Komentar
ISO 27701
Uvodne izjave
(61) Информация по поводу обработки персональных данных, относящихся к субъекту данных, должна быть предоставлена ему/ей на момент ее сбора или, если персональные данные получены из других источников, в разумный срок, в зависимости от обстоятельств дела. Если персональные данные могут быть на законных основаниях раскрыты другому получателю, субъект данных должен быть проинформирован, если персональные данные раскрываются получателю впервые. Если контролёр намерен обрабатывать персональные данные в целях, отличных от целей, для которых они собирались, он до начала обработки должен представить субъекту данных информацию относительно другой цели, а также иную необходимую информацию. Если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация.
(62) Однако, нет необходимости обязывать предоставлять информацию, если субъект данных уже обладает информацией, в которой регистрация или раскрытие персональных данных имеют прямое правовое закрепление или когда предоставление информации субъекту данных невозможно или сопряжено с несоразмерными усилиями. Последнее может иметь место, когда обработка осуществляется для архивных целей в общественных и интересах, для целей научных или исторических исследований или для статистических целей. В этой связи следует учитывать количество субъектов данных, их возраст и любые соответствующие принятые гарантии.
(63) Субъект данных должен иметь право доступа к своим персональным данным. Это право должно осуществляться беспрепятственно и с определённой периодичностью, в целях получения информации по обработке и проверки ее правомерности. Это охватывает право субъектов данных на доступ к персональным данным, касающихся их здоровья; например, данным в их медицинских документах, содержащих следующую информацию: диагнозы, результаты обследований, наблюдения лечащих врачей и сведения о любом лечении или медицинских вмешательствах. Поэтому каждый субъект данных должен иметь право знать и получать сведения в отношении целей, для которых обрабатываются его персональные данные; по возможности, в отношении срока, в течение которого обрабатываются персональные данные; получателей персональных данных; алгоритма схемы любой автоматизированной обработки персональных данных и последствий такой обработки, если она основана на профилировании. При наличии соответствующей возможности, контролёр должен обеспечить удалённый доступ к защищённой системе, которая даст субъекту данных прямой доступ к его/ее персональным данным. Указанное право не должно отрицательно влиять на права или свободы иных лиц, включая коммерческую тайну или результаты интеллектуальной собственности и, в частности, авторское право на программное обеспечение. При этом такие ограничения не должны вести к отказу от предоставления всей информации субъекту данных. В том случае, когда контролёр обрабатывает большое количество информации, касающейся субъекта данных, он должен иметь возможность до передачи информации запросить субъекта данных уточнение информации или вида обработки, к которому относится запрос.
Smernice in sodna praksa
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 13(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
(EN) […]
(EN) Sign in
to read the full text