Článok 17 📖 GDPR. Právo na vymazanie (právo „na zabudnutie“)

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

1. Субъект данных вправе требовать от контролёра удаления без неоправданной задержки относящихся к нему персональных данных, контролёр обязан незамедлительно удалить персональные данные, если применяется одно из следующих оснований:

1. The data subject shall have the right to obtain from the controller the erasure of personal data concerning him or her without undue delay and the controller shall have the obligation to erase personal data without undue delay where one of the following grounds applies:

Komentár

(EN) Author

(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(EN) Ask a question

(a) персональные данные больше не требуются для целей, для которых они были собраны или обработаны иным способом;

(a) the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;

(b) субъект данных отзывает свое согласие, на основании которого согласно пункту (a) Статьи 6(1) или пункту (a) Статьи 9(2) проводится обработка, и если отсутствует иное законное основание для обработки;

(b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or point (a) of Article 9(2), and where there is no other legal ground for the processing;

Súvisiace texty

Статья 6 GDPR. Законность обработки

Article 6 GDPR. Lawfulness of processing

1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:

1. Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes;

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

1. Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

(a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, except where Union or Member State law provide that the prohibition referred to in paragraph 1 may not be lifted by the data subject;

[…]

(c) субъект данных возражает против обработки согласно Статье 21(1), и отсутствуют имеющие преимущественную силу легитимные основания для обработки, или субъект данных возражает против обработки согласно Статье 21(2);

(c) the data subject objects to the processing pursuant to Article 21(1) and there are no overriding legitimate grounds for the processing, or the data subject objects to the processing pursuant to Article 21(2);

Súvisiace texty

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

1. Субъект данных, по основаниям, связанным с его/ее конкретной ситуацией, имеет право в любой момент заявить возражение против обработки своих персональных данных, которая базируется на пункте (e) или (f) Статьи 6(1), в том числе против профилирования, основанного на данных положениях. Контролёр не в праве далее обрабатывать персональные данные, пока не продемонстрирует наличие убедительных легитимных оснований для обработки, которые превалируют над интересами, правами и свободами субъекта данных, или для заявления, осуществления или оспаривания правовых требований и исков.

1. The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her which is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject or for the establishment, exercise or defence of legal claims.

2. Если персональные данные обрабатываются для целей прямого маркетинга, субъект персональных данных имеет право в любое время возражать против обработки своих персональных данных для целей такого маркетинга, в том числе профилирования, в той мере, в которой обработка относится к данному прямому маркетингу.

2. Where personal data are processed for direct marketing purposes, the data subject shall have the right to object at any time to processing of personal data concerning him or her for such marketing, which includes profiling to the extent that it is related to such direct marketing.

[…]

(d) персональные данные обрабатывались незаконно;

(d) the personal data have been unlawfully processed;

(e) персональные данные должны быть уничтожены во исполнение правовой обязанности согласно праву Союза или государства-члена, под действие которого подпадает контролёр;

(e) the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject;

(f) персональные данные собирались в отношении предоставления услуг информационного общества согласно Статье 8(1).

(f) the personal data have been collected in relation to the offer of information society services referred to in Article 8(1).

Súvisiace texty

1. Если применяется пункт (a) Статьи 6(1) при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, исключительно в случаях, когда согласие было дано лицом, обладающим родительскими правами в отношении ребенка, или было дано с его одобрения.

1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.

Государства-члены могут законодательно предусмотреть меньший возраст для указанных целей при условии, что такой возраст не ниже 13 лет.

Member States may provide by law for a lower age for those purposes provided that such lower age is not below 13 years.

[…]

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Услуги информационного общества

Information society service

129. При оценке сферы применения этого определения, EDPB также ссылается на прецедентное право Европейского Суда.[62] Европейский суд постановил, что услуги информационного общества охватывают контракты и другие услуги, которые заключаются или передаются в режиме онлайн. Если услуга имеет два экономически независимых компонента, один из которых является онлайн-компонентом, таким как предложение и принятие предложения, в контексте заключения договора или информации, касающейся продуктов или услуг, включая маркетинговую деятельность, этот компонент определяется как услуга информационного общества, а другой компонент, представляющий собой реальную доставку или распределение товаров, не охватывается понятием услуги информационного общества. Предоставление услуги в режиме онлайн подпадает под действие термина «информационное общество» в статье 8 GDPR.

129. While assessing the scope of this definition, the EDPB also refers to case law of the ECJ.[62] The ECJ held that information society services cover contracts and other services that are concluded or transmitted on-line. Where a service has two economically independent components, one being the online component, such as the offer and the acceptance of an offer in the context of the conclusion of a contract or the information relating to products or services, including marketing activities, this component is defined as an information society service, the other component being the physical delivery or distribution of goods is not covered by the notion of an information society service. The online delivery of a service would fall within the scope of the term information society service in Article 8 GDPR.

_{[62] См. решение Европейского суда от 2 декабря 2010 г., Дело C-108/09 (Ker-Optika), пункты 22 и 28. В отношении «комплексных услуг» EDPB также ссылается на дело C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL), пункт 40, в котором говорится, что услуга информационного общества, являющаяся неотъемлемой частью общей услуги, основной компонент которой не является услуга информационного общества (в данном случае транспортной услугой), не должна квалифицироваться как «услуга информационного общества»}

_{[62] See European Court of Justice, 2 December 2010 Case C-108/09, (Ker-Optika), paragraphs 22 and 28. In relation to ‘composite services’, the EDPB also refers to Case C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL), para 40, which states that an information society service forming an integral part of an overall service whose main component is not an information society service (in this case a transport service), must not be qualified as ‘an information society service’.}

Руководство по территориальной сфере действия GDPR (статья 3)

Guidelines 3/2018 on the territorial scope of the GDPR (Article 3)

Предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе

Offering of goods or services, irrespective of whether a payment of the data subject is required, to data subjects in the Union

Первым видом деятельности, влекущим применение статьи 3(2), является «предложение товаров или услуг», концепция, которая получила дальнейшее развитие в законодательстве и прецедентном праве ЕС, что следует учитывать при применении критерия таргетинга. Предложение услуг также включает предложение услуг информационного общества, определенное в пункте (b) статьи 1(1) Директивы (ЕС) 2015/1535 [23] как «любая услуга информационного общества, то есть – любая услуга, обычно предоставляемая за вознаграждение, на расстоянии с помощью электронных средств и по индивидуальному запросу получателя услуг».

The first activity triggering the application of Article 3(2) is the “offering of goods or services”, a concept which has been further addressed by EU law and case law, which should be taken into account when applying the targeting criterion. The offering of services also includes the offering of information society services, defined in point (b) of Article 1(1) of Directive (EU) 2015/1535 [23] as “any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services”.

_{[23] Директива (ЕС) 2015/1535 Европейского парламента и Совета от 9 сентября 2015 года, устанавливающая порядок предоставления информации в области технических регламентов и правил об услугах информационного общества.}

_{[23] Directive (EU) 2015/1535 of the European Parliament and of the Council of 9 September 2015 laying down a procedure for the provision of information in the field of technical regulations and of rules on Information Society services.}

2. Если контролёр обнародовал персональные данные и он согласно параграфу 1 обязан удалить персональные данные, контролёр, принимая во внимание имеющихся технологические возможности и расходы на внедрение должен принять разумные меры, в том числе технические меры, чтобы проинформировать контролёров, которые обрабатывают персональные данные, о том, что субъект данных затребовал от них удаление любых ссылок, копий или точных повторений указанных персональных данных.

2. Where the controller has made the personal data public and is obliged pursuant to paragraph 1 to erase the personal data, the controller, taking account of available technology and the cost of implementation, shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.

(EN) […]

(EN) Sign in
to read the full text

3. Параграфы 1 и 2 не применяются в тех случаях, когда обработка необходима:

3. Paragraphs 1 and 2 shall not apply to the extent that processing is necessary:

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

(EN) […]

(EN) Sign in
to read the full text

(a) для осуществления права на свободу выражения мнения и свободу информации;

(a) for exercising the right of freedom of expression and information;

(b) в целях соблюдения правовой обязанности, которая требует проведение обработки согласно праву Союза или государства-члена, под действие которого подпадает контролёр, или для выполнения задачи, осуществляемой в публичном интересе, или при осуществлении официальных полномочий, возложенных на контролёра;

(b) for compliance with a legal obligation which requires processing by Union or Member State law to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller;

(c) ввиду публичного интереса в области здравоохранения в соответствии с пунктами (h) и (i) Статьи 9(2), а также Статьи 9(3);

(c) for reasons of public interest in the area of public health in accordance with points (h) and (i) of Article 9(2) as well as Article 9(3);

Súvisiace texty

Статья 9 GDPR. Обработка специальных категорий персональных данных

Article 9 GDPR. Processing of special categories of personal data

2. Параграф 1 не применяется, в одном из следующих случаев:

2. Paragraph 1 shall not apply if one of the following applies:

[…]

(h) обработка необходима в целях профилактической или профессиональной медицины, для оценки трудоспособности работника, для диагностики медицинского состояния, предоставления медицинской или социальной помощи или лечения или для управления системами и услугами здравоохранения и социального обеспечения на основании законодательства Союза или государства-члена или на основании договора с работником здравоохранения и в соответствии с условиями и гарантиями, указанными в параграфе 3.

(h) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services on the basis of Union or Member State law or pursuant to contract with a health professional and subject to the conditions and safeguards referred to in paragraph 3;

(i) обработка необходима по причинам публичного интереса в области общественного здравоохранения, например, защиты от серьезных трансграничных угроз здоровью или для обеспечения высоких стандартов качества и надежности медицинского обслуживания и лекарственных средств или медицинской техники, на основании законодательства Союза или государства-члена, которое предусматривает приемлемые и конкретные меры для защиты прав и свобод субъекта данных, в частности, профессиональной тайны;

(i) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health or ensuring high standards of quality and safety of health care and of medicinal products or medical devices, on the basis of Union or Member State law which provides for suitable and specific measures to safeguard the rights and freedoms of the data subject, in particular professional secrecy;

[…]

3. Персональные данные, указанные в параграфе 1, могут обрабатываться для целей, указанных в пункте (h) параграфа 2, когда указанные данные обрабатываются специалистом, который обязан соблюдать профессиональную тайну согласно законодательству Союза или государства-члена или согласно нормам, установленным национальными компетентными органами, или когда обработка осуществляется иным лицом, которое также обязано соблюдать тайну согласно законодательству Союза или государства-члена или согласно правилам, установленным национальными компетентными органами.

3. Personal data referred to in paragraph 1 may be processed for the purposes referred to in point (h) of paragraph 2 when those data are processed by or under the responsibility of a professional subject to the obligation of professional secrecy under Union or Member State law or rules established by national competent bodies or by another person also subject to an obligation of secrecy under Union or Member State law or rules established by national competent bodies.

(d) в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, указанных в Статье 89(1), постольку, поскольку право, указанное в параграфе 1, может сделать невозможным или негативно отразиться на достижении целей указанной обработки; или

(d) for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes in accordance with Article 89(1) in so far as the right referred to in paragraph 1 is likely to render impossible or seriously impair the achievement of the objectives of that processing; or

Súvisiace texty

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

Article 89 GDPR. Safeguards and derogations relating to processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

1. Processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, shall be subject to appropriate safeguards, in accordance with this Regulation, for the rights and freedoms of the data subject. Those safeguards shall ensure that technical and organisational measures are in place in particular in order to ensure respect for the principle of data minimisation. Those measures may include pseudonymisation provided that those purposes can be fulfilled in that manner. Where those purposes can be fulfilled by further processing which does not permit or no longer permits the identification of data subjects, those purposes shall be fulfilled in that manner.

[…]

Руководство по согласию в соответствии с Регламентом 2016/679

Guidelines on consent under Regulation 2016/679

Научное исследование

Scientific research

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

153. Recital 33 seems to bring some flexibility to the degree of specification and granularity of consent in the context of scientific research. Recital 33 states: “It is often not possible to fully identify the purpose of personal data processing for scientific research purposes at the time of data collection. Therefore, data subjects should be allowed to give their consent to certain areas of scientific research when in keeping with recognised ethical standards for scientific research. Data subjects should have the opportunity to give their consent only to certain areas of research or parts of research projects to the extent allowed by the intended purpose.”

(e) для заявления, осуществления или оспаривания правовых требований и исков.

(e) for the establishment, exercise or defence of legal claims.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО „Дата Прайваси Офис“.

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Komentár ISO 27701 Odôvodnenia Pokyny & Case Law Zanechať komentár

Komentár

(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.

(EN) […]

(EN) Sign in
to read the full text

(EN) Author

(EN) Louis-Philippe Gratton PhD, LLM

(EN) Privacy Expert

(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…

(EN) […]

(EN) Sign in
to read the full text

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.

(EN) […]

(EN) Sign in
to read the full text

Odôvodnenia

(65) Субъект данных должен иметь право на уточнение касающихся его данных и “право быть забытым”, когда сохранение таких данных нарушает настоящий Регламент, законодательство Союза или государства-члена, к которому относится контролёр. В частности, субъект данных должен иметь право на удаление его персональных данных и прекращение их обработки, когда персональные данные уже не нужны для целей, в которых они собирались либо обрабатывались иным способом, либо когда субъект данных отозвал свое согласие или возражает против обработки касающихся его персональных данных, либо когда обработка персональных данные не соответствует настоящему Регламенту. Это правило применяется также в тех случаях, когда субъект данных дал свое согласие ребенком и полностью не осознавал риски, сопряженные с обработкой, и по прошествии времени хочет удалить такие персональные данные, особенно в интернете. Субъект данных должен иметь возможность осуществить данное право несмотря на обстоятельство, что он уже не является ребенком. Однако, дальнейшее сохранение персональных данных должно быть законным, если оно необходимо, для реализации права на свободу выражения и информации, для выполнения юридических обязательств, для выполнения задач, осуществляемых в общественных интересах, для осуществления официальных полномочий, возложенных на контролёра, исходя из общественного интереса в области здравоохранения, для достижения целей общественного интереса, в целях научного или исторического исследования, в статистических целях, либо для обоснования, исполнения или оспаривания исковых требований.

(65) A data subject should have the right to have personal data concerning him or her rectified and a ‘right to be forgotten’ where the retention of such data infringes this Regulation or Union or Member State law to which the controller is subject. In particular, a data subject should have the right to have his or her personal data erased and no longer processed where the personal data are no longer necessary in relation to the purposes for which they are collected or otherwise processed, where a data subject has withdrawn his or her consent or objects to the processing of personal data concerning him or her, or where the processing of his or her personal data does not otherwise comply with this Regulation. That right is relevant in particular where the data subject has given his or her consent as a child and is not fully aware of the risks involved by the processing, and later wants to remove such personal data, especially on the internet. The data subject should be able to exercise that right notwithstanding the fact that he or she is no longer a child. However, the further retention of the personal data should be lawful where it is necessary, for exercising the right of freedom of expression and information, for compliance with a legal obligation, for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller, on the grounds of public interest in the area of public health, for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or for the establishment, exercise or defence of legal claims.

(66) Для того, чтобы усилить право быть забытым в онлайн среде, право исправления должно также быть расширено таким образом, что контролёр, который сделал персональные данные публичными, должен быть обязан информировать контролёров, обрабатывающих такие персональные данные, о необходимости удаления любой ссылки на них, либо копии или репродукции этих персональных данных. Выполняя это обязательство, контролёр должен принять ответственные шаги, учитывая доступные технологии и доступные для контролёра средства, включая технические меры, по информированию контролёров, которые обрабатывают персональные данные по запросу субъекта данных.

(66) To strengthen the right to be forgotten in the online environment, the right to erasure should also be extended in such a way that a controller who has made the personal data public should be obliged to inform the controllers which are processing such personal data to erase any links to, or copies or replications of those personal data. In doing so, that controller should take reasonable steps, taking into account available technology and the means available to the controller, including technical measures, to inform the controllers which are processing the personal data of the data subject's request.

Pokyny & Case Law

(EN)