(69) Якщо персональні дані можна опрацьовувати на законних підставах, оскільки опрацювання є необхідним для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера, або на підставах законних інтересів контролера чи третьої сторони, у такому разі суб'єкт даних повинен, тим не менше, мати право на заперечення проти опрацювання будь-яких персональних даних, що стосуються його або її конкретної ситуації. Відповідальністю контролера є доведення, що його вагомий законний інтерес переважає над інтересами або фундаментальними правами та свободами суб'єкта даних.
GDPR
>
Стаття 21. Право на заперечення
Стаття 21 GDPR. Право на заперечення
1. Суб’єкт даних повинен мати право заперечувати, на підставах, що пов’язані з його або її конкретною ситуацією, в будь-який час, проти опрацювання його або її персональних даних, яке здійснюють на підставі пункту (e) чи (f) статті 6(1), у тому числі, проти профайлінгу, що ґрунтується на тих положеннях. Контролер не повинен більше опрацьовувати персональні дані за винятком доведення ним наявності істотних законних підстав для опрацювання, що переважають над інтересами, правами та свободами суб’єкта даних або для формування, здійснення або захисту правових претензій.
Коментар експерта
Преамбули
Пов'язані норми
2. У випадку опрацювання персональних даних для цілей прямого маркетингу, суб’єкт даних повинен мати право на заперечення проти такого опрацювання персональних даних, у тому числі, профайлінгу, тією мірою, якою це стосуються такого прямого маркетингу.
3. Якщо суб’єкт даних заперечує проти опрацювання для цілей прямого маркетингу, персональні дані не можна більше опрацьовувати для таких цілей.
Преамбули
(70) У разі опрацювання персональних даних для цілей прямого маркетингу, суб'єкт даних повинен мати право на заперечення проти такого опрацювання, у тому числі профайлінгу, тією мірою, якою це стосується такого прямого маркетингу, у зв'язку з первинним чи подальшим опрацюванням, у будь-який час та на безоплатній основі. Таке право необхідно однозначно довести до відома суб'єкта даних і представити чітко та окремо від будь-якої іншої інформації.
4. Щонайпізніше в момент першого повідомлення суб’єкту даних, право, вказане в параграфах 1 і 2, необхідно чітко довести до відома суб’єкта даних і представити зрозуміло та окремо від будь-якої іншої інформації.
ISO 27701
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 21(4) GDPR:
7.3.2 Determining information for PII principals
Control
The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.
Implementation guidance
The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.
(EN) […]
(EN) Sign in
to read the full text
5. У контексті користування послугами інформаційного суспільства та незважаючи на Директиву 2002/58/ЄС, суб’єкт даних може реалізовувати своє право на заперечення автоматизованими засобами з використанням технічних специфікацій.
6. Якщо персональні дані опрацьовують для цілей наукового чи історичного дослідження, або статистичних цілей згідно зі статтею 89(1), суб’єкт даних, на підставах, що пов’язані з його або її конкретною ситуацією, повинен мати право на заперечення проти опрацювання його або її персональних даних, за винятком, якщо таке опрацювання є необхідним для виконання завдання на підставах суспільного інтересу.
Загальний регламент про захист даних (GDPR)
Офіційний переклад українською мовою. Джерело: kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf
Коментар експерта
ISO 27701
Преамбули
Керівництво та прецедентне право
Залишити коментар
(EN)
Data Subject Request Letter Sample
Concern: Request to stop processing my personal data
Dear Madam, Dear Sir,
You have data concerning me that I am asking you to stop processing…
(EN) […]
(EN) Sign in
to read the full text
(EN) Author
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 21 GDPR:
7.3.5 Providing mechanism to object to PII processing
Control
The organization should provide a mechanism for PII principals to object to the processing of their PII.
Implementation guidance
Some jurisdictions provide PII principals with a right to object to the processing of their PII.
(EN) […]
(EN) Sign in
to read the full text
(69) Якщо персональні дані можна опрацьовувати на законних підставах, оскільки опрацювання є необхідним для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера, або на підставах законних інтересів контролера чи третьої сторони, у такому разі суб'єкт даних повинен, тим не менше, мати право на заперечення проти опрацювання будь-яких персональних даних, що стосуються його або її конкретної ситуації. Відповідальністю контролера є доведення, що його вагомий законний інтерес переважає над інтересами або фундаментальними правами та свободами суб'єкта даних.
(70) У разі опрацювання персональних даних для цілей прямого маркетингу, суб'єкт даних повинен мати право на заперечення проти такого опрацювання, у тому числі профайлінгу, тією мірою, якою це стосується такого прямого маркетингу, у зв'язку з первинним чи подальшим опрацюванням, у будь-який час та на безоплатній основі. Таке право необхідно однозначно довести до відома суб'єкта даних і представити чітко та окремо від будь-якої іншої інформації.
[js-disqus]
(EN) Url-link to highlighted text was copied to the clipboard!
(EN) Preparing download...
(EN)