(a) субъект данных оспаривает точность персональных данных — на срок, позволяющий контролёру проверить точность персональных данных;
(b) обработка является незаконной и субъект данных возражает против удаления персональных данных и требует вместо этого ограничить их использование;
(с) контролёр больше не нуждается в персональных данные для обработки, но они необходимы субъекту данных для заявления, осуществления или оспаривания правовых требований и исков;
2. Если обработка была ограничена согласно параграфу 1, указанные персональные данные, должны подвергаться обработке за исключением хранения только с согласия субъекта данных либо для заявления, осуществления или оспаривания правовых требований и исков или для защиты прав другого физического или юридического лица, или по причинам важного публичного интереса Союза или государства-члена.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 18(2) GDPR:
7.2.2 Определение правового основания
Средство управления
Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.
Руководство по внедрению
В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.
…
Войти
для доступа к полному тексту
3. Перед снятием ограничения на обработку контролёр должен проинформировать об этом субъекта данных, которой добился ограничения обработки в соответствии с параграфом 1.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 18(3) GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.
…
Войти
для доступа к полному тексту
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».
Право на ограничение обработки является одним из восьми прав, предоставленных GDPR. Однако на первый взгляд оно не самое простое для понимания. Это право можно интерпретировать, как обязательство от имени контроллера сохранять данные, которые не могут быть ни обработаны, ни изменены каким-либо способом.
Данное право применяется в тех случаях, когда…
…
Войти
для доступа к полному тексту
(EN)
Concern: Request to restrict the processing of my personal data
Dear Madam, Dear Sir,
I am entitled to ask you to restrict the processing of my personal data under Article 18(1) of the General Data Protection Regulation (GDPR)…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 18 GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту
(67) Методы, с помощью которых можно ограничить обработку персональных данных, могут включать, среди прочего: временный перенос выбранных данных в другую систему обработки, чтобы сделать выбранные персональные данные недоступными для пользователей, либо временное удаление опубликованных данных с сайта. При наличии системы автоматизированного заполнения, ограничения обработки должны быть в целом обеспечены техническими мерами таким образом, чтобы персональные данные не подвергались дальнейшей обработке и не могли быть изменены. Тот факт, что обработка персональных данных ограничена, должен быть четко определен в системе.
(EN)