Комментарий эксперта
ISO 27701
Преамбулы
(61) Oplysninger om behandling af personoplysninger bør gives til den registrerede på tidspunktet for indsamlingen fra den registrerede, eller hvis personoplysningerne indhentes fra en anden kilde, inden for en rimelig periode afhængigt af de konkrete omstændigheder. Hvis personoplysninger lovligt kan videregives til en anden modtager, bør den registrerede informeres, når personoplysningerne første gang videregives til modtageren. Hvis den dataansvarlige agter at behandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, bør den dataansvarlige forud for denne viderebehandling give den registrerede oplysninger om dette andet formål og andre nødvendige oplysninger. Hvis den registrerede ikke kan informeres om personoplysningernes oprindelse, fordi der er anvendt forskellige kilder, bør der gives generelle oplysninger.
(62) Det er imidlertid ikke nødvendigt at pålægge forpligtelsen til at give information, hvis den registrerede allerede er bekendt med oplysningerne, hvis registrering eller videregivelse af personoplysningerne udtrykkelig er fastsat ved lov, eller hvis det viser sig at være umuligt eller vil kræve en uforholdsmæssigt stor indsats at underrette den registrerede. Sidstnævnte kan navnlig være tilfældet i forbindelse med behandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. I denne forbindelse bør der tages hensyn til antallet af registrerede, oplysningernes alder og eventuelle fornødne garantier, der er stillet.
(63) En registreret bør have ret til indsigt i personoplysninger, der er indsamlet om vedkommende, og til let og med rimelige mellemrum at udøve denne ret med henblik på at forvisse sig om og kontrollere en behandlings lovlighed. Dette omfatter registreredes ret til indsigt i deres helbredsoplysninger, f.eks. data i deres lægejournaler om diagnoser, undersøgelsesresultater, lægelige vurderinger samt enhver behandling og ethvert indgreb, der er foretaget. Enhver registreret bør derfor have ret til at kende og blive underrettet om navnlig de formål, hvortil personoplysningerne behandles, om muligt perioden, hvor personoplysningerne behandles, modtagerne af personoplysningerne, logikken der ligger bag en automatisk behandling af personoplysninger, og om konsekvenserne af sådan behandling, i hvert fald når den er baseret på profilering. Hvis det er muligt, bør den dataansvarlige kunne give fjernadgang til et sikkert system, der giver den registrerede direkte adgang til vedkommendes personoplysninger. Denne ret bør ikke krænke andres rettigheder eller frihedsrettigheder, herunder forretningshemmeligheder eller intellektuel ejendomsret, navnlig den ophavsret, som programmerne er beskyttet af. Denne vurdering bør dog ikke resultere i en afvisning af at give al information til den registrerede. Hvis den dataansvarlige behandler en stor mængde oplysninger om den registrerede, bør den dataansvarlige kunne anmode om, at den registrerede, inden informationen gives, præciserer den information eller de behandlingsaktiviteter, som anmodningen vedrører.
Руководство и прецедентное право
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(a) GDPR:
7.4.7 Хранение
Средство управления
Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.
Руководство по внедрению
Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.
…
Войти
для доступа к полному тексту