(c) одержувачі чи категорії одержувача, якому персональні дані були або будуть розкриті, зокрема, одержувачі в третіх країнах або міжнародні організації;
(d) за можливості, період, протягом якого передбачається, що персональні дані будуть зберігати, або, якщо це неможливо, – критерії визначення такого періоду;
(e) існування права надсилати запит до контролера щодо виправлення чи стирання персональних даних, або обмеження опрацювання персональних даних про суб’єкта даних і заперечувати проти такого опрацювання;
2. Якщо персональні дані передають до третьої країни або до міжнародної організації, суб’єкт даних повинен мати право бути повідомленим про належні гарантії відповідно до статті 46 щодо передавання даних.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 15(2) GDPR:
7.3.2 Determining information for PII principals
Control
The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.
Implementation guidance
The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.
…
Pieslēgties
lai piekļūtu pilnam tekstam
3. Контролер повинен надати копію персональних даних, які знаходяться у процесі опрацювання. Для будь-яких подальших копій, запит на які надсилатиме суб’єкт даних, контролер може стягувати розумну плату, що ґрунтується на адміністративних витратах. У разі подання суб’єктом даних запиту електронними засобами і за винятком його прохання щодо іншої форми інформацію необхідно надавати загальноприйнятими електронними засобами.
(RU)
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 15(3) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Pieslēgties
lai piekļūtu pilnam tekstam
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
(EN)
Concern: Request to access my personal data
Dear Madam, Dear Sir,
I would like to know if you have any data concerning me, processed manually or by automated means, whether stored in digital databases or paper files…
…
Pieslēgties
lai piekļūtu pilnam tekstam
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 15 GDPR:
7.3.2 Determining information for PII principals
Control
The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.
Implementation guidance
The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.
…
Pieslēgties
lai piekļūtu pilnam tekstam
(63) Суб'єкт даних повинен мати право доступу до персональних даних, які збирають щодо нього, і реалізовувати таке право вільно та через розумні проміжки часу для того, щоб бути обізнаним про законність опрацювання та перевірити її. Це включає право суб'єктів даних мати доступ до даних, що стосуються їхнього здоров'я, наприклад даних у їхніх медичних записах, що містять інформацію, таку як діагнози, результати обстеження, оцінювань, які проводять лікарі-куратори, і будь-які інше надане лікування або втручання. Кожен суб'єкт даних повинен, таким чином, мати право знати і отримувати інформацію, зокрема про цілі, для яких опрацьовують персональні дані; за можливості, період, протягом якого опрацьовують персональні дані; одержувачів персональних даних; логіку, що обумовлює будь-яке автоматизоване опрацювання персональних даних, і принаймні, що базується на профайлінгу; наслідки такого опрацювання. За можливості, контролер повинен бути спроможним надавати віддалений доступ до системи безпеки, яка б забезпечила суб'єкту даних прямий доступ до своїх персональних даних. Таке право не повинно негативно впливати на права чи свободи інших осіб, у тому числі комерційні таємниці чи інтелектуальну власність та, зокрема, авторське право в галузі захисту програмного забезпечення. Проте наслідком таких обговорень не повинна бути відмова надати усю інформацію суб'єкту даних. Якщо контролер опрацьовує великі обсяги інформації про суб'єкта даних, він повинен мати можливість надіслати запит про те, щоб до моменту надсилання інформації суб'єкт даних вказав інформацію або види опрацювання даних, яких стосується запит.
(64) Контролер повинен вживати усіх відповідних заходів для перевірки особи суб'єкта даних, який надсилає запит на отримання доступу, зокрема в контексті онлайн-сервісів та онлайн-ідентифікаторів. Контролер не повинен утримувати персональні дані лише з метою мати можливість відреагувати на потенційні запити.
(EN)
Information Commissioner’s Office, Right of Access (2020).
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
EDPB, Guidelines 01/2022on data subject rights – Right of access (2022).
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
(EN)