Madde 14 - Kişisel verilerin veri sahibinden alınmadığı hallerde sağlanacak bilgiler

  1. Kişisel verilerin veri sahibinden alınmaması durumunda, kontrolör veri sahibine aşağıdaki bilgileri sağlar:
    1. kontrolörün ve, uygun olduğu hallerde, kontrolörün temsilcisinin kimlik ve irtibat bilgileri; (b) uygun olduğu hallerde, veri koruma görevlisinin irtibat bilgileri;
    2. kişisel verilerin planlanan işlenme amaçlarının yanı sıra işleme faaliyetinin yasal dayanağı; (d) ilgili kişisel veri kategorileri;
    3. varsa, kişisel verilerin alıcıları veya alıcı kategorileri;
    4. uygun olduğu hallerde, kontrolörün kişisel verileri üçüncü bir ülke veya uluslararası kuruluşa aktarmayı amaçladığı ve Komisyon tarafından bir yeterlilik kararı verilip verilmediği ya da, 46 veya 47. maddelerde veya 49(1) maddesinin ikinci alt paragrafında atıfta bulunulan aktarımlar olması halinde, uygun veya münasip güvencelere ilişkin atıf ve bunların bir nüshasının elde edilme yolları veya bunların nerede sağlandığı.
  2. 1. paragrafta atıfta bulunulan bilgilere ek olarak, kontrolör veri sahibi açısından adil ve şeffaf bir işleme faaliyetinin sağlanması için gereken aşağıdaki bilgileri veri sahibine sağlar:
    1. kişisel verilerin saklanacağı süre veya, bunun mümkün olmaması halinde, bu sürenin belirlenmesi amacı ile kullanılan kriterler;
    2. işleme faaliyetinin 6(1) maddesinin (f) bendine dayanması durumunda, kontrolör veya üçüncü bir kişi tarafından gözetilen meşru menfaatler;
    3. kontrolörden kişisel verilere erişim ve kişisel verilerin düzeltilmesi ya da silinmesini veya veri sahibi ile ilgili işleme faaliyetinin kısıtlanmasını talep etme ve işleme faaliyetine itiraz etme hakkının yanı sıra verilerin taşınabilirliği hakkının varlığı;
    4. işleme faaliyetinin 6(1) maddesinin (a) bendine veya 9(2) maddesinin (a) bendine dayandığı hallerde, rızanın geri çekilmesinden önce rızaya dayalı olarak gerçekleştirilen işleme faaliyetinin hukuka uygunluğu etkilenmeden, herhangi bir zamanda rızayı geri çekme hakkının varlığı;
    5. bir denetim makamına şikayette bulunma hakkı;
    6. kişisel verilerin hangi kaynaktan alındığı, ve uygun olduğu hallerde, kişisel verilerin kamunun erişebileceği kaynaklardan gelip gelmediği;
    7. profil çıkarma da dahil olmak üzere 22(1) ve (4) maddelerinde atıfta bulunulan otomatik karar vermenin varlığı ve, en azından bu hallerde, yürütülen mantığa ilişkin anlamlı bilgilerin yanı sıra söz konusu işleme faaliyetinin veri sahibi açısından önemi ve öngörülen sonuçları.
  3. Kontrolör 1 ve 2. paragraflarda atıfta bulunulan bilgileri şu şekilde sağlar:
    1. kişisel verilerin elde edilmesinden itibaren makul bir süre içerisinde, ancak kişisel verilerin işlendiği spesifik koşullar göz önünde tutularak, en geç bir ay içerisinde;
    2. kişisel verilerin veri sahibi ile iletişim açısından kullanılacak olması durumunda, en geç söz konusu veri sahibi ile ilk kez iletişime geçildiği zaman veya
    3. başka bir alıcıya açıklamanın öngörülmesi halinde, en geç kişisel veriler ilk kez açıklandığı zaman.
  4. Kontrolörün kişisel verileri bu verilerin elde edilme amacı dışında bir amaçla işleme faaliyetine niyet ettiği hallerde, kontrolör söz konusu işleme faaliyetinden önce diğer amaca ilişkin bilgileri ve 2. paragrafta atıfta bulunulan diğer ilgili bilgileri veri sahibine sağlar.
  5. 1 ila 4. paragraflar aşağıdaki hallerde ve ölçüde uygulanmaz:
    1. veri sahibinin halihazırda bilgisinin olması;
    2. 89(1) maddesinde atıfta bulunulan koşullar ve güvencelere tabi olarak kamu yararına arşivleme amaçları, bilimsel veya tarihi araştırma amaçları ya da istatistiki amaçlar başta olmak üzere söz konusu bilgilerin sağlanmasının imkansız olması veya ölçüsüz bir çaba gerektirmesi halinde veya bu maddenin 1. paragrafında atıfta bulunulan yükümlülüğün bu işleme hedeflerinin yakalanmasını imkansız hale getirmesi veya yakalanmasına ciddi şekilde zarar vermesinin muhtemel olduğu ölçüde. Bu durumlarda, kontrolör bilginin kamuya açıklanması da dahil olmak üzere veri sahibinin hakları ile özgürlükleri ve meşru menfaatlerinin korunması amacıyla uygun tedbirler alır;
    3. elde etme veya açıklamanın kontrolörün tabi olduğu ve veri sahibinin meşru menfaatlerinin korunması amacıyla uygun tedbirler sağlanan Birlik veya üye devlet hukukunda açık bir şekilde ortaya konması veya
    4. kişisel verilerin yasal bir gizlilik yükümlülüğü de dahil olmak üzere Birlik ya da üye devlet hukuku ile düzenlenen bir mesleki gizlilik yükümlülüğüne tabi olarak gizli kalmasının gerekmesi.