Expertkommentarer
ISO 27701
Skälen
(61) L-informazzjoni fir-rigward tal-ipproċessar ta' data personali relatata mas-suġġett tad-data għandha tingħatalu meta tinġabar mis-suġġett tad-data, jew, fejn id-data personali tinkiseb minn sors ieħor, f'perijodu ta' żmien raġonevoli, skont iċ-ċirkostanzi tal-każ. Fejn id-data personali tista' tkun żvelata b'mod leġittimu lil riċevitur ieħor, is-suġġett tad-data għandu jkun informat meta d-data personali tkun żvelata għall-ewwel darba lir-riċevitur. Fejn il-kontrollur jkollu l-intenzjoni li jipproċessa d-data personali għal fini differenti minn dak li għalih tkun inġabret, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b'informazzjoni dwar dak il-fini l-ieħor u informazzjoni meħtieġa oħra. Fejn il-oriġini tad-data personali ma setgħetx tingħata lis-suġġett tad-data peress li jkunu intużaw diversi sorsi, għandha tingħata informazzjoni ġenerali.
(62) Madankollu, mhuwiex meħtieġ li l-obbligu li tiġi provduta informazzjoni jiġi impost fejn is-suġġett tad-data diġà jkollu l-informazzjoni, fejn ir-reġistrazzjoni jew l-iżvelar tad-data personali tkun espressament stabbilita bil-liġi, jew fejn l-għoti tal-informazzjoni lis-suġġett tad-data tirriżulta impossibbli jew tinvolvi sforz sproporzjonat. Dan tal-aħħar jista' jkun il-każ partikolarment fejn l-ipproċessar isir għal finijiet ta' arkivjar fl-interess pubbliku, għal finijiet ta' riċerka xjentifika jew storika jew għal finijiet ta' statistika. F'dak ir-rigward, għandhom jiġu kkunsidrati l-għadd ta' suġġetti tad-data, l-età tad-data, u kwalunkwe salvagwardja adatta adottati.
(63) Suġġett tad-data għandu jkollu d-dritt ta' aċċess għal data li tkun inġabret dwaru, u li jeżerċita dak id-dritt faċilment u f'intervalli raġonevoli, sabiex ikun jaf dwar, u jivverifika, il-legalità tal-ipproċessar. Dan jinkludi d-dritt tas-suġġetti tad-data li jkollhom aċċess għad-data dwar saħħithom, pereżempju d-data fir-reġistri mediċi tagħhom li jkun fihom informazzjoni bħal dijanjosi, riżultati ta' eżamijiet, valutazzjonijiet mit-tobba li qed jittrattawhom u kwalunkwe kura jew intervent ipprovdut. Kull suġġett tad-data għandu għalhekk ikollu d-dritt li jkun jaf u jikseb komunikazzjoni b'mod partikolari fir-rigward tal-għanijiet li għalihom tkun qiegħda tiġi pproċessata d-data personali, fejn possibbli il-perijodu li għalih id-data personali tiġi pproċessata, ir-riċevituri tad-data personali, il-loġika involuta fi kwalunkwe pproċessar awtomatiku tad-data personali u, għallinqas meta bbażata fuq it-tfassil ta' profili, il-konsegwenzi ta' dan l-ipproċessar. Fejn possibbli, il-kontrollur għandu jkun jista' jipprovdi aċċess mill-bogħod għal sistema sikura li tipprovdi lis-suġġett tad-data b'aċċess dirett għad-data personali tiegħu. Dak id-dritt ma għandux jaffettwa negattivament id-drittijiet jew il-libertajiet ta' persuni oħrajn, inklużi sigrieti tan-negozju jew proprjetà intellettwali u b'mod partikolari d-dritt tal-awtur li jipproteġi s-software. Madankollu, ir-riżultat ta' dawn il-kunsiderazzjonijiet m'għandux ikun rifjut li tiġi provduta l-informazzjoni kollha lis-suġġett tad-data. Fejn il-kontrollur jipproċessa kwantità kbira ta' informazzjoni rigward is-suġġett tad-data, il-kontrollur għandu jkun jista' jitlob li qabel ma tingħata din l-informazzjoni, is-suġġett tad-data jispeċifika l-informazzjoni jew l-attivitajiet ta' pproċessar li għalihom tkun tirreferi t-talba.
Riktlinjer & Case Law
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2020 on the Processing of Data Concerning Health for the Purpose of Scientific Research in the Context of the Covid-19 Outbreak (2020).
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 13(2)(a) GDPR:
7.4.7 Retention
Control
The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.
Implementation guidance
The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.
…
Logga in
för att komma åt hela textenу