Статья 14. Информация, которая должна предоставляться при получении персональных данных не от субъекта данных. Регламент Европейского Парламента и Совета Европейского Союза 2016/679 от 27.04.2016 о защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных / General Data Protection Regulation /GDPR)

Статья 14
Информация, которая должна предоставляться при получении персональных данных не от субъекта данных

1. В случае если персональные данные получены не от субъекта данных, контролер должен предоставить субъекту данных следующую информацию:

(a) идентификационную информацию и контактные данные контролера и, при необходимости, его представителя;

(b) контактные данные инспектора по защите персональных данных, в соответствующих случаях;

(c) цели обработки, для которых предназначаются персональные данные, а также юридическое основание для обработки;

(d) категории соответствующих персональных данных;

(e) получатели или категории получателей персональных данных, при наличии;

(f) в соответствующих случаях, намерение контролера передать персональные данные получателю в третьей стране или международной организации, а также наличие или отсутствие решения Европейской Комиссии о соразмерности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) - ссылка на соответствующие и надлежащие гарантии и способы получения их копии или того, где они могут быть предоставлены.

2. В дополнение к информации, указанной в параграфе 1, контролер должен предоставить субъекту данных следующую информацию, необходимую для обеспечения справедливой и прозрачной обработки в отношении субъекта данных:

(a) срок, в течение которого будут храниться персональные данные, или если это не представляется возможным, критерии для определения указанного срока;

(b) в случае если обработка основывается на пункте (f) Статьи 6(1), законные интересы, преследуемые контролером или третьей стороной;

(c) существование права требования от контролера доступа к соответствующим персональным данным и их исправления или удаления или ограничения обработки или возражение против обработки, а также права на переносимость данных;

(d) в случае если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия, без воздействия на законность обработки, основанной на согласии до его отзыва;

(e) право подачи жалобы в надзорный орган;

(f) из каких источников происходят персональные данные и, при необходимости, взяты ли они из общедоступных источников;

(g) наличие автоматизированного процесса принятия решения, в том числе формирование профиля согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логической схеме, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.

3. Контролер должен предоставить информацию, указанную в параграфах 1 и 2:

(a) в приемлемый срок после получения персональных данных, но как минимум в течение одного месяца, с учетом особых условий обработки персональных данных;

(b) если персональные данные должны использоваться для общения с субъектом данных, как минимум во время первого обращения к указанному субъекту данных; или

(c) если предусмотрено раскрытие информации другому получателю, как минимум в момент первоначального раскрытия персональных данных.

4. Если контролер намерен в дальнейшем обрабатывать персональные данные в целях, отличных от целей, для которых они были получены, перед последующей обработкой он должен предоставить субъекту данных информацию об указанных иных целях, а также любую существенную дополнительную информацию, указанную в параграфе 2.

5. Параграфы 1 - 4 не должны применять в том случае, если:

(a) субъект данных уже располагает информацией;

(b) предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в интересах общества, в целях научных или исторических исследований или в статистических целях, с учетом условий и гарантий, указанных в Статье 89(1), или постольку, поскольку обязанность, указанная в параграфе 1 настоящей Статьи, может сделать невозможным или негативно отразиться на достижении целей указанной обработки. В указанных случаях контролер должен принять соответствующие меры для защиты прав, свобод и законных интересов субъекта данных, включая доведение информации до всеобщего сведения;

(c) получение или раскрытие информации прямо установлено законодательством Союза или государства-члена ЕС, под действие которого подпадает контролер и которое обеспечивает соответствующие меры для защиты законных интересов субъекта данных; или

(d) если персональные данные не должны разглашаться в соответствии с обязательством о соблюдении профессиональной тайны согласно законодательству Союза или государства-члена ЕС, включая установленные законодательством обязательства о сохранении профессиональной тайны.