第14条 未获得数据主体个人数据的情形下,应当提供的信息
1.当个人数据还没有从数据主体那里收集,控制者应当向数据主体提供如下信息:
(a)控制者的身份与详细联系方式,以及如果适用的话,控制者的代表;
(b)如果适用的话,数据保护官的详细联系方式;
(c)处理将要涉及到的个人数据的目的,以及处理的法律基础;
(d)相关个人数据的类型;
(e)个人数据的接收者或者接收者的类型,如果有的话;
(f)如果适用的话,控制者期望将数据转移到第三国或国际组织、欧盟委员会作出或未作出的充足保护的认定,或者,在第46或47条或者第49(1)条的第二小段所规定的转移情形中,所采取的适当保障措施的参考资料、获取它们备份的方式,或者在那里可以获取它们。
2.除了第1段所规定的信息,控制者应当向数据主体提供如下确保涉及到数据主体的处理是合理与透明的必要信息:
(a)个人数据将被储存的期限,或者如果不可能的话,用来确定此期限的标准;
(b)当处理是根据第6(1)条(f)点而进行的,控制者或第三方所追求的正当利益;
(c)数据主体存在如下权利,可以要求控制者提供对个人数据的访问、更正或擦除,或者限制或反对相关处理,数据携带权;
(d)当处理是根据第6(1)条或第9(2)条的(a)点而进行的,数据主体拥有可以随时撤回——这种撤回不会影响撤回之前根据同意而进行处理的合法性——同意的权利;
(e)向监管机构进行申诉的权利;
(f)个人数据的来源,以及如果适用的话,其来源是否可以是公开性的资源;
(g)存在自动化的决策,包括第22(1)和(4)条所规定的用户画像,以及在此类情形下,对于相关逻辑、包括此类处理对于数据主体的预期后果的有效信息。
3.控制者应当按如下方式提供第1段和第2段所规定的信息:
(a)应当在获得个人数据后的一段合理期限内提供信息,如果考虑到个人数据处理的特定情形,应当至少在一个月以内;
(b)如果个人数据是被用来和数据主体进行沟通的,最晚应当在其和数据主体进行第一次沟通时提供信息;
(c)如果个人数据将被计划披露给另一个接收者,那么最晚应当在个人数据被第一次披露时提供信息。
4.当控制者因为与收集个人信息时不一致的目的进一步处理个人信息,控制者应当在进一步处理之前向数据主体提供此类目的的信息,以及提供第2段所规定的相关进一步信息。
5.在如下情形中,第1至4段不适用:
(a)数据主体已经拥有信息;
(b)此类信息的提供是不可能的,或者说需要付出某种不相称的工作,在如下情形中尤其不适用:为了实现公共利益、科学或历史研究目的或统计目的,为了保障数据主体的权利和自由,并采取了本条例第89(1)条所规定的合理技术与组织措施;或者本条第1段所规定的责任会严重妨碍实现处理的目标。在此类情形中,控制者应当采取恰当的措施保护数据主体的权利与自由与正当利益,包括使得信息可以公开获取;
(c)欧盟或成员国为控制者特别制定了获取或公开信息的法律,并且已经对保护数据主体的正当利益制定了恰当的措施;
(d)当个人数据必须保密,必须遵守欧盟或成员国法律所规定的职业秘密责任,包括制定法上的保守秘密责任。
文都法考微信
