a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(2) GDPR:
8.3.1 Обязательства по отношению к субъектам ПИИ
Средство управления
Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.
Руководство по внедрению
Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17(3) GDPR:
7.2.2 Определение правового основания
Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.
Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
…
Войти
для доступа к полному тексту
b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
Так называемое «право быть забытым» стало прорывом с принятием Общего регламента защиты персональных данных (GDPR), хотя оно и существовало в ограниченной форме раньше. Статья 17 предусматривает «право на удаление» в более широком смысле с учетом точной формулировки положения. Резиденты Европейского Союза имеют право требовать удаления своих персональных данных, а организация, хранящая данные, обязана удалить их «без неоправданной задержки» при определенном числе обстоятельств.
Главный вклад этой статьи действительно состоит в создании условий для осуществления такого права. Это служит основанием, по которому лицо имеет право требовать удаления своих данных (преамбула 65). К статье можно обратиться, если…
…
Войти
для доступа к полному тексту
(EN)
Concern: Request to erase my personal data
Dear Madam, Dear Sir,
You have data concerning me that I am asking you to delete…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 17 GDPR:
7.3.6 Доступ, исправление и / или удаление
Средство управления
Организация должна внедрить политику, процедуры и / или механизмы для выполнения своих обязательств перед субъектами ПИИ по доступу, исправлению и / или удалению своей ПИИ.
Руководство по внедрению
Организация должна внедрить политики, процедуры и / или механизмы, позволяющие субъектам ПИИ получать доступ, исправлять и стирать свою ПИИ, если это требуется и без неоправданной задержки.
…
Войти
для доступа к полному тексту
(65) Każda osoba fizyczna powinna mieć prawo do sprostowania danych osobowych jej dotyczących oraz prawo do „bycia zapomnianym”, jeżeli zatrzymywanie takich danych narusza niniejsze rozporządzenie, prawo Unii lub prawo państwa członkowskiego, któremu podlega administrator. Osoba, której dane dotyczą, powinna w szczególności mieć prawo do tego, by jej dane osobowe zostały usunięte i przestały być przetwarzane, jeżeli dane te nie są już niezbędne do celów, w których były zbierane lub w inny sposób przetwarzane, jeżeli osoba, której dane dotyczą, cofnęła zgodę lub jeżeli wniosła sprzeciw wobec przetwarzania danych osobowych jej dotyczących, lub jeżeli przetwarzanie jej danych osobowych nie jest z innego powodu zgodne z niniejszym rozporządzeniem. Prawo to ma znaczenie w przypadkach, gdy osoba, której dane dotyczą, wyraziła zgodę jako dziecko, gdy nie była w pełni świadoma ryzyka związanego z przetwarzaniem, a w późniejszym czasie chce usunąć takie dane osobowe, w szczególności z internetu. Osoba, której dane dotyczą, powinna móc wykonywać to prawo, mimo że już nie jest dzieckiem. Niemniej dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.
(66) Aby wzmocnić prawo do „bycia zapomnianym” w internecie, należy rozszerzyć prawo do usunięcia danych poprzez zobowiązanie administratora, który upublicznił te dane osobowe, do poinformowania administratorów, którzy przetwarzają takie dane osobowe o usunięciu wszelkich łączy do tych danych, kopii tych danych osobowych lub ich replikacji. Spełniając ten obowiązek administrator powinien podjąć racjonalne działania z uwzględnieniem dostępnych technologii i dostępnych mu środków, w tym dostępnych środków technicznych, w celu poinformowania administratorów, którzy przetwarzają dane osobowe, o żądaniu osoby, której dane dotyczą.
(EN)
Article 29 Working Party, Guidelines on the Implementation of the Court of Justice of the European Union Judgment on Google Spain Inc. v. Agencia Española de protección de datos (AEPD) and Mario Costeja González C-131/12 (2014).
EDPB, Guidelines 5/2019 on the Criteria of the Right to be Forgotten in the Search Engines Cases under the GDPR (part 1) (2019).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
CJEU, Google Spain SL/Agencia española de protección de datos, C-131/12 (2014).
CJEU, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce/Manni, C-398/15 (2019).
CJEU, GC e.a./Commission nationale de l’informatique et des libertés, C-136/17 (2019).
CJEU, Google LLC/Commission nationale de l’informatique et des libertés, C-507/17 (2019).
(EN)