第二部分 信息与对个人数据的访问
第13条 收集数据主体个人数据时应当提供的信息
1.当收集和数据主体相关的个人数据时,控制者应当为数据主体提供如下信息:
(a)控制者的身份与详细联系方式,以及如果适用的话,控制者的代表;
(b)数据保护官的详细联系方式,如果适用的话;
(c)处理将要涉及到的个人数据的目的,以及处理的法律基础;
(d)当处理是基于(f)点或第6(1)条的时候,控制者或第三方的正当利益;
(e)个人数据的接收者或者接收者的类型,如果有的话;
(f)如果适用的话,控制者期望将数据转移到第三国或国际组织的事实、欧盟委员会作出或未作出充分决定的事实,或者,在第46或47条或者第49(1)条的第二小段所规定的转移情形中,所采取的适当保障措施的参考资料、获取它们备份的方式,或者在那里可以获取它们。
2.除了第1段所规定的信息,控制者应当在获取个人数据时为数据主体提供确保合理与透明处理所必要的进一步信息:
(a)个人数据将被储存的期限,以及确定此期限的标准;
(b)数据主体所拥有的权利:可以要求控制者提供对个人数据的访问、更正或擦除,或者限制或反对相关处理的权利;数据携带权;
(c)当处理是根据第6(1)条或第9(2)条的(a)点而进行的,数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利;
(d)向监管机构进行申诉的权利;
(e)提供个人数据是一项制定法还是合同法的要求,是否对于缔结一项契约是必要的,数据主体是否有责任提供个人数据,以及没有提供此类数据会造成的可能后果。
(f)存在自动化的决策,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
3.若控制者进一步处理个人信息的目的与收集个人信息的目的不一致,那么,控制者应当在进一步处理之前向数据主体提供此类目的的信息,以及提供第2段所规定的相关进一步信息。
4.在数据主体已经拥有信息的情况下,第1,2,3段不应当适用。
第14条 未获得数据主体个人数据的情形下,应当提供的信息
1.当个人数据还没有从数据主体那里收集,控制者应当向数据主体提供如下信息:
(a)控制者的身份与详细联系方式,以及如果适用的话,控制者的代表;
(b)如果适用的话,数据保护官的详细联系方式;
(c)处理将要涉及到的个人数据的目的,以及处理的法律基础;
(d)相关个人数据的类型;
(e)个人数据的接收者或者接收者的类型,如果有的话;
(f)如果适用的话,控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定,或者,在第46或47条或者第49(1)条的第二小段所规定的转移情形中,所采取的适当保障措施的参考资料、获取它们备份的方式,或者在那里可以获取它们。
2.除了第1段所规定的信息,控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息:
(a)个人数据将被储存的期限,或者如果不可能的话,用来确定此期限的标准;
(b)当处理是根据第6(1)条(f)点而进行的,控制者或第三方所追求的正当利益;
(c)数据主体存在如下权利,可以要求控制者提供对个人数据的访问、更正或擦除,或者限制或反对相关处理,数据携带权;
(d)当处理是根据第6(1)条或第9(2)条的(a)点而进行的,数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利;
(e)向监管机构进行申诉的权利;
(f)个人数据的来源,以及如果适用的话,其来源是否可以是公开性的资源;
(g)存在自动化的决策,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
3.控制者应当按如下方式提供第1段和第2段所规定的信息:
(a)应当在获得个人数据后的一段合理期限内提供信息,如果考虑到个人数据处理的特定情形,应当至少在一个月以内;
(b)如果个人数据是被用来和数据主体进行沟通的,最晚应当在其和数据主体进行第一次沟通时提供信息;
(c)如果个人数据将被计划披露给另一个接收者,那么最晚应当在个人数据被第一次披露时提供信息。
4.当控制者因为与收集个人信息时不一致的目的进一步处理个人信息,控制者应当在进一步处理之前向数据主体提供此类目的的信息,以及提供第2段所规定的相关进一步信息。
5.在如下情形中,第1至4段不适用:
(a)数据主体已经拥有信息;
(b)此类信息的提供是不可能的,或者说需要付出某种不相称的工作,在如下情形中尤其不适用:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施;或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中,控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益,包括使得信息可以公开获取;
(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律,并且已经对保护数据主体的正当利益制定了恰当的措施;
(d)当个人数据必须保密,必须遵守欧盟或成员国法律所规定的职业秘密责任,包括制定法上的保守秘密责任。
第15条 数据主体的访问权
1.数据主体应当有权从控制者那里得知,关于其的个人数据是否正在被处理,如果正在被处理的话,其应当有权访问个人数据和获知如下信息:
(a)处理的目的;
(b)相关个人数据的类型;
(c)个人数据已经被或将被披露给接收者或接收者的类型,特别是当接收者属于第三国或国际组织时;
(d)在可能的情形下,个人数据将被储存的预期期限,或者如果不可能的话,确定此期限的标准;
(e)数据主体要求控制者纠正或擦除个人数据、限制或反对对数据主体相关的个人数据进行处理的权利;
(f)向监管机构进行申诉的权利;
(g)当个人数据不是从数据主体那里收集的,关于来源的任何信息;
(h)存在自动化的决策,包括第22(1)和(4)条所规定的数据分析,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
 专业 |
 专注 |
 省心 |
 放心 |
豫公网安备 41030502000140号