Навигация
GDPR > Статья 20. Право на переносимость данных
Скачать в PDF

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

1. Субъект данных имеет право получить относящиеся к нему персональные данные, которые он предоставил контролёру, в структурированном, повсеместно используемом и машиночитаемом формате и он имеет право передать указанные данные иному контролёру беспрепятственно со стороны контролёра, которому были предоставлены персональные данные, если:

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант

(a) обработка осуществляется на основе согласия в соответствии с пунктом (a) Статьи 6(1), или пунктом (a) Статьи 9(2), или на основании контракта согласно пункту (b) Статьи 6(1); и

(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

Связанные статьи

(b) обработка осуществляется при помощи автоматизированных средств.

(b) the processing is carried out by automated means.

2. При осуществлении права на переносимость данных согласно параграфу 1 субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролёра другому, если это технически осуществимо.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3. Осуществление права, указанного в параграфе 1 настоящей Статьи, не умаляет положения Статьи 17. Данное право не применяется для обработки, необходимой для выполнения задачи, осуществляемой в публичном интересе или при исполнении официальных полномочий, возложенных на контролёра.

3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Связанные статьи

4. Право, упомянутое в параграфе 1, не должно затрагивать права и свободы других лиц.

4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Право на переносимость, в соответствии с Руководством по праву на переносимость данных (далее Руководство), представлено в качестве  поддержки “выбора пользователя, контроля пользователя и расширения прав и возможностей пользователя”, так как это право направлено на усиление пользовательского контроля над своими персональными данными (преамбула 68). Переносимость данных позволяет пользователям получать…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 20 GDPR:

7.3.8 Предоставление копии обработанной ПИИ

Средство управления

Организация должна иметь возможность предоставить копию обрабатываемой ПИИ по запросу субъекта ПИИ.

Руководство по внедрению

Организация должна предоставить копию обрабатываемой ПИИ в структурированном, широко используемом формате, доступном для субъекта ПИИ.


для доступа к полному тексту

Преамбулы

(68) Для усиление контроля над своими персональными данными, когда обработка осуществляется автоматизированными средствами, субъект данных также имеет доступ к получению персональных данных, относящихся к нему, которые он предоставил контролёру в структурированном, повсеместно используемом, машиночитаемом и совместимом формате, и передать их другому контролёру. Контролёры данных должны быть поощрены к усовершенствованию функционально совместимых форматов, способствующих переносимости данных. Данное правило должно применяться в случаях, когда субъект данных предоставил персональные данные на основании согласия либо когда обработка необходима для исполнения договора. Данное правило не должно применяться, когда обработка осуществляется на ином законном основании, помимо согласия или контракта. По своей природе данное правило не должно использоваться против контролёров обработки персональных данных, исполняющих свои общественные обязательства. Поэтому данное правило не должно применяться, когда обработка персональных данных необходима для выполнения юридического обязательства, возложенного на контролёра, либо которая осуществляется в публичных интересах или в рамках в исполнения официальных полномочий, возложенных на контролёра. Право субъекта данных на перенос или получение касающихся его персональных данных не должно создавать для контролёров обязанности внедрять или поддерживать технически совместимые системы обработки. Если определенный набор персональных данных относится к более чем одному субъекту данных, право получить персональные данные не должно ущемлять права и свободы других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право не должно ущемлять право субъекта данных добиваться удаления персональных данных и ограничения этого права, установленные настоящим Регламентом, и, в частности, не должно подразумевать удаление персональных данных, касающихся субъекта данных, которые были предоставлены для исполнения договора в той мере и до тех пор, пока персональные данные необходимы для исполнения такого договора. Там, где это технически возможно, субъект данных должен иметь право перенесения персональных данных напрямую от одного контролёра к другому.

(68) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.

Руководство и прецедентное право Оставить комментарий
[js-disqus]