Навігація
GDPR > Стаття 20. Право на мобільність даних
Завантажити в PDF

Стаття 20 GDPR. Право на мобільність даних

Article 20 GDPR. Right to data portability

1. Суб’єкт даних повинен мати право на отримання його або її персональних даних, які він надав контролеру, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та мати право на передавання таких даних іншому контролеру без перешкод від контролера, якому було надано персональні дані, якщо:

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

Коментар експерта
(EN) Author
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

(a) опрацювання ґрунтується на згоді згідно з пунктом (a) статті 6(1) чи пунктом (a) статті 9(2), або на основі договору згідно з пунктом (b) статті 6(1); та

(a) the processing is based on consent pursuant to point (a) of Article 6(1) or point (a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

Пов'язані норми

(b) опрацювання є автоматизованим.

(b) the processing is carried out by automated means.

2. Реалізуючи своє право на мобільність даних згідно з параграфом 1, суб’єкт даних повинен мати право на передавання персональних даних безпосередньо від одного контролера до іншого, за умов відповідної технічної можливості.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3. Реалізація права, вказаного в параграфі 1 цієї статті, не повинна обмежувати дію статті 17. Це право не застосовується до опрацювання, необхідного для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера.

3. The exercise of the right referred to in paragraph 1 of this Article shall be without prejudice to Article 17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Пов'язані норми

4. Право, вказане в параграфі 1, не повинно негативно впливати на права та свободи інших осіб.

4. The right referred to in paragraph 1 shall not adversely affect the rights and freedoms of others.

Коментар експерта ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар
Коментар експерта

(EN) The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

(EN) […]


to read the full text

Преамбули

(68) Для посилення контролю за своїми власними даними, якщо персональні дані опрацьовують автоматизованими засобами, суб'єкт даних повинен мати право на отримання своїх персональних даних, які він надав контролеру в структурованому, широко вживаному форматі, що легко зчитується машиною, і на передавання їх іншому контролеру. Необхідно заохочувати контролерів даних розробляти сумісні формати, що уможливлюють мобільність даних. Таке право необхідно застосовувати, якщо суб'єкт даних надав персональні дані на підставі своєї згоди, або якщо опрацювання є необхідним для виконання договору. Його не можна застосовувати, якщо опрацювання ґрунтується на законній підставі, іншої ніж згода чи договір. За своєю специфікою таке право не потрібно реалізовувати проти контролерів, які здійснюють опрацювання персональних даних під час виконання своїх службових обов'язків. Тому, його не можна застосовувати, якщо опрацювання персональних даних є необхідним для дотримання встановленого законом зобов'язання контролера, для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. Право суб'єкта даних передавати або одержувати свої персональні дані не повинно створювати для контролерів обов'язок розробити або зберегти технічно сумісні системи опрацювання. У випадку залучення декількох суб'єктів даних, в певному наборі персональних даних, право одержати персональні дані не повинно обмежувати права та свободи інших суб'єктів даних згідно з цим Регламентом. Крім того, таке право не повинно обмежувати право суб'єкта даних на видалення персональних даних і обмеження такого права, як встановлено в цьому Регламенті, та не повинно, зокрема, передбачати видалення персональних даних про суб'єкт даних, які були надані ним або нею для виконання договору мірою та протягом періоду необхідності персональних даних для виконання договору. За умов технічної доцільності, суб'єкт даних повинен мати право на те, щоб персональні дані було передано безпосередньо від одного контролера до наступного.

(68) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.

Керівництво та прецедентне право Залишити коментар
[js-disqus]