Navigáció
GDPR > Artikolu 13. Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data
Letöltés PDF

Artikolu 13 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data

1. Fejn data personali relatata ma’ suġġett tad-data tinġabar mingħand is-suġġett tad-data, il-kontrollur għandu, fil-ħin li tinkiseb id-data personali, jipprovdi l-informazzjoni kollha li ġejja lis-suġġett tad-data:

Preambulumbekezdése

(60) Il-prinċipji ta' pproċessar ġust u trasparenti jeħtieġu li s-suġġett tad-data jkun informat bl-eżistenza tal-attività tal-ipproċessar u l-għanijiet tagħha. Il-kontrollur għandu jipprovdi lis-suġġett tad-data bi kwalunkwe informazzjoni ulterjuri li tkun meħtieġa biex jiġi żgurat ipproċessar ġust u trasparenti b'kont meħud taċ-ċirkostanzi speċifiċi u l-kuntest li fih tiġi pproċessata d-data personali. Barra minn hekk, is-suġġett tad-data għandu jkun informat bl-eżistenza tat-tfassil tal-profil, u l-konsegwenzi ta' dan it-tfassil tal-profil. Fejn id-data personali tinġabar mis-suġġett tad-data, is-suġġett tad-data għandu jiġi infurmat ukoll dwar jekk hux obbligat jipprovdi d-data personali u dwar il-konsegwenzi, fejn huwa ma jipprovdix tali data. Dik l-informazzjoni tista' tingħata flimkien ma' ikoni standardizzati sabiex tingħata ħarsa ġenerali lejn l-ipproċessar intenzjonat b'mod li jidher faċilment, li jinftiehem u li jinqara sew. Fejn l-ikoni jkunu ppreżentati b'mod elettroniku, dawn għandhom ikunu jistgħu jinqraw minn magna.

Kapcsolatok

(a) l-identità u d-dettalji ta’ kuntatt tal-kontrollur u, fejn applikabbli, tar-rappreżentant tal-kontrollur;

Irányelvek & Case Law

(b) id-dettalji ta’ kuntatt tal-uffiċjal tal-protezzjoni tad-data, fejn applikabbli;

Irányelvek & Case Law

(c) l-għanijiet tal-ipproċessar li għalihom hija maħsuba d-data personali kif ukoll il-bażi legali għall-ipproċessar;

Irányelvek & Case Law

(d) fejn l-ipproċessar ikun ibbażat fuq il-punt (f) tal-Artikolu 6(1), l-interessi leġittimi segwiti mill-kontrollur jew minn parti terza;

Irányelvek & Case Law Kapcsolatok

(e) ir-riċevituri jew il-kategoriji ta’ riċevituri tad-data personali, jekk jeżistu;

Irányelvek & Case Law Kapcsolatok

(f) fejn applikabbli, il-fatt li l-kontrollur għandu l-ħsieb li jittrasferixxi data personali lejn pajjiż terz jew organizzazzjoni internazzjonali u l-eżistenza jew l-assenza ta’ deċiżjoni ta’ adegwatezza mill-Kummissjoni, jew fil-każ ta’ trasferimenti msemmija fl-Artikolu 46 jew 47, jew it-tieni subparagrafu tal-Artikolu 49(1), referenza għas-salvagwardji xierqa jew adatti u l-mezzi li bihom tinkiseb kopja tagħhom jew fejn dawn ikunu saru disponibbli.

Irányelvek & Case Law Kapcsolatok

2. Minbarra l-informazzjoni msemmija fil-paragrafu 1, il-kontrollur għandu, meta tinkiseb id-data personali, jipprovdi lis-suġġett tad-data l-informazzjoni ulterjuri li ġejja meħtieġa biex jiġi żgurat ipproċessar ġust u trasparenti:

Preambulumbekezdése

(61) L-informazzjoni fir-rigward tal-ipproċessar ta' data personali relatata mas-suġġett tad-data għandha tingħatalu meta tinġabar mis-suġġett tad-data, jew, fejn id-data personali tinkiseb minn sors ieħor, f'perijodu ta' żmien raġonevoli, skont iċ-ċirkostanzi tal-każ. Fejn id-data personali tista' tkun żvelata b'mod leġittimu lil riċevitur ieħor, is-suġġett tad-data għandu jkun informat meta d-data personali tkun żvelata għall-ewwel darba lir-riċevitur. Fejn il-kontrollur jkollu l-intenzjoni li jipproċessa d-data personali għal fini differenti minn dak li għalih tkun inġabret, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b'informazzjoni dwar dak il-fini l-ieħor u informazzjoni meħtieġa oħra. Fejn il-oriġini tad-data personali ma setgħetx tingħata lis-suġġett tad-data peress li jkunu intużaw diversi sorsi, għandha tingħata informazzjoni ġenerali.

Kapcsolatok

(a) il-perijodu li matulu d-data personali tkun ser tinħażen, jew jekk dak ma jkunx possibbli, il-kriterji użati biex jiġi ddeterminat dak il-perijodu;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

(EN) […]


to read the full text

Irányelvek & Case Law

(b) l-eżistenza tad-dritt li jitlob mingħand il-kontrollur aċċess jew rettifika jew tħassir ta’ data personali jew restrizzjoni tal-ipproċessar rigward is-suġġett tad-data jew li joġġezzjona għall-ipproċessar kif ukoll id-dritt għall-portabbiltà tad-data;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 13(2)(b) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII. Organizations subject to the legislation and/or regulation of such jurisdictions should ensure that they implement appropriate measures to enable PII principals to exercize this right.

(EN) […]


to read the full text

Irányelvek & Case Law

(c) fejn l-ipproċessar ikun ibbażat fuq il-punt (a) tal-Artikolu 6(1) jew il-punt (a) tal-Artikolu 9(2), l-eżistenza tad-dritt li jiġi irtirat il-kunsens fi kwalunkwe ħin, mingħajr ma tiġi affettwata l-legalità tal-ipproċessar abbażi ta’ kunsens qabel l-irtirar tiegħu;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(c) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

(EN) […]


to read the full text

Irányelvek & Case Law Kapcsolatok

(d) id-dritt li jitressaq ilment quddiem awtorità superviżorja;

Irányelvek & Case Law Kapcsolatok

(e) jekk il-forniment ta’ data personali huwiex rekwiżit statutorju jew kuntrattwali, jew rekwiżit meħtieġ biex wieħed jidħol f’kuntratt, kif ukoll jekk is-suġġett tad-data huwiex obbligat jipprovdi d-data personali u l-konsegwenzi possibbli meta wieħed jonqos milli jipprovdi tali data;

Irányelvek & Case Law

(f) l-eżistenza ta’ teħid awtomatizzat ta’ deċiżjonijiet inkluż it-tfassil ta’ profili msemmi fl-Artikolu 22(1) u (4) u għall-inqas f’dawk il-każijiet, l-informazzjoni importanti dwar il-loġika involuta, kif ukoll is-sinifikat u l-konsegwenzi previsti ta’ tali pproċessar għas-suġġett tad-data.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(f) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

(EN) […]


to read the full text

Irányelvek & Case Law Kapcsolatok

3. Fejn il-kontrollur ikollu l-intenzjoni li jipproċessa d-data personali ulterjorment għal fini differenti minn dak li għalih tkun inġabret id-data personali, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b’informazzjoni dwar dak il-fini l-ieħor u kwalunkwe informazzjoni ulterjuri rilevanti kif imsemmi fil-paragrafu 2.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(3) GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

(EN) […]


to read the full text

4. Il-paragrafi 1, 2 u 3 ma għandhomx japplikaw meta u sa fejn is-suġġett tad-data diġà jkollu l-informazzjoni.

Szakértői kommentár ISO 27701 Preambulumbekezdése Irányelvek & Case Law Szólj hozzá
Szakértői kommentár

(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

  • Controller’s identity
  • Purpose and lawful basis for processing
  • Personal data
  • Transfers of data to third countries
  • Rights
  • Changes (in privacy notices)
  • Form (of information provided)

It looks like this:

(EN) […]


to read the full text

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

 

(EN) […]


to read the full text

Preambulumbekezdése

(61) L-informazzjoni fir-rigward tal-ipproċessar ta' data personali relatata mas-suġġett tad-data għandha tingħatalu meta tinġabar mis-suġġett tad-data, jew, fejn id-data personali tinkiseb minn sors ieħor, f'perijodu ta' żmien raġonevoli, skont iċ-ċirkostanzi tal-każ. Fejn id-data personali tista' tkun żvelata b'mod leġittimu lil riċevitur ieħor, is-suġġett tad-data għandu jkun informat meta d-data personali tkun żvelata għall-ewwel darba lir-riċevitur. Fejn il-kontrollur jkollu l-intenzjoni li jipproċessa d-data personali għal fini differenti minn dak li għalih tkun inġabret, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b'informazzjoni dwar dak il-fini l-ieħor u informazzjoni meħtieġa oħra. Fejn il-oriġini tad-data personali ma setgħetx tingħata lis-suġġett tad-data peress li jkunu intużaw diversi sorsi, għandha tingħata informazzjoni ġenerali.

(62) Madankollu, mhuwiex meħtieġ li l-obbligu li tiġi provduta informazzjoni jiġi impost fejn is-suġġett tad-data diġà jkollu l-informazzjoni, fejn ir-reġistrazzjoni jew l-iżvelar tad-data personali tkun espressament stabbilita bil-liġi, jew fejn l-għoti tal-informazzjoni lis-suġġett tad-data tirriżulta impossibbli jew tinvolvi sforz sproporzjonat. Dan tal-aħħar jista' jkun il-każ partikolarment fejn l-ipproċessar isir għal finijiet ta' arkivjar fl-interess pubbliku, għal finijiet ta' riċerka xjentifika jew storika jew għal finijiet ta' statistika. F'dak ir-rigward, għandhom jiġu kkunsidrati l-għadd ta' suġġetti tad-data, l-età tad-data, u kwalunkwe salvagwardja adatta adottati.

(63) Suġġett tad-data għandu jkollu d-dritt ta' aċċess għal data li tkun inġabret dwaru, u li jeżerċita dak id-dritt faċilment u f'intervalli raġonevoli, sabiex ikun jaf dwar, u jivverifika, il-legalità tal-ipproċessar. Dan jinkludi d-dritt tas-suġġetti tad-data li jkollhom aċċess għad-data dwar saħħithom, pereżempju d-data fir-reġistri mediċi tagħhom li jkun fihom informazzjoni bħal dijanjosi, riżultati ta' eżamijiet, valutazzjonijiet mit-tobba li qed jittrattawhom u kwalunkwe kura jew intervent ipprovdut. Kull suġġett tad-data għandu għalhekk ikollu d-dritt li jkun jaf u jikseb komunikazzjoni b'mod partikolari fir-rigward tal-għanijiet li għalihom tkun qiegħda tiġi pproċessata d-data personali, fejn possibbli il-perijodu li għalih id-data personali tiġi pproċessata, ir-riċevituri tad-data personali, il-loġika involuta fi kwalunkwe pproċessar awtomatiku tad-data personali u, għallinqas meta bbażata fuq it-tfassil ta' profili, il-konsegwenzi ta' dan l-ipproċessar. Fejn possibbli, il-kontrollur għandu jkun jista' jipprovdi aċċess mill-bogħod għal sistema sikura li tipprovdi lis-suġġett tad-data b'aċċess dirett għad-data personali tiegħu. Dak id-dritt ma għandux jaffettwa negattivament id-drittijiet jew il-libertajiet ta' persuni oħrajn, inklużi sigrieti tan-negozju jew proprjetà intellettwali u b'mod partikolari d-dritt tal-awtur li jipproteġi s-software. Madankollu, ir-riżultat ta' dawn il-kunsiderazzjonijiet m'għandux ikun rifjut li tiġi provduta l-informazzjoni kollha lis-suġġett tad-data. Fejn il-kontrollur jipproċessa kwantità kbira ta' informazzjoni rigward is-suġġett tad-data, il-kontrollur għandu jkun jista' jitlob li qabel ma tingħata din l-informazzjoni, is-suġġett tad-data jispeċifika l-informazzjoni jew l-attivitajiet ta' pproċessar li għalihom tkun tirreferi t-talba.

Irányelvek & Case Law Szólj hozzá
[js-disqus]