1. Если персональные данные получены не от субъекта данных, контролёр должен предоставить субъекту данных следующую информацию:
(c) цели обработки, для которой предназначаются персональные данные, а также правовое основание для обработки;
(f) в соответствующих случаях, намерение контролёра передать персональные данные третьей стране или международной организации, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) — ссылка на соответствующие и надлежащие гарантии и способы, посредством которых может быть получена их копия, или где они могут быть предоставлены.
(c) существование права требовать от контролёра доступ к соответствующим персональным данным, их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(c) GDPR:
7.3.5 Предоставление механизма для возражения против обработки ПИИ
Средство управления
Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.
Руководство по внедрению
Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ.
…
Войти
для доступа к полному тексту
(d) в случае если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(d) GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту
(f) из каких источников происходят персональные данные и, при необходимости, взяты ли они из общедоступных источников;
(g) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(g) GDPR:
7.3.10 Автоматизированное принятие решений
Средство управления
Организация должна определить и рассмотреть обязательства, в том числе юридические обязательства, перед субъектами ПИИ, возникающие из-за решений, основанных исключительно на автоматизированной обработке ПИИ, принятых организацией в отношении субъекта ПИИ.
…
Войти
для доступа к полному тексту
(a) в разумный срок после получения персональных данных, но не позже одного месяца, с учетом особых условий обработки персональных данных;
(b) если персональные данные должны использоваться для коммуникации с субъектом данных, не позже первого обращения к указанному субъекту данных; или
(c) если предусмотрено раскрытие информации другому получателю, не позже первоначального раскрытия персональных данных.
4. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых они были собраны, перед последующей обработкой он должен предоставить субъекту данных информацию об указанных иных целях, а также любую релевантную информацию, указанную в параграфе 2.
(b) предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, с учетом условий и гарантий, указанных в Статье 89(1), или постольку, поскольку обязанность, указанная в параграфе 1 настоящей Статьи, может сделать невозможным или негативно отразиться на достижении целей указанной обработки. В указанных случаях контролёр должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных, включая доведение информации до всеобщего сведения;
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
Чтобы облегчить работу наших консультантов, мы собрали все требования и сведения, обязательные к указанию, и свели их в удобный чек-лист. Рядом с каждым пунктом мы разместили ссылки на конкретные статьи GDPR и Руководства. Всю информацию мы сгруппировали в 7 разделов:
Выглядит он следующим образом:
…
Войти
для доступа к полному тексту
(EN)
Concern: Request of information regarding my personal data
Dear Madam, Dear Sir,
I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14 GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.
…
Войти
для доступа к полному тексту
(EN)
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (2018).
European Commission, Commission Guidance on the application of Union data protection law in the electoral context, A contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20 September 2018.
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(a) GDPR:
7.4.7 Хранение
Средство управления
Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.
Руководство по внедрению
Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.
…
Войти
для доступа к полному тексту