Навигация
GDPR > Статья 13. Информация, предоставляемая в случае сбора персональных данных от субъекта данных
Скачать в PDF

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

1. Если персональные данные субъекта данных предоставляются субъектом данных, контролёр в момент получения персональных данных должен предоставить субъекту данных следующую информацию:

Преамбулы

(60) Принципы беспристрастной и прозрачной обработки требуют, чтобы субъект данных был проинформирован о наличии процесса обработки и его целях. Контролёр должен предоставить субъекту данных всю дополнительную информацию, необходимую для обеспечения беспристрастной и прозрачной обработки, принимая во внимание конкретные обстоятельства и условия обработки. Кроме того, субъект данных должен быть проинформирован об осуществлении профилирования и его последствиях. Если персональные данные получены от субъекта данных, он также должен быть проинформирован о том, обязан ли он предоставлять персональные данные, а также о последствиях их непредставления. Указанная информация может предоставляться совместно со стандартизированными графическими обозначениями, для того чтобы в наглядной, понятной и чёткой форме дать общее представление о предполагаемой обработке. Если графические обозначения представлены в электронной форме, они должны быть машиночитаемы.

Связанные статьи

(a) наименование (имя) и контактные данные контролёра и, при необходимости, его представителя;

Руководство и прецедентное право

(b) контактные данные инспектора по защите персональных данных, если применимо;

Руководство и прецедентное право

(c) цели, для которых обрабатываются персональные данные, а также правовое основание для обработки;

Руководство и прецедентное право

(d) если обработка основывается на пункте (f) Статьи 6(1), легитимные интересы, преследуемые контролёром или третьим лицом;

Руководство и прецедентное право Связанные статьи

(e) получатели или категории получателей персональных данных, если имеются;

Руководство и прецедентное право Связанные статьи

(f) в соответствующих случаях, намерение контролёра передать персональные данные в третью страну или международную организацию, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) — ссылка на соответствующие и надлежащие гарантии, а также средства, с помощью которых может быть получена их копия, или где они могут быть предоставлены.

Руководство и прецедентное право Связанные статьи

2. В дополнение к информации, указанной в параграфе 1, контролёр в момент получения персональных данных должен предоставить субъекту данных дополнительно следующую информацию, необходимую для обеспечения беспристрастной и прозрачной обработки:

Преамбулы

(61) Информация по поводу обработки персональных данных, относящихся к субъекту данных, должна быть предоставлена ему/ей на момент ее сбора или, если персональные данные получены из других источников, в разумный срок, в зависимости от обстоятельств дела. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован, если персональные данные раскрываются получателю впервые. Если контролёр намерен обрабатывать персональные данные в целях, отличных от целей, для которых они собирались, он до начала обработки должен представить субъекту данных информацию относительно другой цели, а также иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация.

Связанные статьи

(a) срок хранения персональных данных, или если это не представляется возможным, критерии для определения такого срока;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(2)(a) GDPR:

7.4.7 Хранение

Средство управления

Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.

Руководство по внедрению

Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.


для доступа к полному тексту

Руководство и прецедентное право

(b) существование права требовать от контролёра доступ к персональным данным и их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(2)(b) GDPR:

7.3.5 Предоставление механизма для возражения против обработки ПИИ

Средство управления

Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.

Руководство по внедрению

Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ. Организации, на которые распространяется законодательство и / или нормативные акты таких юрисдикций, должны обеспечить принятие соответствующих мер, позволяющих субъектам ПИИ реализовать это право.


для доступа к полному тексту

Руководство и прецедентное право

(c) если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(2)(c) GDPR:

7.3.4 Предоставление механизма для изменения или отзыва согласия

Средство управления

Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.

Руководство по внедрению

Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.


для доступа к полному тексту

Руководство и прецедентное право Связанные статьи

(d) право подачи жалобы в надзорный орган;

Руководство и прецедентное право Связанные статьи

(e) является ли предоставление персональных данных требованием, предусмотренным законодательством или договором, или требованием, которое необходимо для заключения договора, а также обязан ли субъект данных предоставлять персональные данные и возможные последствия непредставления указанных данных;

Руководство и прецедентное право

(f) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях обработки для субъекта данных.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(2)(f) GDPR:

7.3.10 Автоматизированное принятие решений

Средство управления

Организация должна определить и рассмотреть обязательства, в том числе юридические обязательства, перед субъектами ПИИ, возникающие из-за решений, основанных исключительно на автоматизированной обработке ПИИ, принятых организацией в отношении субъекта ПИИ.


для доступа к полному тексту

Руководство и прецедентное право Связанные статьи

3. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых персональные данные были собраны, до начала указанной обработки он должен предоставить субъекту данных информацию относительно иной цели, а также любую релевантную информацию, указанную в параграфе 2.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(3) GDPR:

7.3.3 Предоставление информации субъектам ПИИ

Средство управления

Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.

Руководство по внедрению

Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.


для доступа к полному тексту

4. Параграфы 1, 2 и 3 не должны применяться, поскольку и если субъект данных уже располагает соответствующей информацией.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Чтобы облегчить работу наших консультантов, мы собрали все требования и сведения, обязательные к указанию, и свели их в удобный чек-лист. Рядом с каждым пунктом мы разместили ссылки на конкретные статьи GDPR и Руководства. Всю информацию мы сгруппировали в 7 разделов:

  1. Данные о контролере
  2. Цели и правовые основания
  3. Персональные данные
  4. Трансграничная передача
  5. Права
  6. Изменения (в политике приватности)
  7. Форма (подачи информации)

Выглядит он следующим образом:


для доступа к полному тексту

Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 11(2) GDPR:

7.3.2 Определение информации для субъектов ПИИ

Средство управления

Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.

Руководство по внедрению

Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.


для доступа к полному тексту

Преамбулы

(61) Информация по поводу обработки персональных данных, относящихся к субъекту данных, должна быть предоставлена ему/ей на момент ее сбора или, если персональные данные получены из других источников, в разумный срок, в зависимости от обстоятельств дела. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован, если персональные данные раскрываются получателю впервые. Если контролёр намерен обрабатывать персональные данные в целях, отличных от целей, для которых они собирались, он до начала обработки должен представить субъекту данных информацию относительно другой цели, а также иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация.

(62) Однако, нет необходимости обязывать предоставлять информацию, если субъект данных уже обладает информацией, в которой регистрация или раскрытие персональных данных имеют прямое правовое закрепление или когда предоставление информации субъекту данных невозможно или сопряжено с несоразмерными усилиями. Последнее может иметь место, когда обработка осуществляется для архивных целей в общественных и интересах, для целей научных или исторических исследований или для статистических целей. В этой связи следует учитывать количество субъектов данных, их возраст и любые соответствующие принятые гарантии.

(63) Субъект данных должен иметь право доступа к своим персональным данным. Это право должно осуществляться беспрепятственно и с определённой периодичностью, в целях получения информации по обработке и проверки ее правомерности. Это охватывает право субъектов данных на доступ к персональным данным, касающихся их здоровья; например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или медицинских вмешательствах. Поэтому каждый субъект данных должен иметь право знать и получать сведения в отношении целей, для которых обрабатываются его персональные данные; по возможности, в отношении срока, в течение которого обрабатываются персональные данные; получателей персональных данных; алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она основана на профилировании. При наличии соответствующей возможности, контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной собственности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу от предоставления всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнение информации или вида обработки, к которому относится запрос.

Руководство и прецедентное право Оставить комментарий
[js-disqus]