Article 15 📖 GDPR. Right of access by the data subject

Статья 15 GDPR. Право доступа субъекта данных

1. Субъект данных имеет право запрашивать у контролёра подтверждение относительно того, обрабатываются ли относящиеся к нему персональные данные, и если так, то он имеет право на доступ к персональным данным и следующей информации:

Expert commentary

Author

Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

Ask a question

(a) цели обработки;

(b) категории соответствующих персональных данных;

(c) получатели или категории получателей, которым были или будут раскрыты персональные данные, в частности, получатели в третьих странах или международные организации;

(d) по мере возможности, предусмотренный срок хранения персональных данных, или, при отсутствии соответствующей возможности, критерии, используемые для определения указанного периода;

(e) существование права требовать от контролёра исправления или удаления соответствующих персональных данных, или ограничения их обработки, или возражать против указанной обработки;

(f) право подачи жалобы в надзорный орган;

(g) если персональные данные получены не от субъекта данных, любая доступная информация об их источнике;

(h) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

[…]

Статья 4 GDPR. Определения

Для целей настоящего Регламента используются следующие термины:

[…]

(4) «Профилирование» — это любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений;

[…]

2. Если персональные данные передаются в третью страну или международную организацию, субъект данных вправе получить информацию о надлежащих средствах защиты согласно Статье 46 касательно передачи данных.

ISO 27701 Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 15(2) GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

3. Контролёр должен предоставить копию обрабатываемых персональных данных. За любые дополнительные копии, запрашиваемые субъектом данных, контролёр может взимать разумную плату, руководствуясь административными расходами. Если субъект данных подает запрос электронным способом, информация должна быть представлена в общепринятой электронной форме, если субъект данных не запрашивает иное.

ISO 27701

(RU)

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 15(3) GDPR:

8.3.1 Обязательства по отношению к субъектам ПИИ

Средство управления

Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.

Руководство по внедрению

Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.

[…]

4. Право на получение копии, указанное в параграфе 3, не должно оказывать негативного влияния на права и свободы других лиц.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment

Expert commentary

Data Subject Request Letter Sample

Concern: Request to access my personal data

Dear Madam, Dear Sir,

I would like to know if you have any data concerning me, processed manually or by automated means, whether stored in digital databases or paper files…

[…]

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 15 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

[…]

Recitals

(63) Субъект данных должен иметь право доступа к своим персональным данным. Это право должно осуществляться беспрепятственно и с определённой периодичностью, в целях получения информации по обработке и проверки ее правомерности. Это охватывает право субъектов данных на доступ к персональным данным, касающихся их здоровья; например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или медицинских вмешательствах. Поэтому каждый субъект данных должен иметь право знать и получать сведения в отношении целей, для которых обрабатываются его персональные данные; по возможности, в отношении срока, в течение которого обрабатываются персональные данные; получателей персональных данных; алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она основана на профилировании. При наличии соответствующей возможности, контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной собственности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу от предоставления всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнение информации или вида обработки, к которому относится запрос.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

Guidelines & Case Law