Navigace
ONOOÚ (GDPR) > Статья 17. Право на удаление данных ("право быть забытым")
Stáhnout

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

1. Субъект данных вправе требовать от контролёра удаления без неоправданной задержки относящихся к нему персональных данных, контролёр обязан незамедлительно удалить персональные данные, если применяется одно из следующих оснований:

Odborný komentář
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(a) персональные данные больше не требуются для целей, для которых они были собраны или обработаны иным способом;

(b) субъект данных отзывает свое согласие, на основании которого согласно пункту (a) Статьи 6(1) или пункту (a) Статьи 9(2) проводится обработка, и если отсутствует иное законное основание для обработки;

Související texty

(c) субъект данных возражает против обработки согласно Статье 21(1), и отсутствуют имеющие преимущественную силу легитимные основания для обработки, или субъект данных возражает против обработки согласно Статье 21(2);

Související texty

(d) персональные данные обрабатывались незаконно;

(e) персональные данные должны быть уничтожены во исполнение правовой обязанности согласно праву Союза или государства-члена, под действие которого подпадает контролёр;

(f) персональные данные собирались в отношении предоставления услуг информационного общества согласно Статье 8(1).

Související texty

2. Если контролёр обнародовал персональные данные и он согласно параграфу 1 обязан удалить персональные данные, контролёр, принимая во внимание имеющихся технологические возможности и расходы на внедрение должен принять разумные меры, в том числе технические меры, чтобы проинформировать контролёров, которые обрабатывают персональные данные, о том, что субъект данных затребовал от них удаление любых ссылок, копий или точных повторений указанных персональных данных.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.

(EN) […]


to read the full text

3. Параграфы 1 и 2 не применяются в тех случаях, когда обработка необходима:

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

(EN) […]


to read the full text

(a) для осуществления права на свободу выражения мнения и свободу информации;

(b) в целях соблюдения правовой обязанности, которая требует проведение обработки согласно праву Союза или государства-члена, под действие которого подпадает контролёр, или для выполнения задачи, осуществляемой в публичном интересе, или при осуществлении официальных полномочий, возложенных на контролёра;

(c) ввиду публичного интереса в области здравоохранения в соответствии с пунктами (h) и (i) Статьи 9(2), а также Статьи 9(3);

Související texty

(d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, указанных в Статье 89(1), постольку, поскольку право, указанное в параграфе 1, может сделать невозможным или негативно отразиться на достижении целей указанной обработки; или

Související texty

(e) для заявления, осуществления или оспаривания правовых требований и исков.

Odborný komentář ISO 27701 Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…

(EN) […]


to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

(EN) […]


to read the full text

Body odůvodnění

(65) Субъект данных должен иметь право на уточнение касающихся его данных и “право быть забытым”, когда сохранение таких данных нарушает настоящий Регламент, законодательство Союза или государства-члена, к которому относится контролёр. В частности, субъект данных должен иметь право на удаление его персональных данных и прекращение их обработки, когда персональные данные уже не нужны для целей, в которых они собирались либо обрабатывались иным способом, либо когда субъект данных отозвал свое согласие или возражает против обработки касающихся его персональных данных, либо когда обработка персональных данные не соответствует настоящему Регламенту. Это правило применяется также в тех случаях, когда субъект данных дал свое согласие ребенком и полностью не осознавал риски, сопряженные с обработкой, и по прошествии времени хочет удалить такие персональные данные, особенно в интернете. Субъект данных должен иметь возможность осуществить данное право несмотря на обстоятельство, что он уже не является ребенком. Однако, дальнейшее сохранение персональных данных должно быть законным, если оно необходимо, для реализации права на свободу выражения и информации, для выполнения юридических обязательств, для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, исходя из общественного интереса в области здравоохранения, для достижения целей общественного интереса, в целях научного или исторического исследования, в статистических целях, либо для обоснования, исполнения или оспаривания исковых требований.

(66) Для того, чтобы усилить право быть забытым в онлайн среде, право исправления должно также быть расширено таким образом, что контролёр, который сделал персональные данные публичными, должен быть обязан информировать контролёров, обрабатывающих такие персональные данные, о необходимости удаления любой ссылки на них, либо копии или репродукции этих персональных данных. Выполняя это обязательство, контролёр должен принять ответственные шаги, учитывая доступные технологии и доступные для контролёра средства, включая технические меры, по информированию контролёров, которые обрабатывают персональные данные по запросу субъекта данных.

Pokyny & Case Law Zanechat komentář
[js-disqus]