1. Jekk il-finijiet li għalihom il-kontrollur jipproċessa data personali ma jeħtiġux jew ma għadhomx jeħtieġu l-identifikazzjoni ta’ suġġett tad-data mill-kontrollur, il-kontrollur ma għandux ikun obbligat li jżomm, jikseb jew jipproċessa informazzjoni addizzjonali sabiex jidentifika s-suġġett tad-data għall-unika raġuni li jikkonforma ma’ dan ir-Regolament.
2. Fejn, fil-każijiet imsemmija fil-paragrafu 1 ta’ dan l-Artikolu, il-kontrollur ikun jista’ juri li mhuwiex f’pożizzjoni li jidentifika s-suġġett tad-data, il-kontrollur għandu jinforma lis-suġġett tad-data b’dan, jekk possibbli. F’tali każijiet, l-Artikoli 15 sa 20 ma japplikawx għajr fejn is-suġġett tad-data, għall-fini li jeżerċita d-drittijiet tiegħu taħt dawk l-Artikoli, jipprovdi informazzjoni addizzjonali li tippermetti li huwa jiġi identifikat.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 11(2) GDPR:
7.3.2 Determining information for PII principals
Control
The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.
Implementation guidance
The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.
Depending on the requirements, the information can take the form of a notice. Examples of types of information that can be provided to PII principals are:
(EN) […]
(EN) Sign in
to read the full text
(57) Jekk id-data personali pproċessata minn kontrollur ma tippermettix l-identifikazzjoni ta' persuna fiżika, il-kontrollur tad-data ma għandux ikun obbligat li jikseb informazzjoni addizzjonali sabiex jidentifika s-suġġett tad-data għall-fini waħdieni li jikkonforma ma' xi dispożizzjoni ta' dan ir-Regolament. Madankollu, il-kontrollur ma għandux jirrifjuta li jieħu l-informazzjoni addizzjonali pprovduta mis-suġġett tad-data sabiex jappoġġa l-eżerċizzju tad-drittijiet tiegħu jew tagħha. L-identifikazzjoni għandha tinkludi l-identifikazzjoni diġitali ta' suġġett tad-data, pereżempju permezz ta' mekkaniżmu ta' awtentikazzjoni bħall-istess kredenzjali, użati mis-suġġett tad-data biex jilloggja fis-servizz online offrut mill-kontrollur tad-data.
(64) Il-kontrollur għandu juża l-miżuri kollha raġonevoli sabiex jivverifika l-identità ta' suġġett tad-data li jitlob aċċess, b'mod partikolari fil-kuntest ta' servizzi online u identifikaturi online. Il-kontrollur m'għandux iżomm id-data personali għall-għan uniku li jkun jista' jirreaġixxi għal talbiet potenzjali.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 11(1) GDPR:
7.4.5 PII de-identification and deletion at the end of processing
Control
The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).
(EN) […]
(EN) Sign in
to read the full text