20 straipsnis 📖 BDAR. Teisė į duomenų perkeliamumą

20 straipsnis BDAR. Teisė į duomenų perkeliamumą

Article 20 GDPR. Right to data portability

1. Duomenų subjektas turi teisę gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui susistemintu, įprastai naudojamu ir kompiuterio skaitomu formatu, ir turi teisę persiųsti tuos duomenis kitam duomenų valdytojui, o duomenų valdytojas, kuriam asmens duomenys buvo pateikti, turi nesudaryti tam kliūčių, kai:

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

Ekspertų komentarai

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

a) duomenų tvarkymas yra grindžiamas sutikimu pagal 6 straipsnio 1 dalies a punktą arba 9 straipsnio 2 dalies a punktą arba sutartimi pagal 6 straipsnio 1 dalies b punktą; ir

(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

Jungtys

6 straipsnis BDAR. Tvarkymo teisėtumas

Article 6 GDPR. Lawfulness of processing

1. Duomenų tvarkymas yra teisėtas tik tuo atveju, jeigu taikoma bent viena iš šių sąlygų, ir tik tokiu mastu, kokiu ji yra taikoma:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

a) duomenų subjektas davė sutikimą, kad jo asmens duomenys būtų tvarkomi vienu ar keliais konkrečiais tikslais;

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

b) tvarkyti duomenis būtina siekiant įvykdyti sutartį, kurios šalis yra duomenų subjektas, arba siekiant imtis veiksmų duomenų subjekto prašymu prieš sudarant sutartį;

(b) processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;

[…]

9 straipsnis BDAR. Specialių kategorijų asmens duomenų tvarkymas

Article 9 GDPR. Processing of special categories of personal data

1. Draudžiama tvarkyti asmens duomenis, atskleidžiančius rasinę ar etninę kilmę, politines pažiūras, religinius ar filosofinius įsitikinimus ar narystę profesinėse sąjungose, taip pat tvarkyti genetinius duomenis, biometrinius duomenis, siekiant konkrečiai nustatyti fizinio asmens tapatybę, sveikatos duomenis arba duomenis apie fizinio asmens lytinį gyvenimą ir lytinę orientaciją.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. 1 dalis netaikoma, jei taikoma viena iš toliau nurodytų sąlygų:

2. Paragraph 1 shall not apply if one of the following applies:

a) duomenų subjektas aiškiai sutiko, kad tokie asmens duomenys būtų tvarkomi vienu ar keliais nurodytais tikslais, išskyrus atvejus, kai Sąjungos arba valstybės narės teisėje numatyta, kad 1 dalyje nurodyto draudimo duomenų subjektas negali panaikinti;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

[…]

b) duomenys yra tvarkomi automatizuotomis priemonėmis.

(b) the processing is carried out by automated means.

2. Naudodamasis savo teise į duomenų perkeliamumą pagal 1 dalį, duomenų subjektas turi teisę, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam, kai tai techniškai įmanoma.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3. Šio straipsnio 1 dalyje nurodyta teise naudojamasi nedarant poveikio 17 straipsniui. Ta teisė netaikoma, kai tvarkyti duomenis būtina siekiant atlikti užduotį, vykdomą viešojo intereso labui arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas.

3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Jungtys

17 straipsnis BDAR. Teisė reikalauti ištrinti duomenis („teisė būti pamirštam“)

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

4. 1 dalyje nurodyta teisė negali daryti neigiamo poveikio kitų teisėms ir laisvėms.

4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

Europos Sąjungos Bendrasis duomenų apsaugos reglamentas (BDAR)

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Ekspertų komentarai ISO 27701 Konstatuojamosios dalys Gairės & Byla Teisė Palikite komentarą

Ekspertų komentarai

(EN) The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

…

Prisijungti
norėdami pasiekti visą tekstą

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

…

Prisijungti
norėdami pasiekti visą tekstą

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

…

Prisijungti
norėdami pasiekti visą tekstą

Konstatuojamosios dalys

(68) kad duomenų subjektai galėtų geriau kontroliuoti savo duomenis, tais atvejais, kai asmens duomenys tvarkomi automatizuotomis priemonėmis, duomenų subjektui taip pat turėtų būti leidžiama gauti su juo susijusius asmens duomenis, kuriuos jis pateikė duomenų valdytojui, susistemintu, paprastai naudojamu, kompiuterio skaitomu ir sąveikiu formatu ir persiųsti juos kitam duomenų valdytojui. Reikėtų skatinti duomenų valdytojus kurti sąveikius formatus, kad būtų užtikrinamas duomenų perkeliamumas. Ta teisė turėtų būti taikoma tais atvejais, kai duomenų subjektas asmens duomenis pateikė savo sutikimu arba tvarkyti asmens duomenis reikia vykdant sutartį. Ji neturėtų būti taikoma, jeigu duomenų tvarkymas grindžiamas teisiniu pagrindu nei sutikimas ar sutartis. Dėl pačios tos teisės esmės ja neturėtų būti naudojamasi prieš duomenų valdytojus, kurie asmens duomenis tvarko vykdydami savo viešąsias pareigas. Todėl ši teisė neturėtų būti taikoma tais atvejais, kai asmens duomenų tvarkymas yra būtinas duomenų valdytojui siekiant laikytis jam nustatytos teisinės prievolės arba siekiant atlikti užduotį, vykdomą dėl viešojo intereso arba vykdant duomenų valdytojui pavestas viešosios valdžios funkcijas. Duomenų subjekto teisė persiųsti arba gauti savo asmens duomenis neturėtų sukurti duomenų valdytojams prievolės nustatyti ar išlaikyti duomenų tvarkymo sistemas, kurios yra techniškai suderinamos. Jei su tam tikru asmens duomenų rinkiniu yra susijęs daugiau nei vienas duomenų subjektas, teise gauti asmens duomenis neturėtų būti daromas poveikis kitų duomenų subjektų teisėms ir laisvėms pagal šį reglamentą. Be to, ta teise neturėtų būti daromas poveikis duomenų subjekto teisei pasiekti, kad asmens duomenys būtų ištrinti, ir tos teisės apribojimams, kaip nustatyta šiame reglamente; visų pirma tai neturėtų reikšti, kad gali būti ištrinti su duomenų subjektu susiję asmens duomenys, kuriuos jis pateikė sutarties vykdymo tikslu, jeigu tie duomenys būtini tai sutarčiai vykdyti ir tol, kol tie asmens duomenys tam yra būtini. Kai techniškai įmanoma, duomenų subjektas turėtų turėti teisę pasiekti, kad vienas duomenų valdytojas asmens duomenis tiesiogiai persiųstų kitam duomenų valdytojui;

(68) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.

Gairės & Byla Teisė

(EN)

Documents

Article 29 Working Party, Guidelines on the Right to Data Portability (2017).

Information Commissioner’s Office, Right of Access (2020).

EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).

Palikite komentarą

[js-disqus]