Article 13 📖 GDPR. Information to be provided where personal data are collected from the data subject

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

1. Если персональные данные субъекта данных предоставляются субъектом данных, контролёр в момент получения персональных данных должен предоставить субъекту данных следующую информацию:

Recitals Related

Recitals

(60) Принципы беспристрастной и прозрачной обработки требуют, чтобы субъект данных был проинформирован о наличии процесса обработки и его целях. Контролёр должен предоставить субъекту данных всю дополнительную информацию, необходимую для обеспечения беспристрастной и прозрачной обработки, принимая во внимание конкретные обстоятельства и условия обработки. Кроме того, субъект данных должен быть проинформирован об осуществлении профилирования и его последствиях. Если персональные данные получены от субъекта данных, он также должен быть проинформирован о том, обязан ли он предоставлять персональные данные, а также о последствиях их непредставления. Указанная информация может предоставляться совместно со стандартизированными графическими обозначениями, для того чтобы в наглядной, понятной и чёткой форме дать общее представление о предполагаемой обработке. Если графические обозначения представлены в электронной форме, они должны быть машиночитаемы.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Сроки предоставления информации

Статьи 13 и 14 закрепляют информацию, которую должна быть предоставлена субъекту данных на начальном этапе процесса обработки. Статья 13 применяет в том случае, когда данные собираются у субъекта данных, включая персональные данные, которые: • субъект данных сознательно предоставляет контролеру данных (например, при заполнении онлайн-формы); или • контролер данных собирает у субъекта данных (например, с помощью устройств автоматического сбора данных или программного обеспечения для сбора данных, таких как камеры, сетевое оборудование, системы слежения по Wi-Fi, RFID или других типов сенсоров). Статья 14 применяется в том случае, когда данные не были получены от субъекта данных, включая данные, полученные контролером данных из таких источников, как: • контролеры данных третьих лиц; • общедоступные источники; • брокеры данных; • другие субъекты данных.

(a) наименование (имя) и контактные данные контролёра и, при необходимости, его представителя;

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):

This information should allow for easy identification of the controller and preferably allow for different forms of communications with the data controller (e.g. phone number, email, postal address etc.).

(b) контактные данные инспектора по защите персональных данных, если применимо;

Guidelines & Case Law

Article 29 Working Party, Guidelines on Data Protection Officers (DPOs) (2017):

The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.

Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances.

[…]

As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.

(c) цели, для которых обрабатываются персональные данные, а также правовое основание для обработки;

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):

In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified. Where, pursuant to Article 10, personal data relating to criminal convictions and offences or related security measures based on Article 6.1 is processed, where applicable the relevant Union or Member State law under which the processing is carried out should be specified.

(d) если обработка основывается на пункте (f) Статьи 6(1), легитимные интересы, преследуемые контролёром или третьим лицом;

Guidelines & Case Law Related

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The specific interest in question must be identified for the benefit of the data subject. As a matter of best practice, the controller can also provide the data subject with the information from the balancing test, which must be carried out to allow reliance on Article 6.1(f) as a lawful basis for processing, in advance of any collection of data subjects’ personal data. To avoid information fatigue, this can be included within a layered privacy statement/ notice (see paragraph 35). In any case, the WP29 position is that information to the data subject should make it clear that they can obtain information on the balancing test upon request. This is essential for effective transparency where data subjects have doubts as to whether the balancing test has been carried out fairly or they wish to file a complaint with a supervisory authority.

Статья 6 GDPR. Законность обработки

[…]

1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:

[…]

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

(e) получатели или категории получателей персональных данных, если имеются;

Guidelines & Case Law Related

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The term “recipient” is defined in Article 4.9 as “a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not” [emphasis added]. As such, a recipient does not have to be a third party. Therefore, other data controllers, joint controllers and processors to whom data is transferred or disclosed are covered by the term “recipient” and information on such recipients should be provided in addition to information on third party recipients. The actual (named) recipients of the personal data, or the categories of recipients, must be provided. In accordance with the principle of fairness, controllers must provide information on the recipients that is most meaningful for data subjects. In practice, this will generally be the named recipients, so that data subjects know exactly who has their personal data. If controllers opt to provide the categories of recipients, the information should be as specific as possible by indicating the type of recipient (i.e. by reference to the activities it carries out), the industry, sector and sub-sector and the location of the recipients.

Статья 4 GDPR. Определения

Определения

[…]

(9) “Получатель” – это физическое или юридическое лицо, государственный орган, учреждение или иной орган, которому раскрываются персональные данные, независимо от того, является ли он третьим лицом или нет. Однако органы государственной власти, которые могут получать персональные данные в рамках отдельного запроса в соответствии с законодательством Союза или государства-члена, не должны рассматриваться в качестве получателей; обработка данных указанными государственными органами должна соответствовать применимым нормам о защите данных в соответствии с целями обработки;

[…]

(f) в соответствующих случаях, намерение контролёра передать персональные данные в третью страну или международную организацию, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) – ссылка на соответствующие и надлежащие гарантии, а также средства, с помощью которых может быть получена их копия, или где они могут быть предоставлены.

Guidelines & Case Law Related

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

The relevant GDPR article permitting the transfer and the corresponding mechanism (e.g. adequacy decision under Article 45/ binding corporate rules under Article 47/ standard data protection clauses under Article 46.2/ derogations and safeguards under Article 49 etc.) should be specified. Information on where and how the relevant document may be accessed or obtained should also be provided e.g. by providing a link to the mechanism used. In accordance with the principle of fairness, the information provided on transfers to third countries should be as meaningful as possible to data subjects; this will generally mean that the third countries be named.

Статья 45 GDPR. Передача данных на основании решения об адекватности

Статья 47 GDPR. Обязательные корпоративные правила

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

[…]

2. Надлежащие гарантии, указанные в параграфе 1, можно обеспечить (без необходимости получения специального разрешения от надзорного органа) с помощью:

(b) обязательных корпоративных правил согласно со статье 47;

(с) стандартных условий о защите данных, принятых Комиссией в соответствии с процедурой экспертизы, указанной в статье 93(2);

[…]

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

1. В случае отсутствия решения об адекватной защите согласно Статье 45(3) или соответствующих гарантий согласно Статье 46, включая обязательные корпоративные правила, передача или ряд передач персональных данных в третью страну или международную организацию должна осуществляться только при соблюдении одного из следующих условий:

[…]

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях существенных легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

[…]

2. В дополнение к информации, указанной в параграфе 1, контролёр в момент получения персональных данных должен предоставить субъекту данных дополнительно следующую информацию, необходимую для обеспечения беспристрастной и прозрачной обработки:

Recitals Related

Recitals

(61) Информация по поводу обработки персональных данных, относящихся к субъекту данных, должна быть предоставлена ему/ей на момент ее сбора или, если персональные данные получены из других источников, в разумный срок, в зависимости от обстоятельств дела. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован, если персональные данные раскрываются получателю впервые. Если контролёр намерен обрабатывать персональные данные в целях, отличных от целей, для которых они собирались, он до начала обработки должен представить субъекту данных информацию относительно другой цели, а также иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация.

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 “Руководящие принципы прозрачности согласно Регламенту 2016/679”. WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 – одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность – это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая – Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

(a) срок хранения персональных данных, или если это не представляется возможным, критерии для определения такого срока;

ISO 27701 Guidelines & Case Law

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

[…]

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This is linked to the data minimisation requirement in Article 5.1(c) and storage limitation requirement in Article 5.1(e). The storage period (or criteria to determine it) may be dictated by factors such as statutory requirements or industry guidelines but should be phrased in a way that allows the data subject to assess, on the basis of his or her own situation, what the retention period will be for specific data/ purposes. It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.

EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):

Storage limitation should consider the true needs and the medical relevance (this may include epidemiology-motivated considerations like the incubation period,etc.) and personal data should be kept only for the duration of the COVID-19 crisis. Afterwards,as a general rule,all personal data should be erased or anonymised.

(b) существование права требовать от контролёра доступ к персональным данным и их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;

ISO 27701 Guidelines & Case Law

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 13(2)(b) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII. Organizations subject to the legislation and/or regulation of such jurisdictions should ensure that they implement appropriate measures to enable PII principals to exercize this right.

[…]

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should be specific to the processing scenario and include a summary of what the right involves and how the data subject can take steps to exercise it and any limitations on the right. […] In particular, the right to object to processing must be explicitly brought to the data subject’s attention at the latest at the time of first communication with the data subject and must be presented clearly and separately from any other information.64 In relation to the right to portability, see WP29 Guidelines on the right to data portability.

(c) если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;

ISO 27701 Guidelines & Case Law Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(c) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

[…]

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should include how consent may be withdrawn, taking into account that it should be as easy for a data subject to withdraw consent as to give it.

Статья 6 GDPR. Законность обработки

Законность обработки

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

2. Параграф 1 не применяется, в одном из следующих случаев:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

[…]

Статья 7 GDPR. Условия согласия

Условия согласия

[…]

3. Субъект данных имеет право в любое время отозвать свое согласие. Отзыв согласия не влияет на законность обработки, которая была основана на согласии до его отзыва. Субъект данных должен быть проинформирован об этом перед тем, как он выразил согласие. Отзыв согласия должен быть столь же прост, как и его выражение.

[…]

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

(d) право подачи жалобы в надзорный орган;

Guidelines & Case Law Related

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

This information should explain that, in accordance with Article 77, a data subject has the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or of an alleged infringement of the GDPR.

Статья 77 GDPR. Право подать жалобу в надзорный орган

Право подать жалобу в надзорный орган

1. Без ущерба для любых иных административных или судебных средств защиты, каждый субъект данных должен обладать правом подачи жалобы в надзорный орган, в том числе, в государстве-члене его/ее обычного места жительства, места работы или места предполагаемого нарушения, если субъект данных считает, что обработка относящихся к нему/ней персональных данных нарушает настоящий Регламент.

2. Надзорный орган, в который была подана жалоба, должен проинформировать заявителя о ходе и результатах жалобы, включая возможность судебной защиты прав в порядке Статьи 78.

(e) является ли предоставление персональных данных требованием, предусмотренным законодательством или договором, или требованием, которое необходимо для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и возможные последствия непредставления указанных данных;

Guidelines & Case Law

Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):

For example in an employment context, it may be a contractual requirement to provide certain information to a current or prospective employer. Online forms should clearly identify which fields are “required”, which are not, and what will be the consequences of not filling in the required fields.

(f) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях обработки для субъекта данных.

ISO 27701 Guidelines & Case Law Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(2)(f) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

[…]

Guidelines & Case Law

Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01) (2018):

Given the core principle of transparency underpinning the GDPR, controllers must ensure they explain clearly and simply to individuals how the profiling or automated decision-making process works.
In particular, where the processing involves profiling-based decision making (irrespective of whether it is caught by Article 22 provisions), then the fact that the processing is for the purposes of both (a) profiling and (b) making a decision based on the profile generated, must be made clear to the data subject.

Recital 60 states that giving information about profiling is part of the controller’s transparency obligations under Article 5(1) (a). The data subject has a right to be informed by the controller about and, in certain circumstances, a right to object to ‘profiling’, regardless of whether solely automated individual decision-making based on profiling takes place.

EDPB, Guidelines 8/2020 on the targeting of social media users (2020).

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

[…]

4. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, указанных в Статье 9(1), кроме случаев, когда применяются пункты (а) или (g) Статьи 9(2) и приняты надлежащие меры защиты прав, свобод и законных интересов субъекта данных.

3. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых персональные данные были собраны, до начала указанной обработки он должен предоставить субъекту данных информацию относительно иной цели, а также любую релевантную информацию, указанную в параграфе 2.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13(3) GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

[…]

4. Параграфы 1, 2 и 3 не должны применяться, поскольку и если субъект данных уже располагает соответствующей информацией.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment

Expert commentary

To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

Controller’s identity
Purpose and lawful basis for processing
Personal data
Transfers of data to third countries
Rights
Changes (in privacy notices)
Form (of information provided)

It looks like this:

[…]

Author

Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

Ask a question

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…

[…]

Author

Louis-Philippe Gratton PhD, LLM

Privacy Expert

Ask a question

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 13 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]

Recitals

(62) Однако, нет необходимости обязывать предоставлять информацию, если субъект данных уже обладает информацией, в которой регистрация или раскрытие персональных данных имеют прямое правовое закрепление или когда предоставление информации субъекту данных невозможно или сопряжено с несоразмерными усилиями. Последнее может иметь место, когда обработка осуществляется для архивных целей в общественных и интересах, для целей научных или исторических исследований или для статистических целей. В этой связи следует учитывать количество субъектов данных, их возраст и любые соответствующие принятые гарантии.

(63) Субъект данных должен иметь право доступа к своим персональным данным. Это право должно осуществляться беспрепятственно и с определённой периодичностью, в целях получения информации по обработке и проверки ее правомерности. Это охватывает право субъектов данных на доступ к персональным данным, касающихся их здоровья; например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или медицинских вмешательствах. Поэтому каждый субъект данных должен иметь право знать и получать сведения в отношении целей, для которых обрабатываются его персональные данные; по возможности, в отношении срока, в течение которого обрабатываются персональные данные; получателей персональных данных; алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она основана на профилировании. При наличии соответствующей возможности, контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной собственности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу от предоставления всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнение информации или вида обработки, к которому относится запрос.

Guidelines & Case Law