Більше
Навігація
ГЛАВА I Загальні положення (1-4)
Стаття 1. Предмет і ціліСтаття 2. Матеріальна сфера діїСтаття 3. Територіальна сфера діїСтаття 4. Терміни та означення
ГЛАВА II Принципи (5-11)
Стаття 5. Принципи опрацювання персональних данихСтаття 6. Законність опрацюванняСтаття 7. Умови надання згодиСтаття 8. Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільстваСтаття 9. Опрацювання спеціальних категорій персональних данихСтаття 10. Опрацювання персональних даних про судимості і кримінальні злочиниСтаття 11. Опрацювання, що не вимагає ідентифікації
ГЛАВА III Права суб'єкта даних (12-23)
Стаття 12. Прозора інформація, повідомлення та форми реалізації прав суб'єкта данихСтаття 13. Інформація, яку необхідно надати у разі збирання персональних даних від суб'єкта данихСтаття 14. Інформація, яку необхідно надати у разі отримання персональних даних не від суб'єкта данихСтаття 15. Право суб'єкта даних на доступСтаття 16. Право на виправленняСтаття 17. Право на стирання ("право бути забутим")Стаття 18. Право на обмеження опрацюванняСтаття 19. Зобов'язання щодо повідомлення про виправлення чи стирання персональних даних або обмеження опрацювання
Стаття 20. Право на мобільність даних
Стаття 21. Право на запереченняСтаття 22. Автоматизоване індивідуальне вироблення й ухвалення рішень, у тому числі, профайлінгСтаття 23. Обмеження
ГЛАВА IV Контролер і оператор (24-43)
Стаття 24. Предмет і ціліСтаття 25. Захист даних за призначенням і за замовчуваннямСтаття 26. Спільні контролериСтаття 27. Представники контролерів або операторів, які не мають осідків у СоюзіСтаття 28. ОператорСтаття 29. Опрацювання під керівництвом контролера або оператораСтаття 30. Записи опрацювання данихСтаття 31. Співпраця із наглядовим органомСтаття 32. Безпека опрацюванняСтаття 33. Нотифікація наглядового органу про порушення захисту персональних данихСтаття 34. Повідомлення суб'єкта даних про порушення захисту персональних данихСтаття 35. Оцінювання впливу на захист данихСтаття 36. Попередня консультаціяСтаття 37. Призначення співробітника з питань захисту данихСтаття 38. Позиція співробітника з питань захисту данихСтаття 39. Завдання співробітника з питань захисту данихСтаття 40. Кодекс поведінкиСтаття 41. Моніторинг затверджених кодексів поведінкиСтаття 42. СертифікаціяСтаття 43. Органи сертифікації
ГЛАВА V Передавання персональних даних до третіх країн або міжнародних організацій (44-50)
Стаття 44. Загальні принципи передаванняСтаття 45. Передавання на підставі рішення про відповідністьСтаття 46. Передавання з урахуванням належних гарантійСтаття 47. Зобов'язальні корпоративні правилаСтаття 48. Передавання або розкриття, не дозволені законодавством СоюзуСтаття 49. Відступи для спеціальних ситуаційСтаття 50. Міжнародна співпраця у сфері захисту персональних даних
ГЛАВА VI Незалежні наглядові органи (51-59)
Стаття 51. Наглядовий органСтаття 52. НезалежністьСтаття 53. Загальні умови для членів наглядового органуСтаття 54. Правила заснування наглядового органуСтаття 55. КомпетенціяСтаття 56. Компетенція керівного наглядового органуСтаття 57. ЗавданняСтаття 58. ПовноваженняСтаття 59. Звіти про виконану роботу
ГЛАВА VII Співпраця і послідовність (60-70)
Стаття 60. Співпраця між керівним наглядовим органом і іншими відповідними наглядовими органамиСтаття 61. Взаємна допомогаСтаття 62. Спільні операції наглядових органівСтаття 63. Механізм послідовностіСтаття 64. Висновок РадиСтаття 65. Врегулювання спорів РадоюСтаття 66. Екстрена процедураСтаття 67. Обмін інформацієюСтаття 68. Європейська рада із захисту данихСтаття 69. НезалежністьСтаття 70. Завдання РадиСтаття 71. ЗвітиСтаття 72. ПроцедураСтаття 73. ГоловаСтаття 74. Завдання ГоловиСтаття 75. СекретаріатСтаття 76. Конфіденційність
ГЛАВА VIII Засоби правового захисту, відповідальність і санкції (77-84)
Стаття 77. Право на подання скарги до наглядового органуСтаття 78. Право на дієвий судовий засіб правового захисту проти наглядового органуСтаття 79. Право на дієвий судовий засіб правового захисту проти контролера або оператораСтаття 80. Представництво суб'єктів данихСтаття 81. Призупинення провадженняСтаття 82. Право на відшкодування та відповідальністьСтаття 83. Загальні умови для накладання адміністративних штрафівСтаття 84. Санкції
ГЛАВА IX Положення про спеціальні ситуації опрацювання (85-91)
Стаття 85. Опрацювання і свобода вияву поглядів та свобода інформаціїСтаття 86. Опрацювання та доступ громадськості до офіційних документівСтаття 87. Опрацювання національного ідентифікаційного номеруСтаття 88. Опрацювання в контексті зайнятостіСтаття 89. Гарантії та відступи, що стосуються опрацювання для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілейСтаття 90. Обов'язки збереження таємниціСтаття 91. Чинні правила захисту даних церков і релігійних асоціацій
ГЛАВА X Делеговані акти та імплементаційні акти (92-93)
Стаття 92. Здійснення делегуванняСтаття 93. Процедура Комітету
ГЛАВА XI Прикінцеві положення (94-95)
Стаття 94. Скасування Директиви 95/46/ЄССтаття 95. Взаємозв'язок із Директивою 2002/58/ЄССтаття 96. Взаємозв'язок із попередньо укладеними УгодамиСтаття 97. Звіти КомісіїСтаття 98. Перевірка застосування інших нормативно-правових актів Союзу щодо захисту данихСтаття 99. Набуття чинності та застосування
GDPR > Стаття 20. Право на мобільність даних
Завантажити в PDF

Стаття 20 GDPR. Право на мобільність даних

1. Суб’єкт даних повинен мати право на отримання його або її персональних даних, які він надав контролеру, в структурованому, загальноприйнятому форматі, що легко зчитується машиною, та мати право на передавання таких даних іншому контролеру без перешкод від контролера, якому було надано персональні дані, якщо:

Коментар експерта
Коментар експерта
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question

(a) опрацювання ґрунтується на згоді згідно з пунктом (a) статті 6(1) чи пунктом (a) статті 9(2), або на основі договору згідно з пунктом (b) статті 6(1); та

Пов'язані норми
Пов'язані норми

(b) опрацювання є автоматизованим.

2. Реалізуючи своє право на мобільність даних згідно з параграфом 1, суб’єкт даних повинен мати право на передавання персональних даних безпосередньо від одного контролера до іншого, за умов відповідної технічної можливості.

3. Реалізація права, вказаного в параграфі 1 цієї статті, не повинна обмежувати дію статті 17. Це право не застосовується до опрацювання, необхідного для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера.

Пов'язані норми
Пов'язані норми

4. Право, вказане в параграфі 1, не повинно негативно впливати на права та свободи інших осіб.

Загальний регламент про захист даних (GDPR)

Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf

Коментар експерта ISO 27701 Преамбули Керівництво та прецедентне право Залишити коментар
Коментар експерта

(EN) The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

(EN) […]


to read the full text

Преамбули

(68) Для посилення контролю за своїми власними даними, якщо персональні дані опрацьовують автоматизованими засобами, суб'єкт даних повинен мати право на отримання своїх персональних даних, які він надав контролеру в структурованому, широко вживаному форматі, що легко зчитується машиною, і на передавання їх іншому контролеру. Необхідно заохочувати контролерів даних розробляти сумісні формати, що уможливлюють мобільність даних. Таке право необхідно застосовувати, якщо суб'єкт даних надав персональні дані на підставі своєї згоди, або якщо опрацювання є необхідним для виконання договору. Його не можна застосовувати, якщо опрацювання ґрунтується на законній підставі, іншої ніж згода чи договір. За своєю специфікою таке право не потрібно реалізовувати проти контролерів, які здійснюють опрацювання персональних даних під час виконання своїх службових обов'язків. Тому, його не можна застосовувати, якщо опрацювання персональних даних є необхідним для дотримання встановленого законом зобов'язання контролера, для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. Право суб'єкта даних передавати або одержувати свої персональні дані не повинно створювати для контролерів обов'язок розробити або зберегти технічно сумісні системи опрацювання. У випадку залучення декількох суб'єктів даних, в певному наборі персональних даних, право одержати персональні дані не повинно обмежувати права та свободи інших суб'єктів даних згідно з цим Регламентом. Крім того, таке право не повинно обмежувати право суб'єкта даних на видалення персональних даних і обмеження такого права, як встановлено в цьому Регламенті, та не повинно, зокрема, передбачати видалення персональних даних про суб'єкт даних, які були надані ним або нею для виконання договору мірою та протягом періоду необхідності персональних даних для виконання договору. За умов технічної доцільності, суб'єкт даних повинен мати право на те, щоб персональні дані було передано безпосередньо від одного контролера до наступного.

Керівництво та прецедентне право Залишити коментар
[js-disqus]