Обов'язок інформувати суб'єкта даних при отриманні персональних даних від суб'єкта даних. Коли контролер отримує персональні дані від суб'єкта даних, він повинен одночасно надати суб'єкту даних наступну інформацію особу та контактні дані контролера та його представника, якщо такий є; контактні дані відповідального за захист даних, якщо такий є; цілі обробки, для яких призначені персональні дані, та правові підстави для обробки; законні інтереси контролера або третьої сторони, якщо обробка ґрунтується на законному інтересі; одержувачів або категорії одержувачів персональних даних, якщо такі є; намір контролера передати персональні дані третій стороні або міжнародній організації, якщо такі є; наявність або відсутність рішення Комісії про адекватність, а у випадках передачі, зазначених у статтях 46 або 47 або статті 10(1)(a), - наявність або відсутність рішення Комісії про адекватність. 49(1), другий підпункт, Регламенту (ЄС) 2016/679, посилання на відповідні гарантії та засоби отримання копії даних або інформацію про те, де ці дані були розкриті. Крім того, контролер повинен одночасно надати суб'єкту даних таку додаткову інформацію, яка необхідна для забезпечення справедливої та прозорої обробки: період часу, протягом якого персональні дані будуть зберігатися, або, якщо це неможливо визначити, критерії, що використовуються для визначення цього періоду; наявність права вимагати від контролера доступу до персональних даних, їх виправлення або видалення, або обмеження, та заперечувати проти обробки, а також право на перенесення даних; якщо обробка базується на згоді, наявність права відкликати згоду в будь-який час, без шкоди для законності обробки, що базується на згоді, наданій до її відкликання; наявність права подати скаргу до наглядового органу; чи є надання персональних даних законодавчою або договірною вимогою або вимогою, що підлягає включенню в договір, і чи зобов'язаний суб'єкт даних надавати персональні дані, а також можливі наслідки ненадання таких даних; той факт, що автоматизоване прийняття рішень, включаючи профілювання, про яке йдеться в ст. 22(1) і ст. 22(1) і ст. 22(2), не може здійснюватися без згоди суб'єкта даних; а також те, що автоматизоване прийняття рішень, включаючи профайлінг, про який йдеться в ст. 22(1) і ст. 22(2). 22(1) і (4) Регламенту 2016/679, і, принаймні в цих випадках, змістовну інформацію про використовуваний процес, а також про значення і передбачувані наслідки такої обробки для суб'єкта даних. Якщо контролер має намір надалі обробляти персональні дані з іншою метою, ніж та, для якої вони були зібрані, він повинен надати суб'єкту даних попередню інформацію про цю іншу мету та відповідну додаткову інформацію, зазначену вище. Контролер не повинен надавати інформацію в тій мірі, в якій суб'єкт даних вже знає про неї.

Інформування суб'єкта даних, якщо персональні дані не були отримані від нього. Якщо контролер не отримав персональні дані від суб'єкта даних, він повинен згодом надати суб'єкту даних наступну інформацію: ідентифікаційні та контактні дані контролера та його представника, якщо такий є; контактні дані уповноваженого із захисту даних, якщо такий є; цілі обробки, для яких призначені персональні дані, та правові підстави для обробки; категорії персональних даних; одержувачі або категорії одержувачів персональних даних, якщо такі є; намір контролера передати персональні дані третій країні або міжнародній організації, якщо такі є; наявність або відсутність рішення Комісії про адекватність, а також, у випадках передачі, зазначених у статтях 46, 47 та підпункті "а" пункту 1 частини першої статті 10, наявність або відсутність рішення Комісії про адекватність. 49(1), другий підпункт, Регламенту (ЄС) 2016/679, посилання на відповідні гарантії та засоби отримання копії даних або інформацію про те, де ці дані були розкриті. Крім того, контролер повинен одночасно надати суб'єкту даних таку додаткову інформацію, яка необхідна для забезпечення справедливої та прозорої обробки: період часу, протягом якого зберігатимуться персональні дані, або, якщо це неможливо визначити, критерії, що використовуються для визначення цього періоду; законні інтереси контролера або третьої сторони, якщо обробка ґрунтується на законному інтересі; наявність права вимагати від контролера доступу до персональних даних, їх виправлення або видалення, або, у відповідних випадках, обмеження обробки та заперечення проти обробки, а також право на перенесення даних; якщо обробка ґрунтується на згоді, наявність права відкликати згоду в будь-який час без шкоди для законності обробки на підставі згоди, наданої до її відкликання; наявність права подати скаргу до наглядового органу; джерело персональних даних і, де це застосовно, інформацію про те, чи походять ці дані із загальнодоступних джерел; факт автоматизованого прийняття рішень, включаючи профілювання, про яке йдеться в статті 4(1)(b) Директиви 95/46/ЄС. 22(1) і (4) Регламенту 2016/679, і, принаймні в цих випадках, значущу інформацію про використовуваний процес, а також про значення і передбачувані наслідки такої обробки для суб'єкта даних. Якщо контролер має намір надалі обробляти персональні дані з іншою метою, ніж та, для якої вони були зібрані, він повинен надати суб'єкту даних попередню інформацію про цю іншу мету та відповідну додаткову інформацію, зазначену вище. Інформація повинна бути надана не пізніше, ніж протягом 1 місяця з моменту її отримання, під час першої комунікації, для якої використовуються дані, перед першим розкриттям даних іншому одержувачу. Контролер не повинен надавати інформацію в тому обсязі, в якому суб'єкт даних вже знає про неї. Інформація не надається, якщо це неможливо без надмірних зусиль або суттєво перешкоджає досягненню мети обробки, або якщо обробка та заходи щодо захисту суб'єкта даних вимагаються законом або є предметом зобов'язання щодо конфіденційності.

Право на доступ до своїх персональних даних. Суб'єкт даних має право отримати від контролера підтвердження того, чи обробляються його персональні дані. Якщо так, то він має право отримати доступ до цих персональних даних і до наступної інформації цілі обробки; категорії персональних даних, про які йдеться; одержувачів або категорії одержувачів, яким було або буде розкрито персональні дані, зокрема одержувачів у третіх країнах або міжнародних організаціях; передбачуваний строк зберігання персональних даних або, якщо його неможливо визначити, критерії, на підставі яких цей строк визначався наявність права вимагати від контролера виправити або видалити персональні дані, що стосуються суб'єкта даних, або обмежити чи заперечити проти обробки; право подати скаргу до наглядового органу; будь-яку доступну інформацію про джерело персональних даних, якщо вона не була отримана від суб'єкта даних; факт автоматизованого прийняття рішень, у тому числі профайлінгу, як зазначено в статті 2(1)(а) Директиви 95/46/ЄС. 22(1) і (4) Регламенту (ЄС) 2016/679; і, принаймні в цих випадках, значущу інформацію про процедуру, що використовується, а також про значення і передбачувані наслідки такої обробки для суб'єкта даних. У разі передачі даних до третьої країни або міжнародної організації суб'єкт даних має право бути поінформованим про відповідні гарантії.

Повідомлення про виправлення, видалення або обмеження обробки персональних даних. Контролер повинен повідомляти окремих одержувачів, яким було розкрито персональні дані, про будь-яке виправлення або видалення персональних даних або обмеження обробки, здійснене відповідно до статей 16, 17(1) та 18 Регламенту (ЄС) 2016/679, за винятком випадків, коли це виявляється неможливим або вимагає непропорційних зусиль. Контролер повинен повідомити суб'єкта даних про таких одержувачів, якщо суб'єкт даних про це просить.

Ведення обліку діяльності з обробки персональних даних контролером. Контролер (його представник) повинен вести облік діяльності з обробки персональних даних, за яку він відповідає, і надавати його на вимогу наглядового органу (Органу захисту даних). Контролер, у якого працює менше 250 співробітників, може не виконувати цей обов'язок, якщо обробка є епізодичною, з низьким рівнем ризику і не стосується чутливих (статті 9 і 10 Регламенту 2016/679) даних. Запис про кожну операцію з обробки повинен містити ім'я та контактні дані контролера та, за необхідності, спільного контролера, представника контролера та відповідального за захист даних; цілі обробки; опис категорій суб'єктів даних та категорій персональних даних; категорії одержувачів, яким були або будуть розкриті персональні дані, включаючи одержувачів у третіх країнах або міжнародних організаціях; інформацію про будь-яку передачу персональних даних третій країні або міжнародній організації, включаючи ідентифікацію цієї третьої країни або міжнародної організації та, де це застосовно, демонстрацію відповідних гарантій; де це можливо, передбачені строки для видалення кожної категорії даних; де це можливо, загальний опис технічних та організаційних заходів безпеки.