1. Если цели, для которых контролёр обрабатывает персональные данные, не требуют идентификации субъекта данных контролёром, контролёр не обязан сохранять, извлекать или обрабатывать дополнительную информацию для идентификации субъекта данных исключительно для того, чтобы соответствовать данному Регламенту.
2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 11(2) GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить. В зависимости от требований информация может принимать форму уведомления. Примеры типов информации, которая может быть предоставлена субъектам ПИИ:
…
Войти
для доступа к полному тексту
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
(57) Если персональные данные, обрабатываемые контролёром, не позволяют ему идентифицировать физическое лицо, контролёр данных не обязан стремиться получить дополнительную информацию для идентификации субъекта данных с единственной целью соблюдения любого положения настоящего Регламента. Однако контролёр не должен отказываться принять дополнительную информацию, предоставляемую субъектом данных в целях содействия осуществлению своих прав. Идентификация должна включать в себя цифровую идентификацию субъекта данных, например, посредством механизма аутентификации, такой как те же учётные данные, которые используются субъектом данных для входа под своим логином в онлайновую службу, предоставляемую контролёром данных.
(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.
7.4.5. Деидентификация ПИИ и удаление в конце обработки
Средство управления
Организация должна либо удалить ПИИ, либо представить её в форме, которая не позволяет идентифицировать или повторно идентифицировать субъектов ПИИ, как только исходная ПИИ больше не нужна для определенных целей.
…
Войти
для доступа к полному тексту