Kuinka osoittaa GDPR-artiklan 14 noudattaminen

​GDPR:n 14 artikla velvoittaa, että kun henkilötietoja kerätään epäsuorasti – kuten kolmansilta osapuolilta – rekisterinpitäjien on ilmoitettava rekisteröidyille tiedonkeruusta, sen lähteestä ja käsittelyn tarkoituksista joko keräyshetkellä tai pian sen jälkeen.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 5. maaliskuuta 2025
LinkedIn Twitter Twitter

GDPR-artikla 14: Tärkeimmät vaatimustenmukaisuusvaatimukset

GDPR 14 artiklassa keskitytään avoimuuden periaatteisiin tapauksissa, joissa tietoja kerätään epäsuorasti – esimerkiksi kolmannelta osapuolelta. Tällaisissa olosuhteissa rekisterinpitäjien on annettava tiedot rekisteröidyille tiedonkeruupisteessä tai välittömästi sen jälkeen.

Koko teknisen soveltamisen ajan 14 artiklassa noudatetaan pääpiirteissään 13 artiklaan sisältyviä toimenpiteitä, mutta siinä on yksi merkittävä ero – velvollisuus paljastaa, mistä tiedot on saatu ja ovatko ne peräisin "julkisesti saatavilla olevasta lähteestä".

Toinen ero liittyy siihen kohtaan, jolloin rekisterinpitäjä ilmoittaa kohteelle, että tiedot on kerätty. 13 artikla koskee suoraa keräämistä – mikä edellyttää välitöntä yhteydenpitoa tutkittavan kanssa – kun taas 14 artiklassa (epäsuora kerääminen) sallitaan lyhyt aika, ennen kuin tutkittavalle ilmoitetaan.

GDPR artiklan 14 lakiteksti

EU:n GDPR-versio

Tiedot, jotka on annettava, jos henkilötietoja ei ole saatu rekisteröidyltä

  1. Jos henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on annettava rekisteröidylle seuraavat tiedot:

    • Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
    • Tietosuojavastaavan yhteystiedot tarvittaessa;
    • Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
    • Asianomaisten henkilötietojen luokat;
    • Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
    • Soveltuvin osin siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja vastaanottajalle kolmannessa maassa tai kansainvälisessä organisaatiossa ja onko komissio tehnyt riittävyyttä koskevan päätöksen tai ei, tai jos kyseessä on 46 tai 47 artiklassa tarkoitettu siirto, tai 49 artiklan 1 kohdan toinen alakohta, viittaus asianmukaisiin tai sopiviin suojatoimiin ja keinoihin saada niistä kopio tai missä ne on asetettu saataville.
  2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:

    • ajanjakso, jonka ajan henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
    • Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
    • Oikeus pyytää rekisterinpitäjältä pääsyä henkilötietoihin ja oikaisua tai poistamista tai käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
    • Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa, vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen hyväksymistä. peruuttaminen;
    • Oikeus tehdä valitus valvontaviranomaiselle;
    • Mistä lähteestä henkilötiedot ovat peräisin, ja tarvittaessa, ovatko ne peräisin julkisesti saatavilla olevista lähteistä;
    • 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
  3. Rekisterinpitäjän on annettava 1 ja 2 kohdassa tarkoitetut tiedot:

    • Kohtuullisen ajan kuluessa henkilötietojen saamisesta, mutta viimeistään kuukauden kuluessa henkilötietojen käsittelyn erityisolosuhteet huomioon ottaen;
    • Jos henkilötietoja aiotaan käyttää kommunikointiin rekisteröidyn kanssa, viimeistään silloin, kun henkilötiedot lähetetään ensimmäisen kerran kyseiselle rekisteröidylle; tai
    • Jos henkilötiedot on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin, kun henkilötiedot luovutetaan ensimmäisen kerran.
  4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on hankittu, rekisterinpitäjän on ennen jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
  5. Edellä 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin:

    • Rekisteröidyllä on jo tiedot;
    • Tällaisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi suhteetonta vaivaa, erityisesti käsittelyssä yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdassa tarkoitettujen ehtojen ja takeiden mukaisesti tai siltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus on omiaan tekemään mahdottomaksi tai vakavasti haittaamaan käsittelyn tavoitteiden saavuttamista. Tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojelemiseksi, mukaan lukien tietojen saattaminen julkisesti saataville;
    • Tietojen saamisesta tai luovuttamisesta säädetään nimenomaisesti unionin tai jäsenvaltion lainsäädännössä, jota rekisterinpitäjä koskee ja jossa säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi; tai
    • Jos henkilötietojen on pysyttävä luottamuksellisina unionin tai jäsenvaltion lainsäädännössä säädetyn salassapitovelvollisuuden, mukaan lukien lakisääteisen salassapitovelvollisuuden, mukaisesti.


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Yhdistyneen kuningaskunnan GDPR-versio

Tiedot, jotka on annettava, jos henkilötietoja ei ole saatu rekisteröidyltä

  1. Jos henkilötietoja ei ole saatu rekisteröidyltä, rekisterinpitäjän on annettava rekisteröidylle seuraavat tiedot:

    • Rekisterinpitäjän ja tarvittaessa rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot;
    • Tietosuojavastaavan yhteystiedot tarvittaessa;
    • Käsittelyn tarkoitukset, joihin henkilötiedot on tarkoitettu, sekä käsittelyn oikeusperusta;
    • Asianomaisten henkilötietojen luokat;
    • Henkilötietojen vastaanottajat tai vastaanottajien ryhmät, jos sellaisia ​​on;
    • Soveltuvin osin siitä, että rekisterinpitäjä aikoo siirtää henkilötietoja kolmannessa maassa tai kansainvälisessä organisaatiossa olevalle vastaanottajalle ja vuoden 17 lain 2018A §:n mukaisten asiaankuuluvien riittävyyttä koskevien säännösten olemassaolo tai puuttuminen tai 46 artiklassa tarkoitettujen siirtojen tapauksessa tai puuttuminen. 47 artiklassa tai 49 artiklan 1 kohdan toisessa alakohdassa viitataan asianmukaisiin tai sopiviin suojatoimiin ja keinoihin saada niistä kopio tai missä ne on asetettu saataville.
  2. Rekisterinpitäjän on 1 kohdassa tarkoitettujen tietojen lisäksi annettava rekisteröidylle seuraavat tiedot, jotka ovat tarpeen rekisteröidyn oikeudenmukaisen ja avoimen käsittelyn varmistamiseksi:

    • ajanjakso, jonka ajan henkilötietoja säilytetään, tai jos se ei ole mahdollista, kyseisen ajanjakson määrittämisessä käytetyt kriteerit;
    • Jos käsittely perustuu 6 artiklan 1 kohdan f alakohtaan, rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut;
    • Oikeus pyytää rekisterinpitäjältä pääsyä henkilötietoihin ja oikaisua tai poistamista tai käsittelyn rajoittamista ja vastustaa käsittelyä sekä oikeus tietojen siirrettävyyteen;
    • Jos käsittely perustuu 6 artiklan 1 kohdan a alakohtaan tai 9 artiklan 2 kohdan a alakohtaan, oikeus peruuttaa suostumus milloin tahansa, vaikuttamatta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen hyväksymistä. peruuttaminen;
    • Oikeus tehdä valitus komission jäsenelle;
    • Mistä lähteestä henkilötiedot ovat peräisin, ja tarvittaessa, ovatko ne peräisin julkisesti saatavilla olevista lähteistä;
    • 22 artiklan 1 ja 4 kohdassa tarkoitetun automatisoidun päätöksenteon olemassaolo, mukaan lukien profilointi, ja ainakin näissä tapauksissa mielekkäät tiedot käsittelyn logiikasta sekä tällaisen käsittelyn merkityksestä ja arvioiduista seurauksista rekisteröidylle.
  3. Rekisterinpitäjän on annettava 1 ja 2 kohdassa tarkoitetut tiedot:

    • Kohtuullisen ajan kuluessa henkilötietojen saamisesta, mutta viimeistään kuukauden kuluessa henkilötietojen käsittelyn erityisolosuhteet huomioon ottaen;
    • Jos henkilötietoja aiotaan käyttää kommunikointiin rekisteröidyn kanssa, viimeistään silloin, kun henkilötiedot lähetetään ensimmäisen kerran kyseiselle rekisteröidylle; tai
    • Jos henkilötiedot on tarkoitus luovuttaa toiselle vastaanottajalle, viimeistään silloin, kun henkilötiedot luovutetaan ensimmäisen kerran.
  4. Jos rekisterinpitäjä aikoo käsitellä henkilötietoja edelleen muuhun tarkoitukseen kuin siihen, jota varten henkilötiedot on hankittu, rekisterinpitäjän on ennen jatkokäsittelyä annettava rekisteröidylle tiedot tästä toisesta tarkoituksesta ja kaikki asiaankuuluvat lisätiedot mainitun mukaisesti. kohtaan 2.
  5. Edellä 1–4 kohtaa ei sovelleta, jos ja siltä osin kuin:

    • Rekisteröidyllä on jo tiedot;
    • Tällaisten tietojen toimittaminen osoittautuu mahdottomaksi tai vaatisi suhteetonta vaivaa, erityisesti käsittelyssä yleisen edun mukaista arkistointia, tieteellistä tai historiallista tutkimusta tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdassa tarkoitettujen ehtojen ja takeiden mukaisesti tai siltä osin kuin tämän artiklan 1 kohdassa tarkoitettu velvollisuus on omiaan tekemään mahdottomaksi tai vakavasti haittaamaan käsittelyn tavoitteiden saavuttamista. Tällaisissa tapauksissa rekisterinpitäjän on toteutettava asianmukaiset toimenpiteet rekisteröidyn oikeuksien ja vapauksien sekä oikeutettujen etujen suojelemiseksi, mukaan lukien tietojen saattaminen julkisesti saataville;
    • Tietojen saamisesta tai luovuttamisesta säädetään nimenomaisesti kansallisessa lainsäädännössä, jossa säädetään asianmukaisista toimenpiteistä rekisteröidyn oikeutettujen etujen suojaamiseksi; tai
    • Kun henkilötietojen on pysyttävä luottamuksellisina kansallisessa lainsäädännössä säädetyn salassapitovelvollisuuden, mukaan lukien lakisääteisen salassapitovelvollisuuden, mukaisesti.


Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Tekninen kommentti

Organisaatioiden on annettava seuraavat tiedot saataville koehenkilön tietojen keräämisen jälkeen:

  1. Heidän tietosuojavastaavansa henkilöllisyys.
  2. Tietosuojavastaavansa yhteystiedot.
  3. Tietojen keräämisen tarkoitus ja oikeusperusta.
  4. Epäsuorasti hankittujen henkilötietojen luokat.
  5. Kaikki oikeutetut edut.
  6. Vastaanottajien henkilöllisyys.
  7. Kansainväliset tiedonsiirrot, mukaan lukien maatiedot ja suojatoimenpiteet.

Velvollisuus antaa tietoja, kun henkilötietoja hankitaan

Yllä olevien tietojen lisäksi organisaation tulee toimittaa:

  1. Yksityiskohdat tietojen säilytysajasta;
  2. Rekisteröidyn tietosuojalain mukaisten oikeuksien erityispiirteet;
  3. Tietoja suostumuksen peruuttamisesta;
  4. Kuinka tehdä valitus;
  5. kaikki sopimus- tai lakivaatimukset;
  6. Yksityiskohdat automatisoiduista päätöksentekoprosesseista.

Aikarajat, joille käsittelyä koskevat tiedot on annettava

  • Skenaario 1 – Henkilötiedot kerätään ei aikomusta ottaa yhteyttä rekisteröityyn tai luovuttaa tietoja kolmannelle osapuolelle
    • Yhteydenottoaika - yksi kuukausi
  • Skenaario 2 – Henkilötiedot kerätään aikomus ottaa yhteyttä rekisteröityyn
    • Yhteydenottoaika - kaksi kuukautta
  • Henkilötiedot kerätään aikomus paljastaa ne kolmannelle osapuolelle
    • Yhteydenottoaika - kaksi kuukautta

EU:n GDPR:n artikla 14 ja ISO 27701 -lauseke 7.3.2

Tämä osio viittaa GDPR:n artiklaan 14 (1) (a), 14 (1) (b), 14 (1) (c), 14 (1) (d), 14 (1) (e), 14 (1) ( f), 14 (2) (b), 14 (2) (e), 14 (2) (f), 14 (3) (a), 14 (3) (b), 14 (3) (c) , 14 (4), 14 (5) (a), 14 (5) (b), 14 (5) (c), 14 (5) (d)

Katso ISO 27701:n lausekkeen 7.3.2 ohjeet artikkelista 13.

EU:n GDPR artiklan 14 (2) (d) ja ISO 27701:n lauseke 7.3.4

Katso ISO 27701:n lausekkeen 7.3.4 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(c)) ja ISO 27701:n lauseke 7.3.5

Katso ISO 27701:n lausekkeen 7.3.5 ohjeet artikkelista 13.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


EU:n GDPR:n artikla 14(2(c)) ja ISO 27701:n lauseke 7.3.6

Katso ISO 27701:n lausekkeen 7.3.6 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(g)) ja ISO 27701:n lauseke 7.3.10

Katso ISO 27701:n lausekkeen 7.3.10 ohjeet artikkelista 13.

EU:n GDPR:n artikla 14(2(a)) ja ISO 27701:n lauseke 7.4.7

Katso ISO 27701:n lausekkeen 7.4.7 ohjeet artikkelista 13.

Tuetut säätimet ISO 27701:stä

GDPR-artikkeliISO 27701 -lausekeISO 27701 -tukilausekkeet
EU:n GDPR:n artikla 14 (1) (a)–(5) (d) ISO 27701 7.3.2Ei eristetty
EU:n GDPR artiklan 14 (2) (d) ISO 27701 7.3.4Ei eristetty
EU:n GDPR artiklan 14 (2) (c) ISO 27701 7.3.5Ei eristetty
EU:n GDPR artiklan 14 (2) (c) ISO 27701 7.3.6 ISO 27701 7.3.7
EU:n GDPR:n 14 artiklan 2 kohdan g alakohta ISO 27701 7.3.10Ei eristetty
EU:n GDPR:n 14 artiklan 2 kohdan a alakohta ISO 27701 7.4.7Ei eristetty

Miten ISMS.online auttaa

Tarjoamme ympäristön, joka on valmiiksi rakennettu, jotta voit kuvata ja esitellä lähestymistapaasi Euroopan ja Iso-Britannian asiakastietojesi suojaamiseen, joka sopii saumattomasti hallintajärjestelmääsi.

Siksi olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa. Mitä tahansa tietosuojastandardeja tai säännöksiä parissa työskentelet, sinun on osoitettava, kuinka hyvin hallitset Data Subject Rights Requests (DRR) -pyyntöjä. Suojattu DRR-tilamme pitää kaiken yhdessä paikassa ja tukee sitä automaattisella raportoinnilla ja oivalluksilla.

Lisätietoja: varata 30 minuutin demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!