Nawigacja
RODO > Artyku艂 11. Przetwarzanie niewymagaj膮ce identyfikacji
Pobierz jako plik PDF

Artyku艂 11 RODO. Przetwarzanie niewymagaj膮ce identyfikacji

Article 11 GDPR. Processing which does not require identification

1. Je偶eli cele, w kt贸rych administrator przetwarza dane osobowe, nie wymagaj膮 lub ju偶 nie wymagaj膮 zidentyfikowania przez niego osoby, kt贸rej dane dotycz膮, administrator nie ma obowi膮zku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, kt贸rej dane dotycz膮, wy艂膮cznie po to, by zastosowa膰 si臋 do niniejszego rozporz膮dzenia.

1. If the purposes for which a controller processes personal data do not or do no longer require the identification of a data subject by the controller, the controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purpose of complying with this Regulation.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 11(1) GDPR:

7.4.5 PII de-identification and deletion at the end of processing

Control

The organization should either delete PII or render it in a form which does not permit identification or re-identification of PII principals, as soon as the original PII is no longer necessary for the identified purpose(s).


aby uzyska膰 dost臋p do pe艂nego tekstu

2. Je偶eli w przypadkach, o kt贸rych mowa w ust. 1 niniejszego artyku艂u, administrator mo偶e wykaza膰, 偶e nie jest w stanie zidentyfikowa膰 osoby, kt贸rej dane dotycz膮, w miar臋 mo偶liwo艣ci informuje o tym osob臋, kt贸rej dane dotycz膮. W takich przypadkach zastosowania nie maj膮 art. 15鈥20, chyba 偶e osoba, kt贸rej dane dotycz膮, w celu wykonania praw przys艂uguj膮cych jej na mocy tych artyku艂贸w dostarczy dodatkowych informacji pozwalaj膮cych j膮 zidentyfikowa膰.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 11(2) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

Depending on the requirements, the information can take the form of a notice. Examples of types of information that can be provided to PII principals are:

 


aby uzyska膰 dost臋p do pe艂nego tekstu

Powi膮zane teksty
Motywy zostaw komentarz
Motywy

(57) Je偶eli dane osobowe przetwarzane przez administratora nie pozwalaj膮 mu zidentyfikowa膰 osoby fizycznej, nie powinien on mie膰 obowi膮zku uzyskania dodatkowych informacji w celu zidentyfikowania osoby, kt贸rej dane dotycz膮, wy艂膮cznie po to, by zastosowa膰 si臋 do przepis贸w niniejszego rozporz膮dzenia. Administrator nie powinien jednak odmawia膰 przyj臋cia dodatkowych informacji od osoby, kt贸rej dane dotycz膮, by u艂atwi膰 jej wykonywanie jej praw. Weryfikacja to偶samo艣ci powinna obejmowa膰 cyfrow膮 identyfikacj臋 osoby, kt贸rej dane dotycz膮, na przyk艂ad poprzez mechanizm uwierzytelniania, taki jak te same dane uwierzytelniaj膮ce, kt贸rych osoba, kt贸rej dane dotycz膮, u偶ywa, by zalogowa膰 si臋 do us艂ug internetowych oferowanych przez administratora.

(57) If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller.

(64) Administrator powinien skorzysta膰 z wszelkich rozs膮dnych 艣rodk贸w w celu zweryfikowania to偶samo艣ci 偶膮daj膮cej dost臋pu osoby, kt贸rej dane dotycz膮, w szczeg贸lno艣ci w kontek艣cie us艂ug internetowych i identyfikator贸w internetowych. Administrator nie powinien zatrzymywa膰 danych osobowych wy艂膮cznie w celu reagowania na ewentualne 偶膮dania.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

zostaw komentarz
[js-disqus]