Nawigacja
RODO > Artyku艂 13. Informacje podawane w przypadku zbierania danych od osoby, kt贸rej dane dotycz膮
Pobierz jako plik PDF

Artyku艂 13 RODO. Informacje podawane w przypadku zbierania danych od osoby, kt贸rej dane dotycz膮

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

1. Je偶eli dane osobowe osoby, kt贸rej dane dotycz膮, zbierane s膮 od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie nast臋puj膮ce informacje:

1. Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:

Motywy

(60) Zasady rzetelnego i przejrzystego przetwarzania wymagaj膮, by osoba, kt贸rej dane dotycz膮, by艂a informowana o prowadzeniu operacji przetwarzania i o jej celach. Administrator powinien poda膰 osobie, kt贸rej dane dotycz膮, wszelkie inne informacje niezb臋dne do zapewnienia rzetelno艣ci i przejrzysto艣ci przetwarzania, uwzgl臋dniaj膮c konkretne okoliczno艣ci i konkretny kontekst przetwarzania danych osobowych. Ponadto nale偶y poinformowa膰 osob臋, kt贸rej dane dotycz膮, o fakcie profilowania oraz o konsekwencjach takiego profilowania. Je偶eli gromadzi si臋 dane osobowe od osoby, kt贸rej dane dotycz膮, nale偶y j膮 te偶 poinformowa膰, czy ma ona obowi膮zek je poda膰, oraz o konsekwencjach ich niepodania. Informacje te mo偶na przekaza膰 w po艂膮czeniu ze standardowymi znakami graficznymi, kt贸re w widoczny, zrozumia艂y i czytelny spos贸b przedstawi膮 sens zamierzonego przetwarzania. Je偶eli znaki te s膮 przedstawione elektronicznie, powinny nadawa膰 si臋 do odczytu maszynowego.

(60) The principles of fair and transparent processing require that the data subject be informed of the existence of the processing operation and its purposes. The controller should provide the data subject with any further information necessary to ensure fair and transparent processing taking into account the specific circumstances and context in which the personal data are processed. Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling. Where the personal data are collected from the data subject, the data subject should also be informed whether he or she is obliged to provide the personal data and of the consequences, where he or she does not provide such data. That information may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner, a meaningful overview of the intended processing. Where the icons are presented electronically, they should be machine-readable.

Powi膮zane teksty

a) swoj膮 to偶samo艣膰 i dane kontaktowe oraz, gdy ma to zastosowanie, to偶samo艣膰 i dane kontaktowe swojego przedstawiciela;

(a)聽the identity and the contact details of the controller and, where applicable, of the controller’s representative;

Wytyczne & Case Law

b) gdy ma to zastosowanie 鈥 dane kontaktowe inspektora ochrony danych;

(b)聽the contact details of the data protection officer, where applicable;

Wytyczne & Case Law

c) cele przetwarzania danych osobowych, oraz podstaw臋 prawn膮 przetwarzania;

(c)聽the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

Wytyczne & Case Law

d) je偶eli przetwarzanie odbywa si臋 na podstawie art. 6 ust. 1 lit. f) 鈥 prawnie uzasadnione interesy realizowane przez administratora lub przez stron臋 trzeci膮;

(d)聽where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;

Wytyczne & Case Law Powi膮zane teksty

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorc贸w, je偶eli istniej膮;

(e)聽the recipients or categories of recipients of the personal data, if any;

Wytyczne & Case Law Powi膮zane teksty

f) gdy ma to zastosowanie 鈥 informacje o zamiarze przekazania danych osobowych do pa艅stwa trzeciego lub organizacji mi臋dzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisj臋 odpowiedniego stopnia ochrony lub w przypadku przekazania, o kt贸rym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiank臋 o odpowiednich lub w艂a艣ciwych zabezpieczeniach oraz o mo偶liwo艣ciach uzyskania kopii danych lub o miejscu udost臋pnienia danych.

(f)聽where applicable, the fact that the controller intends to transfer personal data to a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article聽46 or 47, or the second subparagraph of Article聽49(1), reference to the appropriate or suitable safeguards and the means by which to obtain a copy of them or where they have been made available.

Wytyczne & Case Law Powi膮zane teksty

2. Poza informacjami, o kt贸rych mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, kt贸rej dane dotycz膮, nast臋puj膮ce inne informacje niezb臋dne do zapewnienia rzetelno艣ci i przejrzysto艣ci przetwarzania:

2. In addition to the information referred to in paragraph 1, the controller shall, at the time when personal data are obtained, provide the data subject with the following further information necessary to ensure fair and transparent processing:

Motywy

(61) Informacje o przetwarzaniu danych osobowych dotycz膮cych osoby, kt贸rej dane dotycz膮, nale偶y przekaza膰 tej osobie w momencie zbierania danych, a je偶eli danych nie uzyskuje si臋 od osoby, kt贸rej dane dotycz膮, lecz z innego 藕r贸d艂a 鈥 w rozs膮dnym terminie, zale偶nie od okoliczno艣ci. Je偶eli dane osobowe mo偶na zgodnie z prawem ujawni膰 innemu odbiorcy, nale偶y poinformowa膰 o tym osob臋, kt贸rej dane dotycz膮, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Je偶eli administrator planuje przetwarza膰 dane osobowe w celu innym ni偶 cel, w kt贸rych dane osobowe zosta艂y zebrane, powinien on przed takim dalszym przetwarzaniem poinformowa膰 osob臋, kt贸rej dane dotycz膮, o tym innym celu oraz dostarczy膰 jej innych niezb臋dnych informacji. Je偶eli osobie, kt贸rej dane dotycz膮, nie mo偶na poda膰 pochodzenia danych osobowych, poniewa偶 korzystano z r贸偶nych 藕r贸de艂, informacje nale偶y przedstawi膰 w spos贸b og贸lny.

(61) The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided.

Powi膮zane teksty

a) okres, przez kt贸ry dane osobowe b臋d膮 przechowywane, a gdy nie jest to mo偶liwe, kryteria ustalania tego okresu;

(a)聽the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law

b) informacje o prawie do 偶膮dania od administratora dost臋pu do danych osobowych dotycz膮cych osoby, kt贸rej dane dotycz膮, ich sprostowania, usuni臋cia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a tak偶e o prawie do przenoszenia danych;

(b)聽the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject or to object to processing as well as the right to data portability;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 13(2)(b) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII. Organizations subject to the legislation and/or regulation of such jurisdictions should ensure that they implement appropriate measures to enable PII principals to exercize this right.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law

c) je偶eli przetwarzanie odbywa si臋 na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) 鈥 informacje o prawie do cofni臋cia zgody w dowolnym momencie bez wp艂ywu na zgodno艣膰 z prawem przetwarzania, kt贸rego dokonano na podstawie zgody przed jej cofni臋ciem;

(c)聽where the processing is based on point (a) of Article 6(1) or point (a) of Article聽9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(c) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

d) informacje o prawie wniesienia skargi do organu nadzorczego;

(d)聽the right to lodge a complaint with a supervisory authority;

Wytyczne & Case Law Powi膮zane teksty

e) informacj臋, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, kt贸rej dane dotycz膮, jest zobowi膮zana do ich podania i jakie s膮 ewentualne konsekwencje niepodania danych;

(e)聽whether the provision of personal data is a statutory or contractual requirement, or a requirement necessary to enter into a contract, as well as whether the data subject is obliged to provide the personal data and of the possible consequences of failure to provide such data;

Wytyczne & Case Law

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o kt贸rym mowa w art. 22 ust. 1 i 4, oraz 鈥 przynajmniej w tych przypadkach 鈥 istotne informacje o zasadach ich podejmowania, a tak偶e o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, kt贸rej dane dotycz膮.

(f)聽the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(f) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.


aby uzyska膰 dost臋p do pe艂nego tekstu

Wytyczne & Case Law Powi膮zane teksty

3. Je偶eli administrator planuje dalej przetwarza膰 dane osobowe w celu innym ni偶 cel, w kt贸rym dane osobowe zosta艂y zebrane, przed takim dalszym przetwarzaniem informuje on osob臋, kt贸rej dane dotycz膮, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o kt贸rych mowa w ust. 2.

3. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were collected, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(3) GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.


aby uzyska膰 dost臋p do pe艂nego tekstu

4. Ust. 1, 2 i 3 nie maj膮 zastosowania, gdy 鈥 i w zakresie, w jakim 鈥 osoba, kt贸rej dane dotycz膮, dysponuje ju偶 tymi informacjami.

4. Paragraphs 1, 2 and 3 shall not apply where and insofar as the data subject already has the information.

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

  • Controller鈥檚 identity
  • Purpose and lawful basis for processing
  • Personal data
  • Transfers of data to third countries
  • Rights
  • Changes (in privacy notices)
  • Form (of information provided)

It looks like this:


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing鈥


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

 


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(61) Informacje o przetwarzaniu danych osobowych dotycz膮cych osoby, kt贸rej dane dotycz膮, nale偶y przekaza膰 tej osobie w momencie zbierania danych, a je偶eli danych nie uzyskuje si臋 od osoby, kt贸rej dane dotycz膮, lecz z innego 藕r贸d艂a 鈥 w rozs膮dnym terminie, zale偶nie od okoliczno艣ci. Je偶eli dane osobowe mo偶na zgodnie z prawem ujawni膰 innemu odbiorcy, nale偶y poinformowa膰 o tym osob臋, kt贸rej dane dotycz膮, w momencie pierwszorazowego ujawnienia danych temu odbiorcy. Je偶eli administrator planuje przetwarza膰 dane osobowe w celu innym ni偶 cel, w kt贸rych dane osobowe zosta艂y zebrane, powinien on przed takim dalszym przetwarzaniem poinformowa膰 osob臋, kt贸rej dane dotycz膮, o tym innym celu oraz dostarczy膰 jej innych niezb臋dnych informacji. Je偶eli osobie, kt贸rej dane dotycz膮, nie mo偶na poda膰 pochodzenia danych osobowych, poniewa偶 korzystano z r贸偶nych 藕r贸de艂, informacje nale偶y przedstawi膰 w spos贸b og贸lny.

(61) The information in relation to the processing of personal data relating to the data subject should be given to him or her at the time of collection from the data subject, or, where the personal data are obtained from another source, within a reasonable period, depending on the circumstances of the case. Where personal data can be legitimately disclosed to another recipient, the data subject should be informed when the personal data are first disclosed to the recipient. Where the controller intends to process the personal data for a purpose other than that for which they were collected, the controller should provide the data subject prior to that further processing with information on that other purpose and other necessary information. Where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided.

(62) Na艂o偶enie obowi膮zku udzielenia informacji nie jest jednak konieczne, je偶eli osoba, kt贸rej dane dotycz膮, dysponuje ju偶 tymi informacjami, je偶eli utrwalenie lub ujawnienie danych s膮 wyra藕nie przewidziane prawem, lub je偶eli poinformowanie osoby, kt贸rej dane dotycz膮, okazuje si臋 niemo偶liwe lub wymaga艂oby niewsp贸艂miernie du偶ego wysi艂ku. Sytuacja braku mo偶liwo艣ci lub niewsp贸艂miernie du偶ego wysi艂ku mo偶e zachodzi膰 w szczeg贸lno艣ci przypadku, gdy przetwarzanie s艂u偶y celom archiwalnym w interesie publicznym, celom bada艅 naukowych lub historycznych lub celom statystycznym. Uwzgl臋dni膰 przy tym nale偶y liczb臋 os贸b, kt贸rych dane dotycz膮, okres przechowywania danych oraz wszelkie przyj臋te odpowiednie zabezpieczenia.

(62) However, it is not necessary to impose the obligation to provide information where the data subject already possesses the information, where the recording or disclosure of the personal data is expressly laid down by law or where the provision of information to the data subject proves to be impossible or would involve a disproportionate effort. The latter could in particular be the case where processing is carried out for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. In that regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration.

(63) Ka偶da osoba fizyczna powinna mie膰 prawo dost臋pu do zebranych danych jej dotycz膮cych oraz powinna mie膰 mo偶liwo艣膰 艂atwego wykonywania tego prawa w rozs膮dnych odst臋pach czasu, by mie膰 艣wiadomo艣膰 przetwarzania i m贸c zweryfikowa膰 zgodno艣膰 przetwarzania z prawem. Obejmuje to prawo dost臋pu os贸b, kt贸rych dane dotycz膮, do danych dotycz膮cych ich zdrowia, na przyk艂ad do danych w dokumentacji medycznej zawieraj膮cej takie informacje, jak diagnoza, wyniki bada艅, oceny dokonywane przez lekarzy prowadz膮cych, stosowane terapie czy przeprowadzone zabiegi. Dlatego te偶 ka偶da osoba, kt贸rej dane dotycz膮, powinna mie膰 prawo do wiedzy i informacji, w szczeg贸lno艣ci w zakresie cel贸w, w jakich dane osobowe s膮 przetwarzane, w miar臋 mo偶liwo艣ci okresu, przez jaki dane osobowe s膮 przetwarzane, odbiorc贸w danych osobowych, za艂o偶e艅 ewentualnego zautomatyzowanego przetwarzania danych osobowych oraz, przynajmniej w przypadku profilowania, konsekwencji takiego przetwarzania. W miar臋 mo偶liwo艣ci administrator powinien mie膰 mo偶liwo艣膰 udzielania zdalnego dost臋pu do bezpiecznego systemu, kt贸ry zapewni osobie, kt贸rej dane dotycz膮, bezpo艣redni dost臋p do jej danych osobowych. Prawo to nie powinno negatywnie wp艂ywa膰 na prawa lub wolno艣ci innych os贸b, w tym tajemnice handlowe lub w艂asno艣膰 intelektualn膮, w szczeg贸lno艣ci na prawa autorskie chroni膮ce oprogramowanie. Wzgl臋dy te nie powinny jednak skutkowa膰 odmow膮 udzielenia osobie, kt贸rej dane dotycz膮, jakichkolwiek informacji. Je偶eli administrator przetwarza du偶e ilo艣ci informacji o osobie, kt贸rej dane dotycz膮, powinien on mie膰 mo偶liwo艣膰 za偶膮dania, przed podaniem informacji, by osoba, kt贸rej dane dotycz膮, sprecyzowa艂a informacje lub czynno艣ci przetwarzania, kt贸rych dotyczy jej 偶膮danie.

(63) A data subject should have the right of access to personal data which have been collected concerning him or her, and to exercise that right easily and at reasonable intervals, in order to be aware of, and verify, the lawfulness of the processing. This includes the right for data subjects to have access to data concerning their health, for example the data in their medical records containing information such as diagnoses, examination results, assessments by treating physicians and any treatment or interventions provided. Every data subject should therefore have the right to know and obtain communication in particular with regard to the purposes for which the personal data are processed, where possible the period for which the personal data are processed, the recipients of the personal data, the logic involved in any automatic personal data processing and, at least when based on profiling, the consequences of such processing. Where possible, the controller should be able to provide remote access to a secure system which would provide the data subject with direct access to his or her personal data. That right should not adversely affect the rights or freedoms of others, including trade secrets or intellectual property and in particular the copyright protecting the software. However, the result of those considerations should not be a refusal to provide all information to the data subject. Where the controller processes a large quantity of information concerning the data subject, the controller should be able to request that, before the information is delivered, the data subject specify the information or processing activities to which the request relates.

Wytyczne & Case Law zostaw komentarz
[js-disqus]