui andmesubjekt on laps.

e) asjakohasel juhul teave isikuandmete vastuvõtjate või vastuvõtjate kategooriate kohta,

Suunised & Case Law Ühendused

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The term “recipient” is defined in Article 4.9 as “a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not” [emphasis added]. As such, a recipient does not have to be a third party. Therefore, other data controllers, joint controllers and processors to whom data is transferred or disclosed are covered by the term “recipient” and information on such recipients should be provided in addition to information on third party recipients. The actual (named) recipients of the personal data, or the categories of recipients, must be provided. In accordance with the principle of fairness, controllers must provide information on the recipients that is most meaningful for data subjects. In practice, this will generally be the named recipients, so that data subjects know exactly who has their personal data. If controllers opt to provide the categories of recipients, the information should be as specific as possible by indicating the type of recipient (i.e. by reference to the activities it carries out), the industry, sector and sub-sector and the location of the recipients.

Ühendused

Artikkel 4 GDPR. Mõisted

Mõisted

[…]

9) „vastuvõtja“ – füüsiline või juriidiline isik, avaliku sektori asutus, amet või muu organ, kellele isikuandmed avaldatakse, olenemata sellest, kas tegemist on kolmanda isikuga või mitte. Vastuvõtjaiks ei peeta siiski avaliku sektori asutusi, kes võivad kooskõlas liidu või liikmesriigi õigusega saada isikuandmeid seoses konkreetse päringuga; nimetatud avaliku sektori asutused töötlevad kõnealuseid andmeid kooskõlas kohaldatavate andmekaitsenormidega vastavalt töötlemise eesmärkidele;

[…]

f) asjakohasel juhul teave selle kohta, et vastutav töötleja kavatseb edastada isikuandmed kolmandale riigile või rahvusvahelisele organisatsioonile, ning teave kaitse piisavust käsitleva komisjoni otsuse olemasolu või puudumise kohta või artiklis 46 või 47 või artikli 49 lõike 1 teises lõigus osutatud edastamise korral viide asjakohastele või sobivatele kaitsemeetmetele ja nende koopia saamise viisile või kohale, kus need on tehtud kättesaadavaks.

Suunised & Case Law Ühendused

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The relevant GDPR article permitting the transfer and the corresponding mechanism (e.g. adequacy decision under Article 45/ binding corporate rules under Article 47/ standard data protection clauses under Article 46.2/ derogations and safeguards under Article 49 etc.) should be specified. Information on where and how the relevant document may be accessed or obtained should also be provided e.g. by providing a link to the mechanism used. In accordance with the principle of fairness, the information provided on transfers to third countries should be as meaningful as possible to data subjects; this will generally mean that the third countries be named.

Ühendused

Artikkel 45 GDPR. Edastamine kaitse piisavuse otsuse alusel

Artikkel 47 GDPR. Siduvad kontsernisisesed eeskirjad

Artikkel 46 GDPR. Edastamine asjakohaste kaitsemeetmete kohaldamisel

[…]

2. Lõikes 1 osutatud asjakohased kaitsemeetmed võib ilma järelevalveasutuselt mingit eriluba taotlemata ette näha

b) siduvate kontsernisiseste eeskirjadega vastavalt artiklile 47;

c) komisjoni poolt artikli 93 lõikes 2 osutatud kontrollimenetluse kohaselt vastu võetud standardsete andmekaitseklauslitega;

[…]

Artikkel 49 GDPR. Erandid konkreetsetes olukordades

1. Artikli 45 lõike 3 kohase kaitse piisavuse otsuse või artikli 46 kohaste asjakohaste kaitsemeetmete, sealhulgas siduvate kontsernisiseste eeskirjade puudumise korral võib kolmandale riigile või rahvusvahelisele organisatsioonile isikuandmete ühekordne või korduv edastamine olla lubatud ainult ühel järgmistest tingimustest:

[…]

Kui edastamise aluseks ei saa olla artikli 45 või 46 sätted, sealhulgas siduvaid kontsernisiseseid eeskirju käsitlevad sätted, ning kui ükski käesoleva lõike esimese lõigu kohane konkreetseks olukorraks ette nähtud erand ei ole kohaldatav, võib kolmandale riigile või rahvusvahelisele organisatsioonile andmeid edastada üksnes juhul, kui edastamine ei ole korduv, puudutab ainult piiratud arvu andmesubjekte, on vajalik, et kaitsta vastutava töötleja õigustatud huve, mille suhtes andmesubjekti huvid, õigused või vabadused ei ole ülekaalus ning kui vastutav töötleja on hinnanud kõiki andmete edastamisega seotud asjaolusid ja kehtestanud selle hinnangu põhjal sobivad kaitsemeetmed isikuandmete kaitseks. Vastutav töötleja teatab edastamisest järelevalveasutusele. Lisaks artiklites 13 ja 14 osutatud teabele teavitab vastutav töötleja andmesubjekte edastamisest ja vastutava töötleja poolt kaitstavatest õigustatud huvidest.

[…]

2. Peale lõikes 1 osutatud teabe esitab vastutav töötleja isikuandmete saamise ajal andmesubjektile järgmise täiendava teabe, mis on vajalik õiglase ja läbipaistva töötlemise tagamiseks:

Põhjendustes Ühendused

Põhjendustes

(61) Andmesubjekti isikuandmete töötlemist käsitlev teave tuleks anda talle juhtumi asjaoludest olenevalt kas andmesubjektilt andmete kogumise ajal või mõistliku ajavahemiku jooksul, juhul kui andmeid hangitakse muust allikast. Kui isikuandmeid võib õiguspäraselt avaldada muule vastuvõtjale, tuleks andmesubjekti sellest teavitada andmete esmakordsel avaldamisel. Kui vastutav töötleja kavatseb isikuandmeid töödelda muul eesmärgil kui see, milleks neid koguti, peaks vastutav töötleja esitama andmesubjektile enne andmete edasist töötlemist teabe kõnealuse muu eesmärgi kohta ja muu vajaliku teabe. Kui andmesubjektile ei saa esitada isikuandmete päritolu, sest kasutatud on mitut allikat, tuleks esitada üldteave.

Ühendused

a) isikuandmete säilitamise ajavahemik või, kui see ei ole võimalik, sellise ajavahemiku määramise kriteeriumid;

ISO 27701 Suunised & Case Law

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

…

Logi sisse
terviktekstile juurdepääsuks

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This is linked to the data minimisation requirement in Article 5.1(c) and storage limitation requirement in Article 5.1(e). The storage period (or criteria to determine it) may be dictated by factors such as statutory requirements or industry guidelines but should be phrased in a way that allows the data subject to assess, on the basis of his or her own situation, what the retention period will be for specific data/ purposes. It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

Storage limitation should consider the true needs and the medical relevance (this may include epidemiology-motivated considerations like the incubation period,etc.) and personal data should be kept only for the duration of the COVID-19 crisis. Afterwards,as a general rule,all personal data should be erased or anonymised.

b) teave õiguse kohta taotleda vastutavalt töötlejalt juurdepääsu andmesubjekti puudutavatele isikuandmetele ning nende parandamist või kustutamist või isikuandmete töötlemise piiramist või esitada vastuväide selliste isikuandmete töötlemisele, samuti teave isikuandmete ülekandmise õiguse kohta;

ISO 27701 Suunised & Case Law

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 13(2)(b) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII. Organizations subject to the legislation and/or regulation of such jurisdictions should ensure that they implement appropriate measures to enable PII principals to exercize this right.

…

Logi sisse
terviktekstile juurdepääsuks

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should be specific to the processing scenario and include a summary of what the right involves and how the data subject can take steps to exercise it and any limitations on the right. […] In particular, the right to object to processing must be explicitly brought to the data subject’s attention at the latest at the time of first communication with the data subject and must be presented clearly and separately from any other information.64 In relation to the right to portability, see WP29 Guidelines on the right to data portability.

c) kui isikuandmete töötlemine põhineb artikli 6 lõike 1 punktil a või artikli 9 lõike 2 punktil a, siis teave õiguse kohta nõusolek igal ajal tagasi võtta, ilma et see mõjutaks enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust;

ISO 27701 Suunised & Case Law Ühendused

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(c) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

…

Logi sisse
terviktekstile juurdepääsuks

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should include how consent may be withdrawn, taking into account that it should be as easy for a data subject to withdraw consent as to give it.

Ühendused

Artikkel 6 GDPR. Isikuandmete töötlemise seaduslikkus

Isikuandmete töötlemise seaduslikkus

1. Isikuandmete töötlemine on seaduslik ainult juhul, kui on täidetud vähemalt üks järgmistest tingimustest, ning sellisel määral, nagu see tingimus on täidetud:

a) andmesubjekt on andnud nõusoleku töödelda oma isikuandmeid ühel või mitmel konkreetsel eesmärgil;

[…]

Artikkel 9 GDPR. Isikuandmete eriliikide töötlemine

Isikuandmete eriliikide töötlemine

1. Keelatud on töödelda isikuandmeid, millest ilmneb rassiline või etniline päritolu, poliitilised vaated, usulised või filosoofilised veendumused või ametiühingusse kuulumine, geneetilisi andmeid, füüsilise isiku kordumatuks tuvastamiseks kasutatavaid biomeetrilisi andmeid, terviseandmeid või andmeid füüsilise isiku seksuaalelu ja seksuaalse sättumuse kohta.

2. Lõiget 1 ei kohaldata, kui kehtib üks järgmistest asjaoludest:

a) andmesubjekt on andnud selgesõnalise nõusoleku nende isikuandmete töötlemiseks ühel või mitmel konkreetsel eesmärgil, välja arvatud juhul, kui liidu või liikmesriigi õiguse kohaselt ei saa andmesubjekt lõikes 1 nimetatud keeldu tühistada;

[…]

Artikkel 7 GDPR. Nõusoleku andmise tingimused

Nõusoleku andmise tingimused

[…]

3. Andmesubjektil on õigus oma nõusolek igal ajal tagasi võtta. Nõusoleku tagasivõtmine ei mõjuta enne tagasivõtmist nõusoleku alusel toimunud töötlemise seaduslikkust. Andmesubjekti teavitatakse sellest enne nõusoleku andmist. Nõusoleku tagasivõtmine on sama lihtne kui selle andmine.

[…]

d) teave õiguse kohta esitada kaebus järelevalveasutusele;

Suunised & Case Law Ühendused

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should explain that, in accordance with Article 77, a data subject has the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or of an alleged infringement of the GDPR.

Ühendused

Artikkel 77 GDPR. Õigus esitada järelevalveasutusele kaebus

Õigus esitada järelevalveasutusele kaebus

1. Ilma et see piiraks muude halduslike või õiguslike kaitsevahendite kohaldamist, on igal andmesubjektil õigus esitada kaebus järelevalveasutusele, eelkõige liikmesriigis, kus on tema alaline elukoht, töökoht või väidetava rikkumise toimumiskoht, kui andmesubjekt on seisukohal, et teda puudutavate isikuandmete töötlemine rikub käesolevat määrust.

2. Järelevalveasutus, kellele kaebus esitatakse, teavitab kaebuse esitajat kaebuse menetlemise käigust ja tulemusest, sealhulgas artikli 78 kohasest õiguskaitsevahendi kasutamise võimalusest.

e) teave selle kohta, kas isikuandmete esitamine on õigusaktist või lepingust tulenev kohustus või lepingu sõlmimiseks vajalik nõue, samuti selle kohta, kas andmesubjekt on kohustatud kõnealuseid isikuandmeid esitama, ning selliste andmete esitamata jätmise võimalike tagajärgede kohta, ning

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

For example in an employment context, it may be a contractual requirement to provide certain information to a current or prospective employer. Online forms should clearly identify which fields are “required”, which are not, and what will be the consequences of not filling in the required fields.

f) teave artikli 22 lõigetes 1 ja 4 osutatud automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise kohta ning vähemalt nendel juhtudel sisuline teave kasutatava loogika ja selle kohta, millised on sellise isikuandmete töötlemise tähtsus ja prognoositavad tagajärjed andmesubjekti jaoks.

ISO 27701 Suunised & Case Law Ühendused

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(f) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

…

Logi sisse
terviktekstile juurdepääsuks

Suunised & Case Law

(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01) (2018):

Given the core principle of transparency underpinning the GDPR, controllers must ensure they explain clearly and simply to individuals how the profiling or automated decision-making process works.
In particular, where the processing involves profiling-based decision making (irrespective of whether it is caught by Article 22 provisions), then the fact that the processing is for the purposes of both (a) profiling and (b) making a decision based on the profile generated, must be made clear to the data subject.

Recital 60 states that giving information about profiling is part of the controller’s transparency obligations under Article 5(1) (a). The data subject has a right to be informed by the controller about and, in certain circumstances, a right to object to ‘profiling’, regardless of whether solely automated individual decision-making based on profiling takes place.

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Ühendused

Artikkel 22 GDPR. Automatiseeritud töötlusel põhinevate üksikotsuste tegemine, sealhulgas profiilianalüüs

1. Andmesubjektil on õigus, et tema kohta ei võetaks otsust, mis põhineb üksnes automatiseeritud töötlusel, sealhulgas profiilianalüüsil, mis toob kaasa teda puudutavaid õiguslikke tagajärgi või avaldab talle märkimisväärset mõju.

[…]

4. Lõikes 2 osutatud otsused ei tohi põhineda artikli 9 lõikes 1 osutatud isikuandmete eriliikidel, välja arvatud juhul, kui kohaldatakse artikli 9 lõike 2 punkti a või g ning kehtestatud on asjakohased meetmed andmesubjekti õiguste, vabaduste ja õigustatud huvide kaitsmiseks.

3. Kui vastutav töötleja kavatseb isikuandmeid edasi töödelda muul eesmärgil kui see, milleks isikuandmeid koguti, esitab vastutav töötleja andmesubjektile enne andmete edasist isikuandmete töötlemist teabe kõnealuse muu eesmärgi kohta ja muu asjakohase lõikes 2 osutatud täiendava teabe.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(3) GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

…

Logi sisse
terviktekstile juurdepääsuks

4. Lõikeid 1, 2 ja 3 ei kohaldata, kui ja sel määral mil andmesubjektil on see teave juba olemas.

Isikuandmete kaitse üldmäärus

Ekspertide kommentaar ISO 27701 Põhjendustes Suunised & Case Law Jäta kommentaar

Ekspertide kommentaar

(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

Controller’s identity
Purpose and lawful basis for processing
Personal data
Transfers of data to third countries
Rights
Changes (in privacy notices)
Form (of information provided)

It looks like this:

…

Logi sisse
terviktekstile juurdepääsuks

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…

…

Logi sisse
terviktekstile juurdepääsuks

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

…

Logi sisse
terviktekstile juurdepääsuks

Põhjendustes

(62) Teabe esitamise kohustust ei ole siiski vaja kehtestada juhul, kui andmesubjektil on see teave juba olemas, juhul, kui isikuandmete dokumenteerimine või avaldamine on õigusnormides selgelt sätestatud või kui andmesubjekti teavitamine osutub võimatuks või nõuaks ebaproportsionaalselt suurt jõupingutust. Viimati nimetatu võib osutuda eriti asjakohaseks juhul, kui andmeid töödeldakse avalikes huvides toimuva arhiveerimise, teadus- või ajaloouuringute või statistilisel eesmärgil. Sellisel juhul tuleks arvesse võtta andmesubjektide arvu, andmete vanust ja kõiki asjakohaseid vastuvõetud kaitsemeetmeid.

(63) Selleks et olla töötlemisest teadlik ja kontrollida selle seaduslikkust, peaks andmesubjektil olema õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ja seda õigust lihtsalt ja mõistlike ajavahemike järel kasutada. See hõlmab andmesubjektide õigust tutvuda oma terviseandmetega, näiteks oma tervisekaardile kantud andmetega, mis sisaldab sellist teavet nagu diagnoos, arstliku läbivaatuse tulemus, raviarstide hinnangud ning mis tahes teostatud ravi ja sekkumised. Igal andmesubjektil peaks seega olema õigus teada eelkõige isikuandmete töötlemise eesmärke, võimaluse korral isikuandmete töötlemise ajavahemikku, isikuandmete vastuvõtjaid, isikuandmete automaatse töötlemise loogikat ja sellise töötlemise võimalikke tagajärgi (vähemalt juhul kui töötlemine põhineb profiilianalüüsil) ning saada eelneva kohta teate. Võimaluse korral peaks vastutav töötleja saama anda kaugjuurdepääsu turvalisele süsteemile, kus andmesubjekt saab otse tutvuda oma isikuandmetega. See õigus ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust. Sellise kaalutlemise tulemus ei tohiks aga olla andmesubjektile teabe andmisest keeldumine. Kui vastutav töötleja töötleb suurt hulka andmesubjekti käsitlevat teavet, peaks vastutav töötleja saama paluda, et andmesubjekt täpsustaks enne andmete esitamist, millise teabe või milliste isikuandmete töötlemise toimingutega taotlus seotud on.

Suunised & Case Law

(EN)