Навигация
GDPR > Статья 21. Право на возражение
Скачать в PDF

Статья 21 GDPR. Право на возражение

1. Субъект данных, по основаниям, связанным с его/ее конкретной ситуацией, имеет право в любой момент заявить возражение против обработки своих персональных данных, которая базируется на пункте (e) или (f) Статьи 6(1), в том числе против профилирования, основанного на данных положениях. Контролёр не в праве далее обрабатывать персональные данные, пока не продемонстрирует наличие убедительных легитимных оснований для обработки, которые превалируют над интересами, правами и свободами субъекта данных, или для заявления, осуществления или оспаривания правовых требований и исков.

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант
Преамбулы

(69) В случае, когда данные могут быть законно обработаны, в силу того, что обработка необходима для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, либо на основании легитимного интереса контролёра или третьего лица, субъект данных должен, тем не менее, иметь право возражать против обработки любых персональных данных, относящихся к нему в конкретной ситуации. На контролёре лежит обязанность подтвердить, что легитимный интерес значительно перевешивает интересы или фундаментальные права и свободы субъектов данных.

Связанные статьи

2. Если персональные данные обрабатываются для целей прямого маркетинга, субъект персональных данных имеет право в любое время возражать против обработки своих персональных данных для целей такого маркетинга, в том числе профилирования, в той мере, в которой обработка относится к данному прямому маркетингу.

3. Если субъект данных возражает против обработки в целях прямого маркетинга, персональные данные больше нельзя обрабатывать для таких целей.

Преамбулы

(70) Если персональные данные обрабатываются с целью прямого маркетинга, субъект данных должен иметь право возразить против такой обработки, включая профилирование в той степени, в которой это связано с прямым маркетингом, будь то первоначальная или последующая обработка, в любое время без дополнительной платы. Данное право должно быть четко доведено до сведения субъекта данных и представлено ясно и самостоятельно от другой информации.

4. Не позднее момента первой коммуникации с субъектом данных, право, указанное в параграфах 1 и 2, должно быть отчетливо доведено до сведения субъекта данных и должно быть представлено ясно и отдельно от любой иной информации.

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 21(4) GDPR:

7.3.2 Определение информации для субъектов ПИИ

Средство управления

Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.

Руководство по внедрению

Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить


для доступа к полному тексту

5. В связи с использованием услуг информационного общества и не умаляя положений Директивы 2002/58/ЕС субъект данных может реализовать свое право на возражение посредством автоматизированных средств, использующих технические спецификации.

6. В случае если персональные данные обрабатываются в целях научного или исторического исследования согласно Статье 89(1), субъект данных должен иметь право на возражение по причинам, связанным с его конкретной ситуацией, против обработки относящихся к нему персональных данных, за исключением случаев, когда обработка необходима для выполнения задачи, осуществляемой по причинам публичного интереса.

Связанные статьи
Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

(EN)

Data Subject Request Letter Sample

Concern: Request to stop processing my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to stop processing…


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 21 GDPR:

7.3.5 Предоставление механизма для возражения против обработки ПИИ

Средство управления

Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.

Руководство по внедрению

Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ.


для доступа к полному тексту

Преамбулы

(69) В случае, когда данные могут быть законно обработаны, в силу того, что обработка необходима для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, либо на основании легитимного интереса контролёра или третьего лица, субъект данных должен, тем не менее, иметь право возражать против обработки любых персональных данных, относящихся к нему в конкретной ситуации. На контролёре лежит обязанность подтвердить, что легитимный интерес значительно перевешивает интересы или фундаментальные права и свободы субъектов данных.

(70) Если персональные данные обрабатываются с целью прямого маркетинга, субъект данных должен иметь право возразить против такой обработки, включая профилирование в той степени, в которой это связано с прямым маркетингом, будь то первоначальная или последующая обработка, в любое время без дополнительной платы. Данное право должно быть четко доведено до сведения субъекта данных и представлено ясно и самостоятельно от другой информации.

Руководство и прецедентное право Оставить комментарий
[js-disqus]