Povinnost informovat subjekt údajů při získávání osobních údajů od tohoto subjektu. Pokud správce získává osobní údaje od subjektu údajů, poskytne mu současně tyto informace: totožnost a kontaktní údaje správce a jeho případného zástupce; případně kontaktní údaje případného pověřence pro ochranu osobních údajů; účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na oprávněném zájmu; případné příjemce nebo kategorie příjemců osobních údajů; případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci nařízení (EU) 2016/679, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. Navíc současně poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování: doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů; pokud je zpracování založeno na souhlasu, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním; existence práva podat stížnost u dozorového úřadu; skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů; skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 nařízení 2016/679, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne předem subjektu údajů informace o tomto jiném účelu a příslušné výše uvedené další informace. Správce neposkytuje informace v rozsahu, ve kterém je již subjekt údajů zná.

Informování subjektu údajů, pokud osobní údaje nebyly získány od něho. Pokud správce nezískal osobní údaje od subjektu údajů, poskytne mu následně tyto informace: totožnost a kontaktní údaje správce a jeho případného zástupce; případně kontaktní údaje případného pověřence pro ochranu osobních údajů; účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; kategorie osobních údajů; případné příjemce nebo kategorie příjemců osobních údajů; případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci nařízení (EU) 2016/679, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. Navíc současně poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování: doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na oprávněném zájmu; existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů; pokud je zpracování založeno na souhlasu, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním; existence práva podat stížnost u dozorového úřadu; zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů; skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 nařízení 2016/679, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne předem subjektu údajů informace o tomto jiném účelu a příslušné výše uvedené další informace. Informace se poskytují nejpozději do 1 měsíce od jejich získání, při první komunikaci pro níž jsou údaje použity, před prvním zpřístupněním údajů jinému příjemci. Správce neposkytuje informace v rozsahu, ve kterém je již subjekt údajů zná. Informace se neposkytují, není-li to možné bez nepřiměřeného úsilí nebo by to podstatně ztížilo dosažení cíle zpracování, nebo jsou-li zpracování a opatření pro ochranu subjektu údajů stanovena právem nebo podléhají-li povinnosti mlčenlivosti.

Právo na přístup ke svým osobním údajům. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Pokud ano, má právo získat přístup k těmto osobním údajům a k následujícím informacím: účely zpracování; kategorie dotčených osobních údajů; příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; právo podat stížnost u dozorového úřadu; veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 nařízení (EU) 2016/679, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů. V případě předání do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách.

Oznámení opravy, výmazu nebo omezení zpracování osobních údajů. Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18 nařízení (EU) 2016/679, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Vytvoření záznamu o činnostech zpracování osobních údajů jejich správcem. Správce (jeho zástupce) vede záznamy o činnostech zpracování osobních údajů, za které zodpovídá, a které na vyžádání poskytne dozorovému úřadu (Úřad na ochranu osobních údajů). Správce s méně než 250 zaměstnanci tuto povinnost neplní, pokud je zpracování příležitostné, málo rizikové a nezahrnuje citlivé (čl. 9 a 10 nařízení 2016/679) údaje. Záznam pro každou činnost zpracování obsahuje jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů; účely zpracování; popis kategorií subjektů údajů a kategorií osobních údajů; kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a případně doložení vhodných záruk; je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.