Навигация
GDPR > Статья 20. Право на переносимость данных
Скачать в PDF

Статья 20 GDPR. Право на переносимость данных

1. Субъект данных имеет право получить относящиеся к нему персональные данные, которые он предоставил контролёру, в структурированном, повсеместно используемом и машиночитаемом формате и он имеет право передать указанные данные иному контролёру беспрепятственно со стороны контролёра, которому были предоставлены персональные данные, если:

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант

(a) обработка осуществляется на основе согласия в соответствии с пунктом (a) Статьи 6(1), или пунктом (a) Статьи 9(2), или на основании контракта согласно пункту (b) Статьи 6(1); и

Связанные статьи

(b) обработка осуществляется при помощи автоматизированных средств.

2. При осуществлении права на переносимость данных согласно параграфу 1 субъект данных должен иметь право на передачу персональных данных непосредственно от одного контролёра другому, если это технически осуществимо.

3. Осуществление права, указанного в параграфе 1 настоящей Статьи, не умаляет положения Статьи 17. Данное право не применяется для обработки, необходимой для выполнения задачи, осуществляемой в публичном интересе или при исполнении официальных полномочий, возложенных на контролёра.

Связанные статьи

4. Право, упомянутое в параграфе 1, не должно затрагивать права и свободы других лиц.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

Право на переносимость, в соответствии с Руководством по праву на переносимость данных (далее Руководство), представлено в качестве  поддержки “выбора пользователя, контроля пользователя и расширения прав и возможностей пользователя”, так как это право направлено на усиление пользовательского контроля над своими персональными данными (преамбула 68). Переносимость данных позволяет пользователям получать…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 20 GDPR:

7.3.8 Предоставление копии обработанной ПИИ

Средство управления

Организация должна иметь возможность предоставить копию обрабатываемой ПИИ по запросу субъекта ПИИ.

Руководство по внедрению

Организация должна предоставить копию обрабатываемой ПИИ в структурированном, широко используемом формате, доступном для субъекта ПИИ.


для доступа к полному тексту

Преамбулы

(68) Для усиление контроля над своими персональными данными, когда обработка осуществляется автоматизированными средствами, субъект данных также имеет доступ к получению персональных данных, относящихся к нему, которые он предоставил контролёру в структурированном, повсеместно используемом, машиночитаемом и совместимом формате, и передать их другому контролёру. Контролёры данных должны быть поощрены к усовершенствованию функционально совместимых форматов, способствующих переносимости данных. Данное правило должно применяться в случаях, когда субъект данных предоставил персональные данные на основании согласия либо когда обработка необходима для исполнения договора. Данное правило не должно применяться, когда обработка осуществляется на ином законном основании, помимо согласия или контракта. По своей природе данное правило не должно использоваться против контролёров обработки персональных данных, исполняющих свои общественные обязательства. Поэтому данное правило не должно применяться, когда обработка персональных данных необходима для выполнения юридического обязательства, возложенного на контролёра, либо которая осуществляется в публичных интересах или в рамках в исполнения официальных полномочий, возложенных на контролёра. Право субъекта данных на перенос или получение касающихся его персональных данных не должно создавать для контролёров обязанности внедрять или поддерживать технически совместимые системы обработки. Если определенный набор персональных данных относится к более чем одному субъекту данных, право получить персональные данные не должно ущемлять права и свободы других субъектов данных в соответствии с настоящим Регламентом. Более того, данное право не должно ущемлять право субъекта данных добиваться удаления персональных данных и ограничения этого права, установленные настоящим Регламентом, и, в частности, не должно подразумевать удаление персональных данных, касающихся субъекта данных, которые были предоставлены для исполнения договора в той мере и до тех пор, пока персональные данные необходимы для исполнения такого договора. Там, где это технически возможно, субъект данных должен иметь право перенесения персональных данных напрямую от одного контролёра к другому.

Руководство и прецедентное право Оставить комментарий
[js-disqus]