Навигация
GDPR > Статья 11. Обработка, не требующая идентификации
Скачать в PDF

Статья 11 GDPR. Обработка, не требующая идентификации

1. Если цели, для которых контролёр обрабатывает персональные данные, не требуют идентификации субъекта данных контролёром, контролёр не обязан сохранять, извлекать или обрабатывать дополнительную информацию для идентификации субъекта данных исключительно для того, чтобы соответствовать данному Регламенту.

ISO 27701

7.4.5. Деидентификация ПИИ и удаление в конце обработки

Средство управления

Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.


для доступа к полному тексту

2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 11(2) GDPR:

7.3.2 Определение информации для субъектов ПИИ

Средство управления

Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.

Руководство по внедрению

Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить. В зависимости от требований информация может принимать форму уведомления. Примеры типов информации, которая может быть предоставлена субъектам ПИИ:


для доступа к полному тексту

Связанные статьи
Преамбулы Оставить комментарий
Преамбулы

(57) Если персональные данные, обрабатываемые контролёром, не позволяют ему идентифицировать физическое лицо, контролёр данных не обязан стремиться получить дополнительную информацию для идентификации субъекта данных с единственной целью соблюдения любого положения настоящего Регламента. Однако контролёр не должен отказываться принять дополнительную информацию, предоставляемую субъектом данных в целях содействия осуществлению своих прав. Идентификация должна включать в себя цифровую идентификацию субъекта данных, например, посредством механизма аутентификации, такой как те же учётные данные, которые используются субъектом данных для входа под своим логином в онлайновую службу, предоставляемую контролёром данных.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

Оставить комментарий
[js-disqus]