Navigation
GDPR > Статья 20. Право на переносимость данных
Download PDF

Статья 20 GDPR. Право на переносимость данных

1. Субъект данных имеет право получить относящиеся к нему персональные данные, которые он предоставил контролёру, в структурированном, повсеместно используемом и машиночитаемом формате и он имеет право передать указанные данные иному контролёру беспрепятственно со стороны контролёра, которому были предоставлены персональные данные, если:

Expert commentary
Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(a) обработка осуществляется на основе согласия в соответствии с пунктом (a) Статьи 6(1), или пунктом (a) Статьи 9(2), или на основании контракта согласно пункту (b) Статьи 6(1); и

Related

(b) обработка осуществляется при помощи автоматизированных средств.

2. При осуществлении права на переносимость данных согласно параграфу 1 субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролёра другому, если это технически осуществимо.

3. Осуществление права, указанного в параграфе 1 настоящей Статьи, не умаляет положения Статьи 17. Данное право не применяется для обработки, необходимой для выполнения задачи, осуществляемой в публичном интересе или при исполнении официальных полномочий, возложенных на контролёра.

Related

4. Право, упомянутое в параграфе 1, не должно затрагивать права и свободы других лиц.

Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

[…]


to read the full text

Recitals

(68) Для усиление контроля над своими персональными данными, когда обработка осуществляется автоматизированными средствами, субъект данных также имеет доступ к получению персональных данных, относящихся к нему, которые он предоставил контролёру в структурированном, повсеместно используемом, машиночитаемом и совместимом формате, и передать их другому контролёру. Контролёры данных должны быть поощрены к усовершенствованию функционально совместимых форматов, способствующих переносимости данных. Данное правило должно применяться в случаях, когда субъект данных предоставил персональные данные на основании согласия либо когда обработка необходима для исполнения договора. Данное правило не должно применяться, когда обработка осуществляется на ином законном основании, помимо согласия или контракта. По своей природе данное правило не должно использоваться против контролёров обработки персональных данных, исполняющих свои общественные обязательства. Поэтому данное правило не должно применяться, когда обработка персональных данных необходима для выполнения юридического обязательства, возложенного на контролёра, либо которая осуществляется в публичных интересах или в рамках в исполнения официальных полномочий, возложенных на контролёра. Право субъекта данных на перенос или получение касающихся его персональных данных не должно создавать для контролёров обязанности внедрять или поддерживать технически совместимые системы обработки. Если определенный набор персональных данных относится к более чем одному субъекту данных, право получить персональные данные не должно ущемлять права и свободы других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право не должно ущемлять право субъекта данных добиваться удаления персональных данных и ограничения этого права, установленные настоящим Регламентом, и, в частности, не должно подразумевать удаление персональных данных, касающихся субъекта данных, которые были предоставлены для исполнения договора в той мере и до тех пор, пока персональные данные необходимы для исполнения такого договора. Там, где это технически возможно, субъект данных должен иметь право перенесения персональных данных напрямую от одного контролёра к другому.

Guidelines & Case Law Leave a comment
[js-disqus]