1. Якщо персональні дані було отримано не від суб’єкта даних, контролер повинен надати суб’єкту даних інформацію, а саме про:
(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також законодавчу базу для опрацювання;
(f) за необхідності, про те, що контролер прагне передати персональні дані до одержувача в третій країні чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), — зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.
(c) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб’єкта даних і на заперечення опрацювання, а також права на мобільність даних;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(c) GDPR:
7.3.5 Предоставление механизма для возражения против обработки ПИИ
Средство управления
Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.
Руководство по внедрению
Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ.
…
Войти
для доступа к полному тексту
(d) якщо опрацювання здійснюють на підставі пункту (a) статті 6(1) або пункту (a) статті 9(2), — існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що ґрунтувалося на згоді до її відкликання;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(d) GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту
(f) те, з якого джерела походять персональні дані, та, за необхідності, про те, чи надійшли вони з джерел, доступних для громадськості;
(g) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб’єкта даних.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14(2)(g) GDPR:
7.3.10 Автоматизированное принятие решений
Средство управления
Организация должна определить и рассмотреть обязательства, в том числе юридические обязательства, перед субъектами ПИИ, возникающие из-за решений, основанных исключительно на автоматизированной обработке ПИИ, принятых организацией в отношении субъекта ПИИ.
…
Войти
для доступа к полному тексту
(a) у розумний строк після отримання персональних даних, але щонайменше протягом одного місяця, враховуючи конкретні обставини, за яких опрацьовують персональні дані;
(b) якщо персональні дані необхідно використати для спілкування з суб’єктом даних, — принаймні в момент першого повідомлення такому суб’єкту даних; або,
(c) якщо передбачається розкриття іншому одержувачу, — принаймні під час першого розкриття персональних даних.
4. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб’єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.
(b) надання такої інформації стає неможливим чи викликало б несумісні наслідки, зокрема, для опрацювання задля досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілях, із урахуванням умов і гарантій, зазначених у статті 89(1) або доки обов’язок, вказаний у параграфі 1 цієї статті, ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання. У таких ситуаціях контролер повинен вжити необхідних заходів для захисту прав і свобод та законних інтересів суб’єкта даних, у тому числі, оприлюднення інформації;
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
Чтобы облегчить работу наших консультантов, мы собрали все требования и сведения, обязательные к указанию, и свели их в удобный чек-лист. Рядом с каждым пунктом мы разместили ссылки на конкретные статьи GDPR и Руководства. Всю информацию мы сгруппировали в 7 разделов:
Выглядит он следующим образом:
…
Войти
для доступа к полному тексту
(EN)
Concern: Request of information regarding my personal data
Dear Madam, Dear Sir,
I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 14 GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.
…
Войти
для доступа к полному тексту
(EN)
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679 (2018).
European Commission, Commission Guidance on the application of Union data protection law in the electoral context, A contribution from the European Commission to the Leaders’ meeting in Salzburg on 19-20 September 2018.
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CNIL, Cookies : sanction de 35 millions d’euros à l’encontre d’AMAZON EUROPE CORE and sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED (2020).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(a) GDPR:
7.4.7 Хранение
Средство управления
Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.
Руководство по внедрению
Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.
…
Войти
для доступа к полному тексту