Больше
Навигация
ГЛАВА I Общи разпоредби (1-4)
Член 1. Предмет и целиЧлен 2. Материален обхватЧлен 3. Териториален обхватЧлен 4. Определения
ГЛАВА II Принципи (5-11)
Член 5. Принципи, свързани с обработването на лични данниЧлен 6. Законосъобразност на обработванетоЧлен 7. Условия за даване на съгласиеЧлен 8. Условия, приложими за съгласието на дете във връзка с услугите на информационното обществоЧлен 9. Обработване на специални категории лични данниЧлен 10. Обработване на лични данни, свързани с присъди и нарушенияЧлен 11. Обработване, за което не се изисква идентифициране
ГЛАВА III Права на субекта на данни (12-23)
Член 12. Прозрачна информация, комуникация и условия за упражняването на правата на субекта на данниЧлен 13. Информация, предоставяна при събиране на лични данни от субекта на данните
Член 14. Информация, предоставяна, когато личните данни идват от субекта на данните
Член 15. Право на достъп на субекта на даннитеЧлен 16. Право на коригиранеЧлен 17. Право на изтриване (право „да бъдеш забравен“)Член 18. Право на ограничаване на обработванетоЧлен 19. Задължение за уведомяване при коригиране или изтриване на лични данни или ограничаване на обработванетоЧлен 20. Право на преносимост на даннитеЧлен 21. Право на възражениеЧлен 22. Автоматизирано вземане на индивидуални решения, включително профилиранеЧлен 23. Ограничения
ГЛАВА IV Администратор и обработващ лични данни (24-43)
Член 24. Предмет и целиЧлен 25. Защита на данните на етапа на проектирането и по подразбиранеЧлен 26. Съвместни администраториЧлен 27. Представители на администратори и обработващи лични данни, които не са установени в СъюзаЧлен 28. Обработващ личните данниЧлен 29. Обработване под ръководството на администратора или обработващия лични данниЧлен 30. Регистри на дейностите по обработванеЧлен 31. Сътрудничество с надзорния органЧлен 32. Сигурност на обработванетоЧлен 33. Уведомяване на надзорния орган за нарушение на сигурността на личните данниЧлен 34. Съобщаване на субекта на данните за нарушение на сигурността на личните данниЧлен 35. Оценка на въздействието върху защитата на даннитеЧлен 36. Предварителна консултацияЧлен 37. Определяне на длъжностното лице по защита на даннитеЧлен 38. Длъжност на длъжностното лице по защита на даннитеЧлен 39. Задачи на длъжностното лице по защита на даннитеЧлен 40. Кодекси за поведениеЧлен 41. Наблюдение на одобрените кодекси за поведениеЧлен 42. СертифициранеЧлен 43. Сертифициращи органи
ГЛАВА V Предаване на лични данни на трети държави или международни организации (44-50)
Член 44. Общ принцип на предаването на данниЧлен 45. Предаване на данни въз основа на решение относно адекватното ниво на защитаЧлен 46. Предаване на данни с подходящи гаранцииЧлен 47. Задължителни фирмени правилаЧлен 48. Предаване или разкриване на данни, което не е разрешено от правото на СъюзаЧлен 49. Дерогации в особени случаиЧлен 50. Международно сътрудничество за защита на личните данни
ГЛАВА VI Независими надзорни органи (51-59)
Член 51. Надзорен органЧлен 52. НезависимостЧлен 53. Общи условия за членовете на надзорния органЧлен 54. Правила за създаването на надзорния органЧлен 55. КомпетентностЧлен 56. Компетентност на водещия надзорен органЧлен 57. ЗадачиЧлен 58. ПравомощияЧлен 59. Доклади за дейността
ГЛАВА VII Сътрудничество и съгласуваност (60-70)
Член 60. Сътрудничество между водещия надзорен орган и другите засегнати надзорни органиЧлен 61. ВзаимопомощЧлен 62. Съвместни операции на надзорни органиЧлен 63. Механизъм за съгласуваностЧлен 64. Становище на КомитетаЧлен 65. Разрешаване на спорове от КомитетаЧлен 66. Процедура по спешностЧлен 67. Обмен на информацияЧлен 68. Европейски комитет по защита на даннитеЧлен 69. НезависимостЧлен 70. Задачи на КомитетаЧлен 71. ДокладиЧлен 72. ПроцедураЧлен 73. ПредседателЧлен 74. Задачи на председателяЧлен 75. СекретариатЧлен 76. Поверителност
ГЛАВА VIII Средства за правна защита, отговорност за причинени вреди и санкции (77-84)
Член 77. Право на подаване на жалба до надзорен органЧлен 78. Право на ефективна съдебна защита срещу надзорен органЧлен 79. Право на ефективна съдебна защита срещу администратор или обработващ лични данниЧлен 80. Представителство на субектите на данниЧлен 81. Прекратяване на производствотоЧлен 82. Право на обезщетение и отговорност за причинени вредиЧлен 83. Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“Член 84. Санкции
ГЛАВА IX Разпоредби, свързани с особени ситуации на обработване (85-91)
Член 85. Обработване и свобода на изразяване и информацияЧлен 86. Обработване и публичен достъп до официални документиЧлен 87. Обработване на националния идентификационен номерЧлен 88. Обработване в контекста на трудово или служебно правоотношениеЧлен 89. Гаранции и дерогации, свързани с обработването за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически целиЧлен 90. Задължения за опазване на тайнаЧлен 91. Съществуващи правила на църкви и религиозни сдружения за защита на данните
ГЛАВА X Делегирани актове и актове за изпълнение (92-93)
Член 92. Упражняване на делегиранетоЧлен 93. Процедура на комитет
ГЛАВА XI Заключителни разпоредби (94-95)
Член 94. Отмяна на Директива 95/46/ЕОЧлен 95. Връзка с Директива 2002/58/ЕОЧлен 96. Връзка с по-рано сключени споразуменияЧлен 97. Доклади на КомисиятаЧлен 98. Преглед на други правни актове на Съюза за защита на даннитеЧлен 99. Влизане в сила и прилагане
GDPR > Член 14. Информация, предоставяна, когато личните данни идват от субекта на данните
Скачать в PDF

Член 14 GDPR. Информация, предоставяна, когато личните данни идват от субекта на данните

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

1. Когато личните данни не са получени от субекта на данните, администраторът предоставя на субекта на данните следната информация:

1. Where personal data have not been obtained from the data subject, the controller shall provide the data subject with the following information:

a) данните, които идентифицират администратора и координатите за връзка с него и, когато е приложимо, тези на представителя на администратора;

(a) the identity and the contact details of the controller and, where applicable, of the controller’s representative;

б) координатите за връзка с длъжностното лице по защита на данните, когато е приложимо;

(b) the contact details of the data protection officer, where applicable;

в) целите на обработването, за което личните данни са предназначени, както и правното основание за обработването;

(c) the purposes of the processing for which the personal data are intended as well as the legal basis for the processing;

г) съответните категории лични данни;

(d) the categories of personal data concerned;

д) получателите или категориите получатели на личните данни, ако има такива;

(e) the recipients or categories of recipients of the personal data, if any;

е) когато е приложимо, намерението на администратора да предаде данните на трета държава или на международна организация, и наличието или отсъствието на решение на Комисията относно адекватното ниво на защита или в случай на предаване на данни съгласно член 46 или 47, или член 49, параграф 1, втора алинея с позоваване на подходящите или приложимите гаранции и средствата за получаване на копие от тях или на информация къде са налични.

(f) where applicable, that the controller intends to transfer personal data to a recipient in a third country or international organisation and the existence or absence of an adequacy decision by the Commission, or in the case of transfers referred to in Article 46 or 47, or the second subparagraph of Article 49(1), reference to the appropriate or suitable safeguards and the means to obtain a copy of them or where they have been made available.

Связанные статьи
Связанные статьи

2. Освен информацията, посочена в параграф 1, администраторът предоставя на субекта на данните следната информация, необходима за осигуряване на добросъвестно и прозрачно обработване на данните по отношение на субекта на данните:

2. In addition to the information referred to in paragraph 1, the controller shall provide the data subject with the following information necessary to ensure fair and transparent processing in respect of the data subject:

Связанные статьи
Связанные статьи

а) срока, за който ще се съхраняват личните данни, а ако това е невъзможно, критериите, използвани за определяне на този срок;

(a) the period for which the personal data will be stored, or if that is not possible, the criteria used to determine that period;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 13(2)(a) GDPR:

7.4.7 Хранение

Средство управления

Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.

Руководство по внедрению

Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.


для доступа к полному тексту

б) когато обработването се извършва въз основа на член 6, параграф 1, буква е), законните интереси, преследвани от администратора или от трета страна;

(b) where the processing is based on point (f) of Article 6(1), the legitimate interests pursued by the controller or by a third party;

Связанные статьи
Связанные статьи

в) съществуването на право да се изиска от администратора достъп до, коригиране или изтриване на лични данни, свързани със субекта на данните, или ограничаване на обработването, и правото да се направи възражение срещу обработването, както и правото на преносимост на данните;

(c) the existence of the right to request from the controller access to and rectification or erasure of personal data or restriction of processing concerning the data subject and to object to processing as well as the right to data portability;

ISO 27701
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 14(2)(c) GDPR:

7.3.5 Предоставление механизма для возражения против обработки ПИИ

Средство управления

Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.

Руководство по внедрению

Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ.


для доступа к полному тексту

г) когато обработването се основава на член 6, параграф 1, буква а) или член 9, параграф 2, буква а), съществуването на право на оттегляне на съгласието по всяко време, без да се засяга законосъобразността на обработването въз основа на съгласие, преди то да бъде оттеглено;

(d) where processing is based on point (a) of Article 6(1) or point (a) of Article 9(2), the existence of the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 14(2)(d) GDPR:

7.3.4 Предоставление механизма для изменения или отзыва согласия

Средство управления

Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.

Руководство по внедрению

Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.


для доступа к полному тексту

Связанные статьи

д) правото на жалба до надзорен орган;

(e) the right to lodge a complaint with a supervisory authority;

е) източника на личните данни и, ако е приложимо, дали данните са от публично достъпен източник;

(f) from which source the personal data originate, and if applicable, whether it came from publicly accessible sources;

ж) съществуването на автоматизирано вземане на решения, включително профилирането, посочено в член 22, параграфи 1 и 4, и поне в тези случаи съществена информация относно използваната логика, както и значението и предвидените последствия от това обработване за субекта на данните.

(g) the existence of automated decision-making, including profiling, referred to in Article 22(1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

ISO 27701 Связанные статьи
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 14(2)(g) GDPR:

7.3.10 Автоматизированное принятие решений

Средство управления

Организация должна определить и рассмотреть обязательства, в том числе юридические обязательства, перед субъектами ПИИ, возникающие из-за решений, основанных исключительно на автоматизированной обработке ПИИ, принятых организацией в отношении субъекта ПИИ.


для доступа к полному тексту

Связанные статьи

3. Администраторът предоставя информацията, посочена в параграфи 1 и 2:

3. The controller shall provide the information referred to in paragraphs 1 and 2:

a) в разумен срок след получаването на личните данни, но най-късно в срок до един месец, като се отчитат конкретните обстоятелства, при които личните данни се обработват;

(a) within a reasonable period after obtaining the personal data, but at the latest within one month, having regard to the specific circumstances in which the personal data are processed;

б) ако данните се използват за връзка със субекта на данните, най-късно при осъществяване на първия контакт с този субект на данните; или

(b) if the personal data are to be used for communication with the data subject, at the latest at the time of the first communication to that data subject; or

в) ако е предвидено разкриване пред друг получател, най-късно при разкриването на личните данни за първи път.

(c) if a disclosure to another recipient is envisaged, at the latest when the personal data are first disclosed.

4. Когато администраторът възнамерява да обработва личните данни по-нататък за цел, различна от тази, за която са събрани, той предоставя на субекта на данните преди това по-нататъшно обработване информация за тази друга цел и всякаква друга необходима информация, както е посочено в параграф 2.

4. Where the controller intends to further process the personal data for a purpose other than that for which the personal data were obtained, the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2.

5. Параграфи 1-4 не се прилагат, когато и доколкото:

5. Paragraphs 1 to 4 shall not apply where and insofar as:

a) субектът на данните вече разполага с информацията;

(a) the data subject already has the information;

б) предоставянето на такава информация се окаже невъзможно или изисква несъразмерно големи усилия; по-специално за обработване на данни за целите на архивирането в обществен интерес, за научни или исторически изследвания или за статистически цели, при спазване на условията и гаранциите по член 89, параграф 1, или доколкото съществува вероятност задължението, посочено в параграф 1 от настоящия член, да направи невъзможно или сериозно да затрудни постигането на целите на това обработване. В тези случаи администраторът взема подходящи мерки за защита на правата, свободите и законните интереси на субекта на данните, което включва и предоставяне на публичен достъп до информацията;

(b) the provision of such information proves impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the conditions and safeguards referred to in Article 89(1) or in so far as the obligation referred to in paragraph 1 of this Article is likely to render impossible or seriously impair the achievement of the objectives of that processing. In such cases the controller shall take appropriate measures to protect the data subject’s rights and freedoms and legitimate interests, including making the information publicly available;

Связанные статьи
Связанные статьи

в) получаването или разкриването е изрично разрешено от правото на Съюза или правото на държавата членка, което се прилага спрямо администратора и в което се предвиждат също подходящи мерки за защита на легитимните интереси на субекта на данните; или

(c) obtaining or disclosure is expressly laid down by Union or Member State law to which the controller is subject and which provides appropriate measures to protect the data subject’s legitimate interests; or

Связанные статьи
Связанные статьи

г) личните данни трябва да останат поверителни при спазване на задължение за опазване на професионална тайна, което се урежда от правото на Съюза или право на държава членка, включително законово задължение за поверителност.

(d) where the personal data must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy.

Общ регламент относно защитата на данните

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Чтобы облегчить работу наших консультантов, мы собрали все требования и сведения, обязательные к указанию, и свели их в удобный чек-лист. Рядом с каждым пунктом мы разместили ссылки на конкретные статьи GDPR и Руководства. Всю информацию мы сгруппировали в 7 разделов:

  1. Данные о контролере
  2. Цели и правовые основания
  3. Персональные данные
  4. Трансграничная передача
  5. Права
  6. Изменения (в политике приватности)
  7. Форма (подачи информации)

Выглядит он следующим образом:


для доступа к полному тексту

Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Задать вопрос

(EN)

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
Задать вопрос
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 14 GDPR:

7.3.2 Определение информации для субъектов ПИИ

Средство управления

Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.

Руководство по внедрению

Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.


для доступа к полному тексту

Руководство и прецедентное право Оставить комментарий
[js-disqus]