Статья 17 📖 GDPR. Право на удаление данных ("право быть забытым")

第 17 條 GDPR. 刪除權（「被遺忘權」）

1. 有下列情事者，資料主體應有權使控管者刪除其個人資料，不得無故拖延，且控管者應有義務刪除該個人資料，不得無故拖延：

Комментарий эксперта

Автор

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

(a) 個人資料對於蒐集或處理目的不再需要者；

(b) 處理係依據第 6 條第 1 項第 a 點或第 9 條第 2 項第 a 點者，資料主體撤回其同意，且該處理已無其他法律依據者；

Связанные статьи

第 6 條 GDPR. 處理之合法性

1. 合法之處理應至少符合下列要件之一：

(a) 資料主體同意為一個或多個特定目的處理其個人資料；

[…]

第 9 條 GDPR. 特殊類型之個人資料處理

1. 揭露種族或人種、政治意見、宗教或哲學信仰或貿易聯盟會員之個人資料、以及基因資料、用以識別自然人之生物特徵識別資料、與健康相關或與自然人之性生活或性傾向有關個人資料之處理，應予禁止。

2. 有下列情形之一者，不適用第 1 項規定：

(a) 除歐盟法或會員國法律規定資料主體不得排除第 1 項所定之禁止外，資料主體已明確同意為一個或多個特定目的處理上開個人資料；

[…]

(c) 資料主體依第 21 條第 1 項規定對處理提出異議，且該處理無其他優先適用之法律依據者，或資料主體依第 21 條第 2 項規定對處理提出異議者；

Связанные статьи

第 21 條 GDPR. 拒絕權

1. 資料主體應有權基於與其具體情況有關之理由，隨時拒絕依第 6 條第 1 項第 e 點或第 f 點規定所為有關其個人資料之處理，包括基於該等條款所為之建檔。控管者應不得再處理該個人資料，除非該控管者證明其處理有優先於資料主體權利及自由之法律依據、或為建立、行使或防禦法律上請求所為之者。

2. 為直接行銷目的處理個人資料時，該資料主體有權隨時拒絕為行銷目的所涉及其個人資料之處理，包括與該直接行銷有關範圍內之建檔。

[…]

(d) 該個人資料遭違法處理者；

(e) 控管者依其受拘束之歐盟法或會員國法律有義務應刪除個人資料者；

(f) 個人資料係依據第 8 條第 1 項所定為提供資訊社會服務所蒐集者。

Связанные статьи

1. 第 6條第 1項第 a點適用於直接向兒童提供資訊社會服務之情況，如兒童年滿 16 歲，兒童之個人資料處理應屬合法。如該兒童未滿 16 歲，僅限於其法定代理人授權或同意之範圍內，該等處理始為合法。

會員國得以法律為該等目的規定較低年齡，惟不得低於 13 歲。

[…]

2. 如控管者已將該個人資料公開，且其有義務依據第 1 項規定刪除該個人資料者，考量現有科技及執行成本，該控管者應採取合理步驟，包括科技方式，通知正在處理該個人資料之控管者，資料主體已提出刪去任何該個人資料之連結或複製或仿製之請求。

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 17(2) GDPR:

8.3.1 Обязательства по отношению к субъектам ПИИ

Средство управления

Организация должна обеспечить клиента механизмами выполнения своих обязательств, связанных с принципами ПИИ.

Руководство по внедрению

Обязанности контролера ПИИ могут быть определены законодательством, регламентом и / или договором.

…

Войти
для доступа к полному тексту

3. 於下列情形者，不適用第 1 項及第 2 項規定：

ISO 27701

Приводим соответствующий параграф к статье 17(3) GDPR:

7.2.2 Определение правового основания

Средство управления

Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению

В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.

…

Войти
для доступа к полному тексту

(a) 為行使表意自由及資訊權者；

(b) 依據控管者所應遵守之歐盟法或會員國法，遵守其法律義務、或符合公共利益之職務執行、或委託控管者行使公權力所必須者；

(c) 基於公共衛生領域上之公共利益，且符合第 9 條第 2 項第 h 點及第 i 點及第 9 條第 3 項規定者；

Связанные статьи

第 9 條 GDPR. 特殊類型之個人資料處理

2. 有下列情形之一者，不適用第 1 項規定：

[…]

(h) 依據歐盟法或會員國法律或基於與健康專業人員所定且受第 3 項要件及保護措施所拘束之契約，且為預防或職業醫學之目的、為評估僱員之工作能力、醫療診斷、為提供健康或社會照護或治療或為健康管理或社會照護系統及服務而有必要之處理；

(i) 處理係基於公共衛生領域之公共利益，例如為防止對於健康之跨境嚴重威脅或為確保醫療保健及醫療產品或醫療設備品質之高標準與安全性而有必要者，並依據歐盟法或會員國法律規定採取適當及具體安全措施保護資料主體之權利和自由，尤其是職業秘密；

[…]

3. 當資料係由基於歐盟法或會員國法或國內主管機構所訂定之規則受職業秘密之義務所拘束之專業人員或其他人處理或由其負責處理時，為第 2 項第 h 點所定目的，得處理第 1 項所定之個人資料；

(d) 為實現公共利益、科學或歷史研究目的或統計目的，且符合第 89 條第 1 項規定者，但以第 1 項所定權利實際上不可能或嚴重損害該處理目標之實現者為限；

Связанные статьи

第 89 條 GDPR. 為實現公共利益、科學或歷史研究目的或統計目的所為處理之保護措施及例外規定

1. 為實現公共利益、科學或歷史研究目的或統計目的之處理，應受本規則為資料主體之權利及自由所定適當保護措施之拘束。該等保護措施應確保已備妥技術上及組織上之措施，特別是用以確保資料最少蒐集原則之落實。只要上開目的得以實現，措施得包括假名化。當透過進階處理得實現上開目的，且進階處理不允許或不再允許識別資料 180 主體者，上開目的應以該方式實現。

[…]

(e) 為了建立、行使或防禦法律上之請求者。

通用数据保护条例(EU GDPR)

Source: https://www.ndc.gov.tw/Content_List.aspx?n=F98A8C27A0F54C30

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Так называемое «право быть забытым» стало прорывом с принятием Общего регламента защиты персональных данных (GDPR), хотя оно и существовало в ограниченной форме раньше. Статья 17 предусматривает «право на удаление» в более широком смысле с учетом точной формулировки положения. Резиденты Европейского Союза имеют право требовать удаления своих персональных данных, а организация, хранящая данные, обязана удалить их «без неоправданной задержки» при определенном числе обстоятельств.

Главный вклад этой статьи действительно состоит в создании условий для осуществления такого права. Это служит основанием, по которому лицо имеет право требовать удаления своих данных (преамбула 65). К статье можно обратиться, если…

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…

…

Войти
для доступа к полному тексту

ISO 27701

Приводим соответствующий параграф к статье 17 GDPR:

7.3.6 Доступ, исправление и / или удаление

Средство управления

Организация должна внедрить политику, процедуры и / или механизмы для выполнения своих обязательств перед субъектами ПИИ по доступу, исправлению и / или удалению своей ПИИ.

Руководство по внедрению

Организация должна внедрить политики, процедуры и / или механизмы, позволяющие субъектам ПИИ получать доступ, исправлять и стирать свою ПИИ, если это требуется и без неоправданной задержки.

…

Войти
для доступа к полному тексту

Преамбулы

(65) 資料主體應有更正其個人資料之權利、以及當資料保存違反規範控管者之本規則、歐盟法或會員國法時應有「被遺忘權」。尤其，資料主體應享有刪除其個人資料之權利，並於該個人資料就資料蒐集或另為處理之目的已無必要時、於資料主體已撤回其同意或拒絕其個人資料之處理時、或於其個人資料處理違反本規則時，資料主體應享有請求不再處理其個人資料之權利。該權利尤其涉及該資料主體於兒童時期所為同意且未完整理解該處理存在之風險，爾後希望移除其個人資料（特別是網路上資料）之情形。不問其是否仍為兒童，資料主體應得行使該權利。然而，為了表意自由權之行使、法律義務之遵守、符合公共利益之職務執行、或委託控管者行使公權力所必須者、在公共衛生領域上之公共利益的理由、為了實現公共利益、科學或歷史研究目的或統計目的時、或為了建立、行使或防禦法律上主張時，於必要範圍內進一步保留個人資料應屬合法。

(66) 為強化網路環境之被遺忘權，刪除權亦應擴張至公開個人資訊之控管者有義務通知個人資料處理之控管者刪去任何該個人資料之連結、複製或仿製。透過此種做法，該控管者應採取合理步驟，考量現有科技與對控管者可行之手段，包括科技方式，通知依該資料主體之請求而正在處理該個人資料之控管者。

Руководство и прецедентное право

(EN)