1. Dersom formålene med den behandlingsansvarliges behandling av personopplysninger ikke krever eller ikke lenger krever at den behandlingsansvarlige kan identifisere en registrert, skal den behandlingsansvarlige ikke ha plikt til å bevare, innhente eller behandle ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å oppfylle kravene i denne forordning.
2. Dersom den behandlingsansvarlige i tilfeller nevnt i nr. 1 i denne artikkel kan påvise at vedkommende ikke er i stand til å identifisere den registrerte, skal den behandlingsansvarlige, dersom det er mulig, informere den registrerte om dette. I slike tilfeller får artikkel 15-20 ikke anvendelse, bortsett fra når den registrerte for å utøve sine rettigheter i henhold til nevnte artikler gir ytterligere opplysninger som gjør det mulig å identifisere vedkommende.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 11(2) GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить. В зависимости от требований информация может принимать форму уведомления. Примеры типов информации, которая может быть предоставлена субъектам ПИИ:
…
Войти
для доступа к полному тексту
57) Dersom personopplysningene som behandles av en behandlingsansvarlig, ikke gjør det mulig for den behandlingsansvarlige å identifisere en fysisk person, bør den behandlingsansvarlige ikke ha plikt til å innhente ytterligere opplysninger for å identifisere den registrerte utelukkende med det formål å overholde bestemmelsene i denne forordning. Den behandlingsansvarlige bør imidlertid ikke nekte å ta imot flere opplysninger som den registrerte gir med henblikk på å utøve sine rettigheter. Identifikasjon bør omfatte digital identifikasjon av den registrerte, f.eks. ved hjelp av en autentiseringsmekanisme, f.eks. de samme legitimasjonsopplysninger som den registrerte bruker for å logge seg inn på den nettbaserte tjenesten som tilbys av den behandlingsansvarlige.
64) Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn, særlig i forbindelse med nettjenester og nettidentifikatorer. En behandlingsansvarlig bør ikke lagre personopplysninger utelukkende for å kunne svare på mulige anmodninger.
7.4.5. Деидентификация ПИИ и удаление в конце обработки
Средство управления
Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.
…
Войти
для доступа к полному тексту