- (1) データ主体と関連する個人データがそのデータ主体から収集される場合、管理者は、その個人データを取得する時点において、そのデータ主体に対し、以下の全ての情報を提供する:
- 管理者の身元及び連絡先、及び、該当する場合は、管理者の代理人の身元及び連絡先。
- 該当する場合は、データ保護オフィサーの連絡先。
- 予定されている個人データの取扱いの目的及びその取扱いの法的根拠。
- その取扱いが第6 条第 1 項(f)を根拠とする場合、管理者又は第三者が求める正当な利益。
- もしあれば、個人データの取得者又は取得者の類型。
- 該当する場合は、管理者が個人データを第三国又は国際機関に移転することを予定しているという事実、及び、欧州委員会による十分性認定の存否、又は、第46 条若しくは第47 条に定める移転の場合又は第49 条第49条第1項第49条第2項後段に定める移転の場合、適切又は適合する保護措置、及び、その複製物を取得するための方法、又は、どこでそれらが利用可能とされたかについての情報。
- (2) 第 1 項に定める情報に加え、管理者は、個人データを取得する時点において、データ主体に対し、公正かつ透明性のある取扱いを確保するために必要な以下の付加的な情報を提供する。
- その個人データが記録保存される期間、又は、それが不可能なときは、その期間を決定するために用いられる基準。
- 個人データへのアクセス、個人データの訂正又は消去、又は、データ主体と関係する取扱いの制限を管理者から得ることを要求する権利、又は、取扱いに対して異議を述べる権利、並びに、データポータビリティの権利が存在すること。
- その取扱いが第6 条第 1 項(a)又は第9 条第 2 項(a)に基づく場合、その撤回前の同意に基づく取扱いの適法性に影響を与えることなく、いつでも同意を撤回する権利が存在すること。
- 監督機関に異議を申立てる権利。
- その個人データの提供が制定法上若しくは契約上の要件であるか否か、又は、契約を締結する際に必要な要件であるか否か、並びに、データ主体がその個人データの提供の義務を負うか否か、及び、そのデータの提供をしない場合に生じうる結果について。
- プロファイリングを含め、第22 条第 1 項及び第 4 項に定める自動的な決定が存在すること、また、これが存在する場合、その決定に含まれている論理、並びに、当該取扱いのデータ主体への重要性及びデータ主体に生ずると想定される結果に関する意味のある情報。
- (3) 当該個人データが収集された際の目的とは別の目的による個人データの追加的取扱いを管理者が予定している場合、その管理者は、データ主体に対し、当該追加的取扱いの開始前に、当該別の目的に関する情報及び第 2 項に定める関連する付加的情報を提供する。
- (4) 第 1 項、第 2 項及び第 3 項は、データ主体が既にその情報をもっている場合、その範囲内では、適用されない。
GDPR 規則 (EU) 2016/679
第13条