1. Субъект данных вправе требовать от контролёра удаления без неоправданной задержки относящихся к нему персональных данных, контролёр обязан незамедлительно удалить персональные данные, если применяется одно из следующих оснований:
1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:
(a) персональные данные больше не требуются для целей, для которых они были собраны или обработаны иным способом;
(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
(b) субъект данных отзывает свое согласие, на основании которого согласно пункту (a) Статьи 6(1) или пункту (a) Статьи 9(2) проводится обработка, и если отсутствует иное законное основание для обработки;
(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;
(c) субъект данных возражает против обработки согласно Статье 21(1), и отсутствуют имеющие преимущественную силу легитимные основания для обработки, или субъект данных возражает против обработки согласно Статье 21(2);
(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);
(d) персональные данные обрабатывались незаконно;
(d) the personal data have been unlawfully processed;
(e) персональные данные должны быть уничтожены во исполнение правовой обязанности согласно праву Союза или государства-члена, под действие которого подпадает контролёр;
(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;
2. Если контролёр обнародовал персональные данные и он согласно параграфу 1 обязан удалить персональные данные, контролёр, принимая во внимание имеющихся технологические возможности и расходы на внедрение должен принять разумные меры, в том числе технические меры, чтобы проинформировать контролёров, которые обрабатывают персональные данные, о том, что субъект данных затребовал от них удаление любых ссылок, копий или точных повторений указанных персональных данных.
2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(2) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Войти
для доступа к полному тексту
3. Параграфы 1 и 2 не применяются в тех случаях, когда обработка необходима:
3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(3) GDPR:
7.2.2 Определение правового основания
Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.
Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
…
Войти
для доступа к полному тексту
(a) для осуществления права на свободу выражения мнения и свободу информации;
(a) for exercising the right of freedom of expression and information;
(b) в целях соблюдения правовой обязанности, которая требует проведение обработки согласно праву Союза или государства-члена, под действие которого подпадает контролёр, или для выполнения задачи, осуществляемой в публичном интересе, или при осуществлении официальных полномочий, возложенных на контролёра;
(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;
(d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, указанных в Статье 89(1), постольку, поскольку право, указанное в параграфе 1, может сделать невозможным или негативно отразиться на достижении целей указанной обработки; или
(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.
Так называемое «право быть забытым» стало прорывом с принятием Общего регламента защиты персональных данных (GDPR), хотя оно и существовало в ограниченной форме раньше. Статья 17 предусматривает «право на удаление» в более широком смысле с учетом точной формулировки положения. Резиденты Европейского Союза имеют право требовать удаления своих персональных данных, а организация, хранящая данные, обязана удалить их «без неоправданной задержки» при определенном числе обстоятельств.
Главный вклад этой статьи действительно состоит в создании условий для осуществления такого права. Это служит основанием, по которому лицо имеет право требовать удаления своих данных (преамбула 65). К статье можно обратиться, если…
…
Войти
для доступа к полному тексту
(EN)
Concern: Request to erase my personal data
Dear Madam, Dear Sir,
You have data concerning me that I am asking you to delete…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17 GDPR:
7.3.6 Доступ, исправление и / или удаление
Средство управления
Организация должна внедрить политику, процедуры и / или механизмы для выполнения своих обязательств перед субъектами ПИИ по доступу, исправлению и / или удалению своей ПИИ.
Руководство по внедрению
Организация должна внедрить политики, процедуры и / или механизмы, позволяющие субъектам ПИИ получать доступ, исправлять и стирать свою ПИИ, если это требуется и без неоправданной задержки.
…
Войти
для доступа к полному тексту
(65) Субъект данных должен иметь право на уточнение касающихся его данных и “право быть забытым”, когда сохранение таких данных нарушает настоящий Регламент, законодательство Союза или государства-члена, к которому относится контролёр. В частности, субъект данных должен иметь право на удаление его персональных данных и прекращение их обработки, когда персональные данные уже не нужны для целей, в которых они собирались либо обрабатывались иным способом, либо когда субъект данных отозвал свое согласие или возражает против обработки касающихся его персональных данных, либо когда обработка персональных данные не соответствует настоящему Регламенту. Это правило применяется также в тех случаях, когда субъект данных дал свое согласие ребенком и полностью не осознавал риски, сопряженные с обработкой, и по прошествии времени хочет удалить такие персональные данные, особенно в интернете. Субъект данных должен иметь возможность осуществить данное право несмотря на обстоятельство, что он уже не является ребенком. Однако, дальнейшее сохранение персональных данных должно быть законным, если оно необходимо, для реализации права на свободу выражения и информации, для выполнения юридических обязательств, для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, исходя из общественного интереса в области здравоохранения, для достижения целей общественного интереса, в целях научного или исторического исследования, в статистических целях, либо для обоснования, исполнения или оспаривания исковых требований.
(65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.
(66) Для того, чтобы усилить право быть забытым в онлайн среде, право исправления должно также быть расширено таким образом, что контролёр, который сделал персональные данные публичными, должен быть обязан информировать контролёров, обрабатывающих такие персональные данные, о необходимости удаления любой ссылки на них, либо копии или репродукции этих персональных данных. Выполняя это обязательство, контролёр должен принять ответственные шаги, учитывая доступные технологии и доступные для контролёра средства, включая технические меры, по информированию контролёров, которые обрабатывают персональные данные по запросу субъекта данных.
(66) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request.
(EN)
Article 29 Working Party, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain Inc. v. Agencia Española de protección de datos (AEPD) and Mario Costeja González C-131/12 (2014).
EDPB, Guidelines 5/2019 on the Criteria of the Right to be Forgotten in the Search Engines Cases under the GDPR (part 1) (2019).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).
CJEU, GC e.a./Commission nationale de l’informatique et des libertés, C-136/17 (2019).
CJEU, Google LLC/Commission nationale de l’informatique et des libertés, C-507/17 (2019).
(EN)