ГЛАВА ІІІ. Права суб'єкта даних
Секція 2. Інформація та доступ до персональних даних
Стаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта даних
- Якщо персональні дані щодо суб'єкта даних збирають від суб'єкта даних, контролер повинен, у момент отримання персональних даних, надати суб'єкту даних усю інформацію, а саме інформацію про:
- особу та контактні дані контролера та, за необхідності, представника контролера;
- контактні дані співробітника з питань захисту даних, за необхідності;
- цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
- якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси контролера або третьої сторони;
- одержувачі чи категорії одержувачів персональних даних, за наявності;
- за необхідності, інформацію про те, що контролер має намір передати персональні дані до третьої країни чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), - зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
- Крім інформації, вказаної в параграфі 1, контролер повинен, у момент отримання персональних даних, надати суб'єкту даних усю детальну інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, а саме інформацію про:
- період зберігання персональних даних, або, якщо це неможливо, - критерії визначення такого періоду;
- існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб'єкта даних або на заперечення проти опрацювання, а також права на мобільність даних;
- якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), - існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що було засновано на згоді до її відкликання;
- право подавати скаргу до наглядового органу;
- те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також - чи зобов'язаний суб'єкт даних надати персональні дані, та про можливі наслідки ненадання таких даних;
- наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб'єкта даних.
- Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб'єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
- Параграфи 1, 2 і 3 не застосовують, якщо і оскільки суб'єкт даних уже володіє інформацією.