Navigation
GDPR > Статья 14. Информация, предоставляемая при получении персональных данных не от субъекта данных
Download PDF

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

1. Если персональные данные получены не от субъекта данных, контролёр должен предоставить субъекту данных следующую информацию:

(a) наименование (имя) и контактные данные контролёра и, при необходимости, его представителя;

(b) контактные данные инспектора по защите персональных данных, при необходимости;

(c) цели обработки, для которой предназначаются персональные данные, а также правовое основание для обработки;

(d) категории соответствующих персональных данных;

(e) получатели или категории получателей персональных данных, если таковые имеются;

(f) в соответствующих случаях, намерение контролёра передать персональные данные третьей стране или международной организации, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) – ссылка на соответствующие и надлежащие гарантии и способы, посредством которых может быть получена их копия, или где они могут быть предоставлены.

Related

2. В дополнение к информации, указанной в параграфе 1, контролёр должен предоставить субъекту данных следующую информацию, необходимую для обеспечения беспристрастной и прозрачной обработки в отношении субъекта данных:

Related

(a) срок хранения персональных данных, или если это не представляется возможным, критерии для определения указанного срока;

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

[…]


to read the full text

(b) в случае если обработка основывается на пункте (f) Статьи 6(1), легитимные интересы, преследуемые контролёром или третьим лицом;

Related

(c) существование права требовать от контролёра доступ к соответствующим персональным данным, их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 14(2)(c) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII.

[…]


to read the full text

(d) в случае если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(d) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

[…]


to read the full text

Related

(e) право подачи жалобы в надзорный орган;

(f) из каких источников происходят персональные данные и, при необходимости, взяты ли они из общедоступных источников;

(g) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(g) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

[…]


to read the full text

Related

3. контролёр должен предоставить информацию, указанную в параграфах 1 и 2:

(a) в разумный срок после получения персональных данных, но не позже одного месяца, с учетом особых условий обработки персональных данных;

(b) если персональные данные должны использоваться для коммуникации с субъектом данных, не позже первого обращения к указанному субъекту данных; или

(c) если предусмотрено раскрытие информации другому получателю, не позже первоначального раскрытия персональных данных.

4. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых они были собраны, перед последующей обработкой он должен предоставить субъекту данных информацию об указанных иных целях, а также любую релевантную информацию, указанную в параграфе 2.

5. Параграфы 1 – 4 не должны применять в том случае, если:

(a) субъект данных уже располагает информацией;

(b) предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, с учетом условий и гарантий, указанных в Статье 89(1), или постольку, поскольку обязанность, указанная в параграфе 1 настоящей Статьи, может сделать невозможным или негативно отразиться на достижении целей указанной обработки. В указанных случаях контролёр должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных, включая доведение информации до всеобщего сведения;

Related

(c) получение или раскрытие информации прямо установлено правом Союза или государства-члена, под действие которого подпадает контролёр и которое обеспечивает соответствующие меры для защиты легитимных интересов субъекта данных; или

Related

(d) если персональные данные остаются конфиденциальными в соответствии с обязательством о соблюдении профессиональной тайны согласно праве Союза или государства-члена, включая установленные законодательством обязательства о сохранении профессиональной тайны.

Expert commentary ISO 27701 Guidelines & Case Law Leave a comment
Expert commentary

To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

  • Controller’s identity
  • Purpose and lawful basis for processing
  • Personal data
  • Transfers of data to third countries
  • Rights
  • Changes (in privacy notices)
  • Form (of information provided)

It looks like this:

[…]


to read the full text

Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]


to read the full text

Guidelines & Case Law Leave a comment
[js-disqus]