Арт. 13 ДЗГВ: Інформаційне зобов'язання при зборі особистих даних від особи, яка надає дані. Арт. 13 Закону про захист даних є законодавчою нормою щодо інформаційного зобов'язання при зборі особистих даних. У законодавстві про захист даних він займає важливе місце, оскільки вважається законодавчим актом щодо інформації про захист даних. Він передбачає:
Текст закону (жирним шрифтом виділено)
(1) Коли здійснюються збори особистих даних від особи, яка стосується цих даних, тоді відповідальний особа повідомляє цій особі на момент здійснення цієї операції наступне: що дані зберігаються протягом певного часу; які права мають особа щодо своїх даних ([1]) :
а) назву та контактні дані уповноваженого органу, а також, за наявності, його представника;
б) за необхідності, контактні дані уповноваженого з захисту даних;
c) цілі, для яких будуть оброблені особові дані, а також правова підстава для обробки;
д) якщо обробка ґрунтується на статті 6 абз. 1 б) ф, інтереси, які переслідуються відповідальним особою або третім особою;
e) за необхідності, одержувачів або категорії одержувачів персональних даних та
f) у разі необхідності намір відповідального особи щодо передачі особових даних до третього держави чи міжнародної організації, а також наявність або відсутність рішення про відповідність комісії або в разі передачі відповідно до статті 46 або статті 47 або статті 49 абз. 2 посилання на відповідні чи належні гарантії та можливість отримання копії ними, або де вони доступні. Передачі в країни з нестабільною ситуацією, як США
(2) Окрім інформації, передбаченої в пункті 1, уповноважений орган на момент збору таких даних надає також інші необхідні для забезпечення справедливого та прозорого оброблення інформації, які стосуються особи, зазначені нижче:
а) тривалість, протягом якої зберігаються дані особистих даних або якщо це неможливо, критерії для встановлення цієї тривалості;
б) наявність права на інформацію від відповідального особи щодо даних, що стосуються цієї особи, а також право на виправлення або знищення цих даних або обмеження обробки даних або права на відмову від обробки даних, а також право на перенесення даних;
c) коли обробка ґрунтується на статті 6 абз. а або статті 9 абз. а, існує право відмовитися від згоди, яке може бути скасовено будь-коли, без впливу на законність обробки даних, яка відбулася до відмови згоди;
д) наявність права подати скаргу до органу нагляду;
е) чи надання особистих даних передбачено законодавством або умовами договору, чи зобов'язаний особа, щодо якої дані збираються, надавати такі дані, та які можливі наслідки від відмови від надання цих даних і
f) наявність автоматизованої прийняття рішень, зокрема профілювання відповідно до статті 22 абзаци 1 та 4 та – принаймні в цих випадках – інформація, яка забезпечує розуміння використовуваної логіки, а також впливу та очікуваних наслідків подібної обробки даних щодо фізичної особи.
(3) Якщо уповноважений орган планує використовувати персональні дані для іншого цілі, ніж для якої вони були зібрані, він надає особам, щодо яких стосуються дані, інформацію про цей інший цілі та всі інші значущі відомості відповідно до пункту 2 до здійснення такої переробки.
(4) Розділи 1, 2 та 3 не застосовуються, якщо та якщо особа, з персональних даних якої здійснюється обробка, вже має ці відомості.
Головні поняття (нормовані): Дані(12), особові дані(10), Обробка даних(8), затриманий(7), Особа(7), Відповідальний(6), Інформація(6), Мета(3).
Коментарі
Як Стаття 5, п. 1 б ДЗГВ вказує, дані щодо цілей згідно вищезгаданого п. 1 с повинні бути надані «для встановлених, чітких та законних цілей». У Статті 5, п. 1 а ДЗГВ передбачена правомірна обробка даних, яка повинна здійснюватися у добросовісній вірі. В поєднанні з рішенням ЄСПЛ щодо Planet49 це означає, що (мінімум) для технічних необов'язкових файлів cookie необхідно вказувати їх цілі. Файли cookie завжди обробляють особисті дані, як показало моя дослідницька робота.
У статті 13 Додатку 1 е ДГВ не існує справжньої виборчої можливості, або ж назвати отримувачів даних чи категорії отримувачів. Натомість отримувачі повинні бути вказані якомога більш конкретно. Відповідальний особа може вказувати категорії отримувачів лише тоді, коли це буде розумним (або навіть зрозумілішим) для інформації особи, яка стосується цієї справи. У випадку якщо загальні та розпливчасті рекомендації щодо захисту даних будуть дані, то це досить добре працює. Але якщо особа, якій стосуються дані, прямо запитає про точні отримувачів, вони повинні бути вказані дуже конкретно (див. Порушка проти WhatsApp, наприклад, розділ 426f), оскільки відповідальна особа повинна знати отримувачів. Дивіться далі за примітками в Статті 15 ДГВ та вказаних там посилань.
| "Принципи справедливої та прозорої обробки вимагають, щоб особа, щодо якої обробляються дані, була поінформована про існування процесу обробки та його цілі. Відповідальний повинен надати особі, щодо якої обробляються дані, всі інші необхідні відомості, враховуючи особливі обставини та рамкові умови, в яких обробляються персональні дані, щоб забезпечити справедливу та прозору обробку." |
Є шаблон для стандартних текстів, який можна взяти зі моїй політики конфіденційності. Тексти слід індивідуально підлаштовувати під свої потреби. Відповідальний за вебсайт, на якому використовуються шаблони текстів, відповідає самостійно за їх використання.
Також цікаво
- Генеральна інформація про GDPR
- Стаття 5 ДЗГВ: Основопринципи обробки даних ([1])
- Стаття 6 ДЗГВ: Правові підстави обробки даних ([1])
- Стаття 7 ДЗГВ: Умови надання згоди ([1])
- Стаття 15 ДЗГВ: Право на інформацію ([1])
- Стаття 26 ДЗГВ: Спільна відповідальність ([1])
Ключові тези цього посту
Якщо ваші дані збираються, вас мають інформувати, хто має ваші дані, для чого вони потрібні та кому вони можуть бути передані.
Якщо компанії зберігають дані людей, вони повинні інформувати людей про те, для чого використовуються дані, скільки часу вони зберігаються та які права мають люди (наприклад, отримати доступ до даних, їх виправити або видалити).
Якщо ви обробляєте дані, ви повинні інформувати осіб, кому саме передаються ці дані.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
