1. Субъект данных имеет право получить относящиеся к нему персональные данные, которые он предоставил контролёру, в структурированном, повсеместно используемом и машиночитаемом формате и он имеет право передать указанные данные иному контролёру беспрепятственно со стороны контролёра, которому были предоставлены персональные данные, если:
2. При осуществлении права на переносимость данных согласно параграфу 1 субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролёра другому, если это технически осуществимо.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.
The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.
[…]
Sign in
to read the full text
Concern: Exercise my right to data portability
Dear Madam, Dear Sir,
I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…
[…]
Sign in
to read the full text
ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 20 GDPR:
7.3.8 Providing copy of PII processed
Control
The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.
Implementation guidance
The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.
[…]
Sign in
to read the full text
(68) Для усиление контроля над своими персональными данными, когда обработка осуществляется автоматизированными средствами, субъект данных также имеет доступ к получению персональных данных, относящихся к нему, которые он предоставил контролёру в структурированном, повсеместно используемом, машиночитаемом и совместимом формате, и передать их другому контролёру. Контролёры данных должны быть поощрены к усовершенствованию функционально совместимых форматов, способствующих переносимости данных. Данное правило должно применяться в случаях, когда субъект данных предоставил персональные данные на основании согласия либо когда обработка необходима для исполнения договора. Данное правило не должно применяться, когда обработка осуществляется на ином законном основании, помимо согласия или контракта. По своей природе данное правило не должно использоваться против контролёров обработки персональных данных, исполняющих свои общественные обязательства. Поэтому данное правило не должно применяться, когда обработка персональных данных необходима для выполнения юридического обязательства, возложенного на контролёра, либо которая осуществляется в публичных интересах или в рамках в исполнения официальных полномочий, возложенных на контролёра. Право субъекта данных на перенос или получение касающихся его персональных данных не должно создавать для контролёров обязанности внедрять или поддерживать технически совместимые системы обработки. Если определенный набор персональных данных относится к более чем одному субъекту данных, право получить персональные данные не должно ущемлять права и свободы других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право не должно ущемлять право субъекта данных добиваться удаления персональных данных и ограничения этого права, установленные настоящим Регламентом, и, в частности, не должно подразумевать удаление персональных данных, касающихся субъекта данных, которые были предоставлены для исполнения договора в той мере и до тех пор, пока персональные данные необходимы для исполнения такого договора. Там, где это технически возможно, субъект данных должен иметь право перенесения персональных данных напрямую от одного контролёра к другому.
Article 29 Working Party, Guidelines on the Right to Data Portability (2017).
Information Commissioner’s Office, Right of Access (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).