1. Если персональные данные получены не от субъекта данных, контролёр должен предоставить субъекту данных следующую информацию:
(c) цели обработки, для которой предназначаются персональные данные, а также правовое основание для обработки;
(f) в соответствующих случаях, намерение контролёра передать персональные данные третьей стране или международной организации, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) – ссылка на соответствующие и надлежащие гарантии и способы, посредством которых может быть получена их копия, или где они могут быть предоставлены.
(c) существование права требовать от контролёра доступ к соответствующим персональным данным, их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 14(2)(c) GDPR:
7.3.5 Providing mechanism to object to PII processing
Control
The organization should provide a mechanism for PII principals to object to the processing of their PII.
Implementation guidance
Some jurisdictions provide PII principals with a right to object to the processing of their PII.
[…]
Se connecter
lire le texte complet
(d) в случае если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(d) GDPR:
7.3.4 Providing mechanism to modify or withdraw consent
Control
The organization should provide a mechanism for PII principals to modify or withdraw their consent.
Implementation guidance
The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.
[…]
Se connecter
lire le texte complet
(f) из каких источников происходят персональные данные и, при необходимости, взяты ли они из общедоступных источников;
(g) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(g) GDPR:
7.3.10 Automated decision making
Control
The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.
[…]
Se connecter
lire le texte complet
(a) в разумный срок после получения персональных данных, но не позже одного месяца, с учетом особых условий обработки персональных данных;
(b) если персональные данные должны использоваться для коммуникации с субъектом данных, не позже первого обращения к указанному субъекту данных; или
(c) если предусмотрено раскрытие информации другому получателю, не позже первоначального раскрытия персональных данных.
4. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых они были собраны, перед последующей обработкой он должен предоставить субъекту данных информацию об указанных иных целях, а также любую релевантную информацию, указанную в параграфе 2.
(b) предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, с учетом условий и гарантий, указанных в Статье 89(1), или постольку, поскольку обязанность, указанная в параграфе 1 настоящей Статьи, может сделать невозможным или негативно отразиться на достижении целей указанной обработки. В указанных случаях контролёр должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных, включая доведение информации до всеобщего сведения;
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО « Дата Прайваси Офис ».
(EN) To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:
It looks like this:
[…]
Se connecter
lire le texte complet
(EN)
Concern: Request of information regarding my personal data
Dear Madam, Dear Sir,
I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…
[…]
Se connecter
lire le texte complet
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14 GDPR:
7.3.2 Determining information for PII principals
Control
The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.
Implementation guidance
The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.
[…]
Se connecter
lire le texte complet
CJUE, College van burgemeester en wethouders van Rotterdam/Rijkeboer, aff. C-553/07 (2009).
CJUE, YS/Minister voor Immigratie, Integratie en Asiel, aff. jointes C-141/12 et C-372/12 (2014).
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 14(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
[…]
Se connecter
lire le texte complet