GDPR
>
Статья 11. Обработка, не требующая идентификации
Статья 11 GDPR. Обработка, не требующая идентификации
Article 11 GDPR. Processing which does not require identification
1. Если цели, для которых контролёр обрабатывает персональные данные, не требуют идентификации субъекта данных контролёром, контролёр не обязан сохранять, извлекать или обрабатывать дополнительную информацию для идентификации субъекта данных исключительно для того, чтобы соответствовать данному Регламенту.
1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.
2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.
2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.
ISO 27701
Связанные статьи
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 11(2) GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить. В зависимости от требований информация может принимать форму уведомления. Примеры типов информации, которая может быть предоставлена субъектам ПИИ:
…
Войти
для доступа к полному тексту
Общий регламент защиты персональных данных (GDPR) Европейского союза
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
General Data Protection Regulation (EU GDPR)
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
Преамбулы
Оставить комментарий
(57) Если персональные данные, обрабатываемые контролёром, не позволяют ему идентифицировать физическое лицо, контролёр данных не обязан стремиться получить дополнительную информацию для идентификации субъекта данных с единственной целью соблюдения любого положения настоящего Регламента. Однако контролёр не должен отказываться принять дополнительную информацию, предоставляемую субъектом данных в целях содействия осуществлению своих прав. Идентификация должна включать в себя цифровую идентификацию субъекта данных, например, посредством механизма аутентификации, такой как те же учётные данные, которые используются субъектом данных для входа под своим логином в онлайновую службу, предоставляемую контролёром данных.
(57) If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller.
(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.
(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.
[js-disqus]
Url выделенного абзаца скопирован в буфер обмена
Подготовка PDF
7.4.5. Деидентификация ПИИ и удаление в конце обработки
Средство управления
Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.
…
Войти
для доступа к полному тексту