Статья 12 📖 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

Статья 12 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject

1. Контролёр принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка, — особенно, когда информация адресована ребенку. Информация должна быть представлена в письменной форме, или с помощью других средств, в том числе, в случае необходимости, электронными средствами. По просьбе субъекта данных, информация может быть предоставлена устно, при условии, что личность субъекта данных подтверждена при помощи других средств.

1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Преамбулы

(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.

(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

Статья 15 GDPR. Право доступа субъекта данных

Article 15 GDPR. Right of access by the data subject

Статья 16 GDPR. Право на уточнение данных

Article 16 GDPR. Right to rectification

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

Статья 19 GDPR. Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработки

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Article 22 GDPR. Automated individual decision-making, including profiling

Статья 34 GDPR. Уведомление субъекта данных о нарушении безопасности персональных данных

Article 34 GDPR. Communication of a personal data breach to the data subject

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

Guidelines 4/2019 on Article 25 Data Protection by Design and by Default Version 2.0.

3.1 Прозрачность [24]

3.1 Transparency [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

_{[24]Elaboration on how to understand the concept of transparency can be found in Article 29 Working Party. «Guidelines on transparency under Regulation 2016/679». WP 260 rev.01, 11 April 2018. ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — endorsed by the EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. The controller must be clear and open with the data subject about how they will collect, use and share personal data. Transparency is about enabling data subjects to understand, and if necessary, make use of their rights in Articles 15 to 22. The principle is embedded in Articles 12, 13, 14 and 34. Measures and safeguards put in place to support the principle of transparency should also support the implementation of these Articles.

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

66. Key design and default elements for the principle of transparency may include:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Clarity – Information shall be in clear and plain language, concise and intelligible.

•Семантика – коммуникация должна быть понятной для аудитории.

•Semantics – Communication should have a clear meaning to the audience in question.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Accessibility — Information shall be easily accessible for the data subject.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Contextual – Information should be provided at the relevant time and in the appropriate form.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Relevance – Information should be relevant and applicable to the specific data subject.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

• Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Article 29 Working Party Guidelines on transparency under Regulation 2016/679

«Кратко, прозрачно, понятно и легкодоступно»

“Concise, transparent, intelligible and easily accessible”

Требование того, чтобы предоставление информации субъектам данных и коммуникация с ними осуществлялось «кратко и прозрачно», означает, что контролеры данных должны предоставлять информацию/сообщения эффективно и лаконично, чтобы избежать информационной усталости. Эту информацию следует четко отличать от другой информации, не связанной с приватностью, такой как условия договора или общие условия использования. В режиме онлайн использование многоуровневой политика приватности позволит субъекту данных перейти к определенному разделу политики приватности, к которому он хочет получить немедленный доступ, вместо того, чтобы просматривать большие объемы текста в поисках конкретных проблемы.

The requirement that the provision of information to, and communication with, data subjects is done in a “concise and transparent” manner means that data controllers should present the information/ communication efficiently and succinctly in order to avoid information fatigue. This information should be clearly differentiated from other non-privacy related information such as contractual provisions or general terms of use. In an online context, the use of a layered privacy statement/ notice will enable a data subject to navigate to the particular section of the privacy statement/ notice which they want to immediately access rather than having to scroll through large amounts of text searching for particular issues.

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

The “easily accessible” element means that the data subject should not have to seek out the information; it should be immediately apparent to them where and how this information can be accessed, for example by providing it directly to them, by linking them to it, by clearly signposting it or as an answer to a natural language question (for example in an online layered privacy statement/ notice, in FAQs, by way of contextual pop-ups which activate when a data subject fills in an online form, or in an interactive digital context through a chatbot interface, etc. These mechanisms are further considered below, including at paragraphs 33 to 40).

“Ясный и простой язык”

“Clear and plain language”

При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.

With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.

«В текстовом виде или другими способами»

“In writing or by other means”

Разумеется, использование цифровых многоуровневых политик приватности не является единственными текстовым электронным средством, которым могут воспользоваться контролеры. К другим электронным средствам относятся контекстные всплывающие «точно в срок» уведомления, уведомления в формате 3D touch или hover-over, а также панели приватности. Электронные средства в нетекстовой форме, которые могут использоваться в дополнение к многоуровневой политике приватности могут включать в себя видео и голосовые оповещения со смартфонов или IoT.[25] В качестве «иных средств», которые не обязательно являются электронными, могут выступать, например, мультфильмы, инфографика или блок-схемы программ. В тех случаях, когда информация о прозрачности предназначена конкретно для детей, контролеры должны рассмотреть вопрос о том, какие виды средств могут быть в особенности доступны детям (например, среди прочего это могут быть комиксы/мультфильмы, графические изображения, анимации и т.д.).

Of course, the use of digital layered privacy statements/ notices is not the only written electronic means that can be deployed by controllers. Other electronic means include “justin-time” contextual pop-up notices, 3D touch or hover-over notices, and privacy dashboards. Non-written electronic means which may be used in addition to a layered privacy statement/ notice might include videos and smartphone or IoT voice alerts.[25] “Other means”, which are not necessarily electronic, might include, for example, cartoons, infographics or flowcharts. Where transparency information is directed at children specifically, controllers should consider what types of measures may be particularly accessible to children (e.g. these might be comics/ cartoons, pictograms, animations, etc. amongst other measures).

2. Контролёр должен содействовать субъекту данных в осуществлении прав, наделенных ему в соответствии со статьями 15 до 22. В случаях, указанных в статье 11(2), контролёр не должен отказывать запросу субъекта данных в реализации своих прав в соответствии со статьями 15-22 кроме тех случаев, когда контролёр докажет, что он не в состоянии идентифицировать субъекта данных.

2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.

ISO 27701 Руководство и прецедентное право Преамбулы Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 12(2) GDPR:

7.3.1 Определение и выполнение обязательств перед субъектами ПИИ

Средство управления

Организация должна определить и задокументировать свои юридические, нормативные и коммерческие обязательства перед субъектами ПИИ, связанные с обработкой их ПИИ, и предоставить средства для выполнения этих обязательств.

…

Войти
для доступа к полному тексту

Руководство и прецедентное право

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Преамбулы

(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.

(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.

Связанные статьи

Статья 15 GDPR. Право доступа субъекта данных

Article 15 GDPR. Right of access by the data subject

Статья 16 GDPR. Право на уточнение данных

Article 16 GDPR. Right to rectification

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Article 22 GDPR. Automated individual decision-making, including profiling

Статья 11 GDPR. Обработка, не требующая идентификации

Article 11 GDPR. Processing which does not require identification

[…]

2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.

2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.

3. Контролёр без неоправданной задержки — и в любом случае в течение одного месяца с момента получения запроса – представляет субъекту персональных данных информацию о мерах, принятых в связи с запросом на основании ст. 15-22. В случае необходимости этот срок может быть продлен еще на два месяца ввиду сложного характера запроса или количества запросов. В течение одного месяца с момента получения запроса контролёр должен сообщить субъекту данных о таком продлении срока, с указанием причин задержки. Если субъект данных направил свой запрос в электронном виде, насколько это возможно, информация также предоставляется в электронном виде, если субъект данных не запросил иную форму.

3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.

Связанные статьи

Статья 15 GDPR. Право доступа субъекта данных

Article 15 GDPR. Right of access by the data subject

Статья 16 GDPR. Право на уточнение данных

Article 16 GDPR. Right to rectification

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Article 22 GDPR. Automated individual decision-making, including profiling

4. Если контролёр не предпринимает никаких действий по просьбе субъекта персональных данных, он обязан без задержки и не позднее одного месяца с момента получения запроса сообщить субъекту персональных данных о причинах непринятия мер и о возможности подать жалобу в надзорный орган органу и воспользоваться средствами судебной защиты.

4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.

5. Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно. Если запросы субъекта данных являются явно необоснованными или чрезмерными, в частности, из-за их повторяющегося характера, контролёр может:

5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

Статья 15 GDPR. Право доступа субъекта данных

Article 15 GDPR. Right of access by the data subject

Статья 16 GDPR. Право на уточнение данных

Article 16 GDPR. Right to rectification

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Article 22 GDPR. Automated individual decision-making, including profiling

a) взимать разумную плату, с учетом административных расходов на предоставление информации, ведения коммуникации или реализации запрашиваемых действий; или

(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or

b) отказываться от реализации действий в связи с запросом.

(b) refuse to act on the request.

Бремя доказательства, что просьба является явно необоснованной или носит чрезмерный характер, возлагается на контролёра.

The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.

6. Не умаляя положений статьи 11, если контролёр имеет обоснованные сомнения в личности физического лица, делающего запрос, указанный в статьях 15-21, контролёр может запросить дополнительную информацию, необходимую для подтверждения личности субъекта данных.

6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.

Связанные статьи

Статья 11 GDPR. Обработка, не требующая идентификации

Article 11 GDPR. Processing which does not require identification

Статья 15 GDPR. Право доступа субъекта данных

Article 15 GDPR. Right of access by the data subject

Статья 16 GDPR. Право на уточнение данных

Article 16 GDPR. Right to rectification

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Article 17 GDPR. Right to erasure (‘right to be forgotten’)

Статья 18 GDPR. Право на ограничение обработки

Article 18 GDPR. Right to restriction of processing

Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing

Статья 20 GDPR. Право на переносимость данных

Article 20 GDPR. Right to data portability

Статья 21 GDPR. Право на возражение

Article 21 GDPR. Right to object

7. Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми.

7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Article 13 GDPR. Information to be provided where personal data are collected from the data subject

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject

8. Комиссия имеет право принимать делегированные акты в соответствии со статьей 92, чтобы определить информацию, которая будет представляться с помощью пиктограмм, и установить процедуры их введения.

8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.

Связанные статьи

Статья 92 GDPR. Реализация подзаконных актов

Article 92 GDPR. Exercise of the delegation

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

General Data Protection Regulation (EU GDPR)

The latest consolidated version of the Regulation with corrections by Corrigendum, OJ L 127, 23.5.2018, p. 2 ((EU) 2016/679). Source: EUR-lex.

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.

В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.

Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».

Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.

Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.

Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».

Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).

Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.

Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.

Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).

Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).

Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.

В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.

Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.

Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.

Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.

На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.

Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 12 GDPR:

7.3.3 Предоставление информации субъектам ПИИ

Средство управления

Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.

Руководство по внедрению

Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.

…

Войти
для доступа к полному тексту

Преамбулы