О чём эта статья

Статья 13 — какую информацию контролёр обязан предоставить субъекту в момент сбора данных непосредственно у субъекта.

13(1) — Обязательная информация при сборе

В момент получения данных контролёр обязан сообщить:

(a) идентичность и контактные данные контролёра и (при наличии) его представителя в ЕС;

(b) контактные данные DPO (если назначен);

(c) цели обработки и правовое основание (одно из Art. 6(1));

(d) законные интересы — если применяется основание 6(1)(f);

(e) получатели или категории получателей данных;

(f) факт передачи данных в третью страну или международную организацию + указание на наличие или отсутствие решения об адекватности или ссылка на надлежащие гарантии (Art. 46) и способ получения копии этих гарантий.

13(2) — Дополнительная информация для справедливой и прозрачной обработки

(a) срок хранения, или критерии его определения;

(b) существование права на доступ, исправление, удаление, ограничение, возражение, переносимость;

(c) существование права отозвать согласие в любое время (если основание — согласие);

(d) право подать жалобу в надзорный орган;

(e) является ли предоставление данных обязательным или договорным требованием и каковы последствия непредоставления;

(f) существование автоматизированных решений, включая профилирование (Art. 22), и значимая информация о логике этого процесса.

13(3) — Дальнейшее использование

Если контролёр собирается обрабатывать данные для иной цели, он обязан до начала такой обработки сообщить субъекту о новой цели и всю другую соответствующую информацию.

13(4) — Исключение

Положения 13(1)-(3) не применяются, если и в той мере, в которой субъект уже располагает этой информацией.

Почему это важно для аудита

Большинство сайтов не указывает полный список получателей данных. Если в HAR-файле обнаружены запросы к Google, Microsoft, Cloudflare — каждый из них должен быть поименован в Cookie Declaration или политике конфиденциальности. Если их там нет — нарушение Art. 13(1)(e).

Передача в США должна быть прямо указана с механизмом защиты (SCC или решение об адекватности). Отсутствие такого указания — нарушение Art. 13(1)(f).