Expertkommentarer
ISO 27701
Skälen
(61) Informācija par datu subjekta personas datu apstrādi būtu tam jāsniedz datu ieguves no datu subjekta brīdī vai – ja personas datus iegūst no cita avota– saprātīgā termiņā atkarībā no lietas apstākļiem. Ja personas datus var leģitīmi izpaust citam saņēmējam, datu subjekts būtu jāinformē, kad personas dati tiek izpausti saņēmējam pirmo reizi. Ja pārzinis paredz personas datus apstrādāt citā nolūkā, kas nav nolūks, kādā tie tika vākti, pārzinim pirms minētās turpmākās apstrādes būtu jāinformē datu subjekts par minēto citu nolūku un jāsniedz tam cita vajadzīgā informācija. Ja datu subjektam nevar norādīt personas datu avotu tā iemesla dēļ, ka ir izmantoti dažādi avoti, būtu jāsniedz vispārīga informācija.
(62) Tomēr pienākumu sniegt informāciju nav vajadzīgs noteikt gadījumos, ja informācija jau ir datu subjekta rīcībā, ja personas datu reģistrācija vai izpaušana ir skaidri paredzēta likumā, vai ja informācijas sniegšana datu subjektam izrādās neiespējama vai prasītu nesamērīgi lielas pūles. Pēdējais minētais varētu jo īpaši būt gadījums, kad apstrāde tiek veikta arhivēšanas nolūkos sabiedrības interesēs, zinātniskās vai vēstures pētniecības nolūkos, vai statistikas nolūkos. Minētajā sakarā būtu jāņem vērā datu subjektu skaits, datu vecums un jebkādas pieņemtās atbilstošās garantijas.
(63) Datu subjektam vajadzētu būt tiesībām piekļūt personas datiem, kas par to savākti, un viegli un saprātīgos intervālos īstenot minētās tiesības, lai zinātu par apstrādi un pārliecinātos par tās likumīgumu. Tas ietver arī datu subjektu tiesības piekļūt saviem veselības datiem, piemēram, datiem par slimības vēsturi, kas ietver tādu informāciju kā diagnozes, analīžu rezultāti, ārstējošā terapeita vērtējums un ārstēšanas vai medicīniskās iejaukšanās pasākumi. Tāpēc katram datu subjektam vajadzētu būt tiesībām zināt un saņemt paziņojumu jo īpaši par to, kādos nolūkos personas datus apstrādā, ja iespējams, cik ilgi personas dati tiek apstrādāti, personas datu saņēmējus, kāda ir jebkurā personas datu automātiskajā apstrādē ietvertā loģika un kādas ir šādas apstrādes sekas – vismaz tad, ja apstrāde pamatojas uz profilēšanu. Ja iespējams, pārzinim būtu jāspēj nodrošināt attālināta piekļuve drošai sistēmai, kas datu subjektam sniegtu tiešu piekļuvi saviem personas datiem. Minētajām tiesībām nevajadzētu nelabvēlīgi ietekmēt citu personu tiesības vai brīvības, tostarp tirdzniecības noslēpumus vai intelektuālā īpašuma tiesības un jo īpaši autortiesības, ar ko aizsargāta programmatūra. Tomēr minēto apsvērumu rezultātam nevajadzētu būt tādam, ka datu subjektam tiek atteikts sniegt jebkādu informāciju. Ja pārzinis apstrādā lielu informācijas apjomu saistībā ar datu subjektu, pārzinim būtu jāspēj pieprasīt, lai datu subjekts pirms informācijas nosūtīšanas precizētu, uz kuru informāciju un kurām apstrādes darbībām pieprasījums attiecas.
Riktlinjer & Case Law
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 13(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
…
Logga in
för att komma åt hela textenу