Навигация
GDPR > Статья 17. Право на удаление данных ("право быть забытым")
Скачать в PDF

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

1. Субъект данных вправе требовать от контролёра удаления без неоправданной задержки относящихся к нему персональных данных, контролёр обязан незамедлительно удалить персональные данные, если применяется одно из следующих оснований:

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант

(a) персональные данные больше не требуются для целей, для которых они были собраны или обработаны иным способом;

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) субъект данных отзывает свое согласие, на основании которого согласно пункту (a) Статьи 6(1) или пункту (a) Статьи 9(2) проводится обработка, и если отсутствует иное законное основание для обработки;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

Связанные статьи

(c) субъект данных возражает против обработки согласно Статье 21(1), и отсутствуют имеющие преимущественную силу легитимные основания для обработки, или субъект данных возражает против обработки согласно Статье 21(2);

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

Связанные статьи

(d) персональные данные обрабатывались незаконно;

(d) the personal data have been unlawfully processed;

(e) персональные данные должны быть уничтожены во исполнение правовой обязанности согласно праву Союза или государства-члена, под действие которого подпадает контролёр;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) персональные данные собирались в отношении предоставления услуг информационного общества согласно Статье 8(1).

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

Связанные статьи

2. Если контролёр обнародовал персональные данные и он согласно параграфу 1 обязан удалить персональные данные, контролёр, принимая во внимание имеющихся технологические возможности и расходы на внедрение должен принять разумные меры, в том числе технические меры, чтобы проинформировать контролёров, которые обрабатывают персональные данные, о том, что субъект данных затребовал от них удаление любых ссылок, копий или точных повторений указанных персональных данных.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 17(2) GDPR:

8.3.1 Обязательства по отношению к субъектам ПИИ

Средство управления

Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.

Руководство по внедрению

Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.


для доступа к полному тексту

3. Параграфы 1 и 2 не применяются в тех случаях, когда обработка необходима:

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 17(3) GDPR:

7.2.2 Определение правового основания

Средство управления

Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению

В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.


для доступа к полному тексту

(a) для осуществления права на свободу выражения мнения и свободу информации;

(a) for exercising the right of freedom of expression and information;

(b) в целях соблюдения правовой обязанности, которая требует проведение обработки согласно праву Союза или государства-члена, под действие которого подпадает контролёр, или для выполнения задачи, осуществляемой в публичном интересе, или при осуществлении официальных полномочий, возложенных на контролёра;

(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) ввиду публичного интереса в области здравоохранения в соответствии с пунктами (h) и (i) Статьи 9(2), а также Статьи 9(3);

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);

Связанные статьи

(d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, указанных в Статье 89(1), постольку, поскольку право, указанное в параграфе 1, может сделать невозможным или негативно отразиться на достижении целей указанной обработки; или

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

Связанные статьи

(e) для заявления, осуществления или оспаривания правовых требований и исков.

(e) for the establishment, exercise or defence of legal claims.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Так называемое «право быть забытым» стало прорывом с принятием Общего регламента защиты персональных данных (GDPR), хотя оно и существовало в ограниченной форме раньше. Статья 17 предусматривает «право на удаление» в более широком смысле с учетом точной формулировки положения. Резиденты Европейского Союза имеют право требовать удаления своих персональных данных, а организация, хранящая данные, обязана удалить их «без неоправданной задержки» при определенном числе обстоятельств.

Главный вклад этой статьи действительно состоит в создании условий для осуществления такого права. Это служит основанием, по которому лицо имеет право требовать удаления своих данных (преамбула 65). К статье можно обратиться, если…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…


для доступа к полному тексту

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 17 GDPR:

7.3.6 Доступ, исправление и / или удаление

Средство управления

Организация должна внедрить политику, процедуры и / или механизмы для выполнения своих обязательств перед субъектами ПИИ по доступу, исправлению и / или удалению своей ПИИ.

Руководство по внедрению

Организация должна внедрить политики, процедуры и / или механизмы, позволяющие субъектам ПИИ получать доступ, исправлять и стирать свою ПИИ, если это требуется и без неоправданной задержки.


для доступа к полному тексту

Преамбулы

(65) Субъект данных должен иметь право на уточнение касающихся его данных и “право быть забытым”, когда сохранение таких данных нарушает настоящий Регламент, законодательство Союза или государства-члена, к которому относится контролёр. В частности, субъект данных должен иметь право на удаление его персональных данных и прекращение их обработки, когда персональные данные уже не нужны для целей, в которых они собирались либо обрабатывались иным способом, либо когда субъект данных отозвал свое согласие или возражает против обработки касающихся его персональных данных, либо когда обработка персональных данные не соответствует настоящему Регламенту. Это правило применяется также в тех случаях, когда субъект данных дал свое согласие ребенком и полностью не осознавал риски, сопряженные с обработкой, и по прошествии времени хочет удалить такие персональные данные, особенно в интернете. Субъект данных должен иметь возможность осуществить данное право несмотря на обстоятельство, что он уже не является ребенком. Однако, дальнейшее сохранение персональных данных должно быть законным, если оно необходимо, для реализации права на свободу выражения и информации, для выполнения юридических обязательств, для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, исходя из общественного интереса в области здравоохранения, для достижения целей общественного интереса, в целях научного или исторического исследования, в статистических целях, либо для обоснования, исполнения или оспаривания исковых требований.

(65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.

(66) Для того, чтобы усилить право быть забытым в онлайн среде, право исправления должно также быть расширено таким образом, что контролёр, который сделал персональные данные публичными, должен быть обязан информировать контролёров, обрабатывающих такие персональные данные, о необходимости удаления любой ссылки на них, либо копии или репродукции этих персональных данных. Выполняя это обязательство, контролёр должен принять ответственные шаги, учитывая доступные технологии и доступные для контролёра средства, включая технические меры, по информированию контролёров, которые обрабатывают персональные данные по запросу субъекта данных.

(66) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request.

Руководство и прецедентное право Оставить комментарий
[js-disqus]