Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи
Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи
Введение
Данное руководство содержит практическое рекомендации и помощь в толковании Рабочей группы 29-й статьи (WP29) по новому обязательству прозрачности в отношении обработки персональных данных в соответствии с Общим регламентом по защите персональных данных [1] (GDPR). Под прозрачностью понимается всеобъемлющее обязательство в рамках GDPR, применяемое к трем центральным областям: (1) обеспечение информации для субъектов данных, связанное с добросовестной обработкой; (2) как контролеры данных взаимодействуют с субъектами данных в отношении их прав в рамках GDPR; и (3) как контролеры данных облегчают осуществление субъектами данных своих прав. [2] Поскольку соблюдение прозрачности в отношении обработки данных необходимо для соответствия Директиве (ЕС) 2016/680, [3] это руководство также применяется для толкования этого принципа. [4] Это руководство, как и все руководства WP29, общеприменимо и имеет отношение к контролерам независимо от секторальных, отраслевых или нормативных спецификаций, характерных для любого указанного контролера данных. Как таковое, это руководство не может учитывать нюансы и многие переменные, которые могут возникнуть в контексте обязательств по прозрачности конкретного сектора, отрасли или регулируемой области. Тем не менее, эти рекомендации предназначены для того, чтобы позволить контролерам на высоком уровне понять толкование WP29 того, что обязательства по прозрачности влекут за собой на практике, и указать подход, согласно которому WP29 считает, что контролерам следует соответствовать требованиям прозрачности, при этом внедряя справедливость и подотчетность в свои меры прозрачности.
[1] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, и отмене Директивы 95/46/EC.
[2] В этом руководстве изложены общие принципы, касающиеся осуществления прав субъектов данных, а не конкретные условия для каждого отдельного права субъекта данных в рамках GDPR.
[3] Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предупреждения, расследования, выявления, привлечения к ответственности за преступление или исполнение уголовных наказаний, а также о свободном перемещении таких данных и отмене Рамочного решения Совета 2008/977/JHA.
[4] Хотя прозрачность не является одним из принципов, касающихся обработки персональных данных, изложенных в статье 4 Директивы (ЕС) 2016/680, Преамбула 26 гласит, что любая обработка персональных данных должна быть «законной, справедливой и прозрачной» по отношению к соответствующим физическим лицам.
Прозрачность является давно установленной чертой права ЕС [5]. Речь идет о том, чтобы вызвать доверие к процессам, которые влияют на граждан, давая им возможность понять и, при необходимости, поставить под сомнение данные процессы. Это также является выражением принципа справедливости по отношению к обработке персональных данных, указанных в статье 8 Хартии Европейского союза по правам человека. В соответствии с GDPR (статья 5(1)(a)[6]), в дополнение к требованиям о том, что данные должны обрабатываться законно и справедливо, прозрачность теперь включена в качестве фундаментального аспекта этих принципов. [7] Прозрачность неразрывно связана со справедливостью и новым принципом подотчетности в рамках GDPR. Из статьи 5.2 также следует, что у контролера всегда должна быть возможность продемонстрировать, что персональные данные обрабатываются прозрачным образом по отношению к субъекту данных. [8] В связи с этим принцип подотчетности требует прозрачности операций обработки для того, чтобы контролеры данных были в состоянии продемонстрировать соблюдение своих обязательств по GDPR. [9]
[5] Статья 1 TEU касается решений, принимаемых «как можно более открыто и близко к гражданину»; в статье 11(2) говорится, что «учреждения должны поддерживать открытый, прозрачный и регулярный диалог с представительными объединениями и гражданским обществом»; и статья 15 TFEU относится, среди прочего, к гражданам Союза, имеющим право доступа к документам учреждений, органов, ведомств и агентств Союза, а также к требованиям этих учреждений, органов, ведомств и агентств Союза для обеспечения того, чтобы их разбирательство было прозрачным.
[6] «Персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных»
[7] В Директиве 95/46/EC прозрачность упоминалась только в Преамбуле 38, в виде требования о справедливой обработке данных, но на нее прямо не ссылаются в аналогичной статье 6(1)(a).
[8] Статья 5.2 GDPR обязывает контролера данных демонстрировать прозрачность (вместе с пятью другими принципами, касающимися обработки данных, изложенными в статье 5.1) в соответствии с принципом подотчетности.
[9] Обязательство контролеров данных осуществлять технические и организационные меры для обеспечения и возможности представить информацию, что обработка выполняется в соответствии с GDPR, изложено в статье 24.1.
В соответствии с параграфом 171 Преамбулы GDPR, в случаях, когда обработка уже осуществлялась до 25 мая 2018 года, контролер данных должен убедиться, что он выполняет свои обязательства по соблюдению прозрачности таким образом, каким должен их выполнять с 25 мая 2018 года (наряду со всеми другими обязательствами по GDPR). Это означает, что до 25 мая 2018 года контролеры данных должны пересмотреть всю информацию, предоставляемую субъектам данных при обработке их персональных данных (например, в политиках приватности и др.), чтобы убедиться, что они придерживаются требований в отношении прозрачности, которые анализируются в данном руководстве. Если в такую информацию вносятся изменения или дополнения, контролеры должны прояснить субъектам данных, что эти изменения были произведены с целью соблюдения GDPR. WP29 рекомендует, чтобы такие изменения или дополнения были активно доведены до сведения субъектов данных, но как минимум контролеры должны сделать эту информацию общедоступной (например, на своем веб-сайте). Однако, если изменения или дополнения являются практическими или существенными, то в соответствии с пунктами 29–32, представленными ниже, такие изменения должны активно доводиться до сведения субъекта данных.
Прозрачность, которой придерживаются контролеры данных, дает возможность субъектам данных привлекать контролеров и процессоров данных к ответственности и осуществлять контроль над их персональными данными, например, путем предоставления или отзыва информированного согласия и осуществления прав своих субъектов данных [10]. Концепция прозрачности в GDPR ориентирована на пользователя, а не формальна, и реализуется посредством конкретных практических требований к контролерам и процессорам данных в ряде статей. Практические (информационные) требования изложены в статьях 12-14 GDPR. Однако качество, доступность и понятность информации так же важны, как и фактическое содержание информации о прозрачности, которая должна быть предоставлена субъектам данных.
[10] См., например, мнение генерального адвоката Круса Вильялона (9 июля 2015 года) по делу Бара (дело C-201/14) в параграфе 74: «требование информировать субъектов данных об обработке их персональных данных, которое гарантирует прозрачность всей обработки, является особенно важным, поскольку оно влияет на осуществление субъектами данных их права на доступ к обрабатываемым данным, упомянутым в статье 12 Директивы 95/46, и их права на возражение против обработки этих данных, изложенных в статье 14 этой директивы».
Требования прозрачности в GDPR применяются независимо от правового основания обработки и в течение всего цикла обработки. Это ясно из статьи 12, которая предусматривает, что прозрачность применяется на следующих этапах цикла обработки данных: до или в начале цикла обработки данных, то есть когда персональные данные собираются либо от субъекта данных, либо получены иным образом; в течение всего периода обработки, т. е. при общении с субъектами данных об их правах; и в определенные моменты, когда обработка продолжается, например, когда происходят утечки данных или в случае существенных изменений в обработке.
Значение прозрачности
Прозрачность не определяется в GDPR. Преамбула 39 GDPR информативна в отношении значения и результата применения принципа прозрачности в контексте обработки данных: “Физическим лицам должно быть ясно, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, включает в себя необходимость извещения субъектов данных о личности контролера и о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются…”
Элементы прозрачности по GDPR
Ключевые статьи в отношении прозрачности в GDPR, поскольку они применяются к правам субъекта данных, содержатся в Главе III (Права субъекта данных). Статья 12 устанавливает общие правила, которые применяются к: предоставлению информации субъектам данных (по статьям 13 – 14); коммуникации с субъектами данных по поводу осуществления их прав (по статьям 15 – 22); и сообщениям в связи с утечкой данных (статья 34). В частности, статья 12 требует, чтобы соответствующая информация или сообщение соответствовали следующим правилам: оно должно быть кратким, прозрачным, понятным и легкодоступным (статья 12.1); должен использоваться ясный и простой язык (статья 12.1); требование ясного и простого языка имеет особое значение при предоставлении информации детям (статья 12.1); оно должно быть сделано в письменной форме «или другими способами, в том числе, при необходимости, электронными средствами» (статья 12.1); по запросу субъекта данных оно может быть предоставлено в устной форме (статья 12.1); как правило, оно должно предоставляться бесплатно (статья 12.5).
Требование того, чтобы предоставление информации субъектам данных и коммуникация с ними осуществлялось «кратко и прозрачно», означает, что контролеры данных должны предоставлять информацию/сообщения эффективно и лаконично, чтобы избежать информационной усталости. Эту информацию следует четко отличать от другой информации, не связанной с приватностью, такой как условия договора или общие условия использования. В режиме онлайн использование многоуровневой политика приватности позволит субъекту данных перейти к определенному разделу политики приватности, к которому он хочет получить немедленный доступ, вместо того, чтобы просматривать большие объемы текста в поисках конкретных проблемы.
Основная идея принципа прозрачности, изложенного в этих положениях, заключается в том, что субъект данных должен быть в состоянии заранее определить, каковы масштабы и последствия обработки, и что они не должны быть застигнуты врасплох на более позднем этапе тем, как были использованы их персональные данные. Это также является важным аспектом принципа справедливости в соответствии со статьей 5.1 GDPR и напрямую связано с Преамбулой 39, который гласит, что «физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки персональных данных…». В частности, в отношении сложной, технической или непредвиденной обработки данных WP29 считает, что так же как и для предоставления предписанной информации в соответствии со статьями 13 и 14 (о которой речь пойдет ниже в настоящих руководящих принципах), контролеры должны отдельно однозначным образом указывать каковы будут наиболее важные последствия обработки: иными словами, какое влияние окажет конкретная обработка, описанная в политике приватности, на субъект данных? В соответствии с принципом подотчетности и Преамбулой 39 контролеры данных должны оценить, существуют ли особые риски для физических лиц, вовлеченных в этот тип обработки, на которые следует обратить внимание субъектов данных. Это может помочь предоставить обзор типов обработки, которые могут оказать наибольшее влияние на основные права и свободы субъектов данных в отношении защиты их персональных данных.
«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).
Пример Каждая организация, поддерживающая веб-сайт, должна опубликовать политику приватности на веб-сайте. Прямая ссылка на данную политику приватности должна быть четко видна на каждой странице данного веб-сайта под общепринятым термином (таким как “Приватность”, “Политика приватности” или “Уведомление о защите персональных данных”). Такое размещение или цветовое оформление, которые делают текст или ссылку менее заметной или труднодоступной на веб-странице, не могут считаться легкодоступными. Для приложений, необходимая информация также должна быть доступна в интернет-магазине до их загрузки. После установки приложения, информация должна продолжать оставаться легкодоступной в рамках приложения. Одним из способов выполнения этого требования является обеспечение того, чтобы информация являлась всегда доступной в пределе “двух нажатий” (например, путем включения опции “Приватность”/ “Защита персональных данных” в функциональные возможности меню приложения). Кроме того, рассматриваемая информация в отношении порядка использования персональных данных должна быть специфичной для конкретного приложения и не должна быть просто шаблонной политикой приватности компании, которая является владельцем приложения или делает его доступным для общественности. В качестве рекомендуемой практики WP29 предлагает, чтобы на момент сбора персональных данных в режиме онлайн предоставлялась ссылка на политику приватности или чтобы эта информация была доступна на той же странице, на которой собираются персональные данные.
При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.
Примеры плохой практики Следующие фразы недостаточно ясны в отношении целей обработки: • “Мы можем использовать Ваши персональные данные для разработки новых услуг” (так как неясно, что такое “услуги” и как эти данные будут способствовать их развитию); • “Мы можем использовать Ваши персональные данные в исследовательских целях” (поскольку неясно, о каких именно “исследованиях” идет речь); и • “Мы можем использовать Ваши персональные данные для предоставления персонализированных услуг”(поскольку неясно, что означает “персонализация”).
[11] См. раздел “Как писать ясно” Европейской комиссии (2011), размещенный по адресу: https://publications.europa.eu/en/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5.
[12] Статья 5 Директивы Совета 93/13/ЕЕС от 5 апреля 1993 года о недобросовестных условиях в потребительских договорах.
[13] В Преамбуле 42 указано, что заявление о согласии, составленное контролером данных, должно быть представлено в понятной и легкодоступной форме, с использованием ясного и простого языка, и в нем не должно содержаться недобросовестных положений.
[14] Требование о прозрачности существует абсолютно независимо от требования, предъявляемого к контролерам данных с целью обеспечения наличия надлежащего правового основания обработки в соответствии со статьей 6.
Следует также избегать таких языковых слов-определителей, как “может”, “вероятно”, “некоторый”, “часто” и “возможно”. В тех случаях, когда контролеры данных предпочитают использовать нечеткие формулировки, в соответствии с принципом подотчетности они должны иметь возможность продемонстрировать то, почему нельзя избежать использования такого языка и каким образом это не подрывает справедливость обработки. Пункты и предложения должны быть хорошо структурированы, с использованием абзацев и отступов для обозначения иерархического характера отношений. Письмо должно быть в активной, а не в пассивной форме, а также следует избегать излишних существительных. Информация, предоставляемая субъекту данных, не должна содержать чрезмерное количество юридических, технических или специализированных формулировок или терминологии. В тех случаях, когда информация переводится на один или несколько других языков, контролер данных должен удостовериться в том, что все переводы точны. Также он должен убедиться в том, что фразеология и синтаксис имеют смысл в другом(их) языке(ах) с тем, чтобы не пришлось расшифровывать или заново толковать переведенный текст (перевод на один или несколько других языков должен быть осуществлен в том случае, когда контролер нацелен[15] на субъектов данных, говорящих на этих языках).
[15] Например, если контролер управляет веб-сайтом на соответствующем языке и/или предлагает варианты для конкретной страны и/или облегчает оплату товаров или услуг в валюте конкретной страны-участницы, то это может свидетельствовать о том, что контролер данных ориентирован на субъектов данных конкретной страны-участницы.
Если контролер данных нацелен на детей[16] или знает или должен знать, что их товарами/ услугами пользуются, в частности, дети (в том числе, когда контролер полагается на согласие ребенка)[17], он должен убедиться, что лексика, тон и стиль используемого языка подходит для детей и вызывает интерес, чтобы ребенок-получатель распознал данное сообщение/информацию как направленное на него.[18]Полезный пример ориентированного на ребенка языка, используемого в качестве альтернативы исходному юридическому языку, можно найти в «Конвенции ООН о правах ребенка на языке, дружественном к детям». [19]
[16] Термин «ребенок» не определен в рамках GDPR, однако WP29 признает, что в соответствии с Конвенцией ООН о правах ребенка, которая ратифицирована всеми государствами-членами ЕС, ребенок – это лицо в возрасте до 18 лет.
[17] т. е. дети в возрасте 16 лет или старше (или, если в соответствии со статьей 8.1 GDPR в национальном законодательстве государства-члена установлен иной конкретный возраст согласия в промежутке от 13 до 16 лет, чтобы дети могли согласиться на предложение о предоставлении услуг информационного общества, дети, которые достигли национального возраста согласия).
[18] Преамбула 38 гласит, что «Дети заслуживают особой защиты в отношении своих персональных данных, поскольку они могут быть менее осведомлены о сопутствующих рисках, последствиях и гарантиях и своих правах в отношении обработки персональных данных». Преамбула 58 гласит, что «Учитывая, что дети заслуживают особой защиты, любая информация и коммуникация, где обработка осуществляется в отношении ребенка, должны быть на таком ясном и понятном языке, который ребенок может легко понять».
Позиция WP29 заключается в том, что прозрачность является самостоятельным правом, которое распространяется как на детей, так и на взрослых. WP29 особенно подчеркивает, что дети не теряют свои права субъектов данных в отношении прозрачности лишь потому, что согласие было дано/санкционировано лицом, обладающим родительскими правами в отношении ребенка, в ситуации, при которой применяется статья 8 GDPR. В то время как такое согласие во многих случаях будет предоставляться или санкционироваться на разовой основе лицом, обладающим родительскими правами, ребенок (как и любой другой субъект данных) имеет постоянное право на прозрачность в течение всего периода своего взаимодействия с данными контролером. Это согласуется со статьей 13 Конвенции ООН о правах ребенка, в которой говорится, что ребенок имеет право на свободу выражения, которая включает в себя право искать, получать и распространять информацию и идеи любого рода.[20] Важно отметить, что, предоставляя согласие, которое дается от имени ребенка в возрасте до определенного возраста,[21] статья 8 не предусматривает мер прозрачности, которые должны быть направлены на лицо, обладающее родительскими правами, которое дает данное согласие. Ввиду этого, контролеры данных в соответствии с особыми упоминаниями мер прозрачности в отношении детей в статье 12.1 (на основе Преамбул 38 и 58), обязаны убедиться, что в случае, если они нацелены на детей или знают, что их товары или услуги особенно используются детьми, которые являются достаточно грамотными, любая информация и взаимодействие должны выражаться ясным и понятным языком или в иной доступной форме, понятной детям. Однако, во избежание сомнений, WP29 признает, что в отношении очень маленьких или неграмотных детей меры прозрачности также могут быть адресованы лицам, обладающим родительскими правами в отношении ребенка, поскольку в большинстве случаев такие дети вряд ли поймут даже самые простые сообщения о прозрачности в письменной либо неписьменной форме.
[20] Статья 13 Конвенции ООН о правах ребенка гласит: «Ребенок имеет право на свободу выражения мнений; это право включает свободу искать, получать и распространять информацию и идеи любого рода, независимо от границ, в устной, письменной или печатной форме, в виде произведений искусства или любых других средств по выбору ребенка».
Соответственно, если контролеру данных известно, что их товары/услуги используются (или направлены) на других уязвимых членов общества, включая людей с ограниченными возможностями или людей, которые могут иметь трудности с доступом к информации, то уязвимость таких субъектов данных должна учитываться контролером данных при оценке обеспечения соблюдения им своих обязательств по прозрачности в отношении таких субъектов данных.[22] Это связано с необходимостью контролера данных оценить вероятный уровень понимания его аудиторией, как обсуждалось выше в пункте 9.
[22] Например, Конвенция ООН о правах людей с ограниченными возможностями требует, чтобы людям с ограниченными возможностями предоставлялись соответствующие формы помощи и поддержки для обеспечения их доступа к информации.
В соответствии со статьей 12.1 предоставление либо обмен информацией субъектов данных по умолчанию осуществляется в текстовой форме.[23] (Статья 12.7 также предусматривает предоставление информации в сочетании со стандартизированными пиктограммами, этот вопрос рассматривается в разделе об инструментах визуализации в пунктах 49–53). Однако GDPR также позволяет использовать другие неуказанные «средства», включая электронные. Позиция WP29 в отношении текстовых электронных средств заключается в том, что, когда контролер данных поддерживает (либо частично или полностью осуществляет свою деятельность через) веб-сайт, WP29 рекомендует использовать многоуровневые политики приватности, которые позволят посетителям сайта переходить к определенным аспектам соответствующей политики, которые представляют для них наибольший интерес (см. более подробную информацию о многоуровневых политиках приватности в пунктах 35–37).[24] Тем не менее, вся информация, адресованная субъектам данных, также должна быть доступна им в отдельном месте или едином документе (будь то в цифровом или бумажном формате), к которому субъект данных может легко получить доступ, если он захочет ознакомиться со всей адресованной ему информацией. Важно отметить, что использование многоуровневого подхода не ограничивается только текстовыми электронными средствами для предоставления информации субъектам данных. Как говорится в пунктах 35–36 и 38 ниже, многоуровневый подход к предоставлению информации субъектам данных также может быть использован путем комбинации методов для обеспечения прозрачности в отношении обработки.
[23] В статье 12.1 говорится о «языке» и устанавливается, что информация должна предоставляться в письменной форме или иными способами, в том числе, где это уместно, электронными средствами.
[24] Признание со стороны WP29 преимуществ многоуровневых уведомлений уже отмечалось в Мнении 10/2004 о более согласованных положениях об информации и Мнении 02/2013 о приложениях на смарт-устройствах.
Разумеется, использование цифровых многоуровневых политик приватности не является единственными текстовым электронным средством, которым могут воспользоваться контролеры. К другим электронным средствам относятся контекстные всплывающие «точно в срок» уведомления, уведомления в формате 3D touch или hover-over, а также панели приватности. Электронные средства в нетекстовой форме, которые могут использоваться в дополнение к многоуровневой политике приватности могут включать в себя видео и голосовые оповещения со смартфонов или IoT.[25] В качестве «иных средств», которые не обязательно являются электронными, могут выступать, например, мультфильмы, инфографика или блок-схемы программ. В тех случаях, когда информация о прозрачности предназначена конкретно для детей, контролеры должны рассмотреть вопрос о том, какие виды средств могут быть в особенности доступны детям (например, среди прочего это могут быть комиксы/мультфильмы, графические изображения, анимации и т.д.).
[25] Эти примеры электронных средств являются всего лишь ориентировочными, и контролеры данных могут разрабатывать новые инновационные средства в соответствии со статьей 12.
Крайне важно, чтобы метод (методы), выбранный (выбранные) для предоставления информации, подходил(и) к конкретным обстоятельствам, т. е. способу взаимодействия владельца данных и субъекта данных или способу сбора информации о субъекте данных. Например, только предоставление информации в электронном текстовом виде, таком как политике приватности, доступной в режиме онлайн, может быть неподходящим/неосуществимым, если устройство, собирающее персональные данные, не имеет экрана (например, IoT/смарт-устройства) для доступа к веб-сайту/отображения такой текстовой информации. В таких случаях следует рассмотреть соответствующие дополнительные альтернативные средства. Например, предоставление политики приватности в печатном руководстве по эксплуатации или указание URL адреса веб-сайта (т.е. конкретной страницы веб-сайта), на которой политика приватности , доступная в режиме онлайн может встретиться в печатных инструкциях или в упаковке. Аудио (устное) предоставление информации также может быть осуществлено дополнительно, если устройство без экрана обладает звуковыми возможностями. WP29 в своем Мнении о последних достижениях в отношении Интернет устройств (такие как использование QR-кодов, размещенных на объектах Интернет устройствах,[26] чтобы при сканировании QR-код отображал необходимую информацию о прозрачности) ранее давала рекомендации относительно прозрачности и предоставляла информации субъектам данных. Эти рекомендации остаются применимыми в рамках GDPR.
Статья 12.1 в частности предусматривает, что информация может быть предоставлена в устной форме субъекту данных по запросу при условии, что его личность будет доказана другими средствами. Иными словами, используемые средства должны быть больше, чем просто утверждение лица о том, что оно является конкретным поименованным лицом, и эти средства должны позволять контролеру удостовериться в личности субъекта данных с достаточной степенью уверенности. Требование о проверке личности субъекта данных до предоставления информации в устной форме применимо только к информации, касающейся осуществления конкретным субъектом данных своих прав в соответствии со статьями 15-22 и 34. В соответствии со статьями 13 и 14 данное предварительное условие предоставления устной информации не может применяться к предоставлению общей информации о частной жизни, поскольку информация, требуемая в соответствии этими статьями, должна быть также доступна будущим пользователям/клиентам (личность которых контролер данных не сможет проверить). Следовательно, информация, подлежащая предоставлению в соответствии со статьями 13 и 14, может быть предоставлена в устной форме без предъявления контролером требования о подтверждении личности субъекта данных.
Устное предоставление информации, предусмотренное в рамках статей 13 и 14, не обязательно означает устную информацию, предоставленную лично (т. е. лично или по телефону). Автоматизированная устная информация может предоставляться в дополнение к письменным средствам. Например, это может применяться в отношении лиц с ослабленным зрением при взаимодействии с поставщиками услуг информационного общества или в рамках смарт-устройств не имеющих экрана, о которых говорится выше в пункте 19. Если контролер данных решил предоставить субъекту данных информацию в устной форме или субъект данных просит о предоставлении информации или сообщения в устной форме, позиция WP29 заключается в том, что контролер данных должен разрешить субъекту данных заново переслушать записанные сообщения. Это является обязательным требованием в тех случаях, когда просьба о предоставлении устной информации касается лиц с нарушениями зрения или других субъектов данных, которые могут испытывать трудности с доступом к информации в письменной форме или ее пониманием. Контролер данных должен также убедиться в том, что он имеет запись и может продемонстрировать (для целей соблюдения требования об отчетности): (i) запрос информации в устной форме, (ii) метод, с помощью которого была осуществлена проверка личности субъекта данных (там, где это применимо – см. выше в параграфе 20) и (iii) факт предоставления информации субъекту данных.
В соответствии со статьей 12.5,[27] контролеры данных обычно не могут взимать с субъектов данных плату за предоставление информации в соответствии со статьями 13 и 14 или за сообщения и действия, предпринимаемые в соответствии со статьями 15-22 (о правах субъектов данных) и статьей 34 (уведомление субъекта данных о нарушении безопасности персональных данных).[]28 Этот аспект прозрачности также означает, что любая информация, предоставляемая в соответствии с требованиями прозрачности, не может быть обусловлена финансовыми операциями, например, оплатой или покупкой услуг или товаров.[29]
[27] В данной статье говорится, что «Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно».
[28] Однако в соответствии со статьей 12.5 контролер может взимать разумную плату, если, например, запрос субъекта данных в отношении информации в соответствии со статьями 13 и 14, или прав в соответствии со статьями 15-22, или статьей 34 является избыточным или явно необоснованным. (Отдельно в отношении права на доступ в соответствии со статьей 15.3 контролер может взимать разумную плату, основанную на административных расходах на любую дополнительную копию персональных данных, запрашиваемую субъектом данных).
[29] В качестве иллюстрации, если персональные данные субъекта данных собираются в связи с покупкой, информация, которая должна быть предоставлена в соответствии со статьей 13, должна быть предоставлена до осуществления платежа и в тот момент, когда информация собирается, а не после того, как сделка была заключена. В то же время, когда субъекту данных предоставляются бесплатные услуги, информация по статье 13 должна предоставляться до, а не после регистрации, поскольку статья 13.1 требует предоставления информации «в то время, когда персональные данные будут получены».
Информация, предоставляемая субъекту данных – статьи 13 и 14
В GDPR перечислены категории информации, которая должна быть предоставлена субъекту данных в связи с обработкой его персональных данных как в случае сбора персональных данных от субъекта данных (статья 13), так и при получении персональных данных из другого источника (статья 14). В таблице в Приложении к этим руководящим принципам обобщены категории информации, которая должна быть предоставлена в соответствии со статьями 13 и 14. В ней также рассматриваются характер, объем и содержание этих требований. Для большей ясности, позиция WP29 заключается в том, что статусы информации, подлежащей предоставлению в соответствии с параграфами 1 и 2 статей 13 и 14 соответственно, равны. Вся информация в этих параграфах имеет одинаковое значение и должна быть предоставлена субъекту данных.
Наряду с содержанием, важна также форма и способ предоставления информации, требуемой в соответствии со статьями 13 и 14, субъекту данных. Уведомление, содержащее такую информацию, часто называют уведомлением о защите данных, уведомлением о приватности, политикой приватности, заявлением о приватности или уведомлением о добросовестной обработке. В GDPR не прописывается формат или способ предоставления такой информации субъекту данных, но ясно говорится о том, что ответственность за принятие “надлежащих мер” в отношении предоставления требуемой информации в целях обеспечения прозрачности лежит на контролере данных. Это означает, что контролер данных должен учитывать все обстоятельства сбора и обработки данных при принятии решения о надлежащем способе и форме предоставления информации. В частности, необходимо оценить надлежащие меры с учетом опыта пользователей продукта/услуги. Это означает принятие во внимание используемого устройства (если это применимо), характера интерфейсов/взаимодействий пользователя с контролером данных (“путешествие” пользователя) и ограничений, которые влекут за собой эти факторы. Как отмечалось выше в пункте 17, WP29 рекомендует, чтобы в тех случаях, когда контролер данных присутствует онлайн, было представлена многоуровневая политики приватности, доступная в режиме онлайн.
Для того чтобы помочь определить наиболее подходящий способ предоставления информации, перед тем, как “пустить ее в эфир”, контролеры данных, возможно, захотят опробовать различные способы путем пользовательского тестирования (например, холл-тесты или другие стандартизированные тесты читабельности или доступности), для того, чтобы получить обратную связь о доступности, понятности и простоте в использовании предлагаемой меры для пользователей. (См. также дополнительные замечания выше по другим механизмам проведения пользовательского тестирования в пункте 9). Документальное фиксирование данного подхода должно также помочь контролерам данных в выполнении их обязательств по отчетности путем демонстрации того, каким образом инструмент/подход, выбранный для передачи информации, является наиболее подходящим в данных обстоятельствах.
Статьи 13 и 14 закрепляют информацию, которую должна быть предоставлена субъекту данных на начальном этапе процесса обработки. Статья 13 применяет в том случае, когда данные собираются у субъекта данных, включая персональные данные, которые: • субъект данных сознательно предоставляет контролеру данных (например, при заполнении онлайн-формы); или • контролер данных собирает у субъекта данных (например, с помощью устройств автоматического сбора данных или программного обеспечения для сбора данных, таких как камеры, сетевое оборудование, системы слежения по Wi-Fi, RFID или других типов сенсоров). Статья 14 применяется в том случае, когда данные не были получены от субъекта данных, включая данные, полученные контролером данных из таких источников, как: • контролеры данных третьих лиц; • общедоступные источники; • брокеры данных; • другие субъекты данных.
В отношении сроков предоставления этой информации, её своевременное предоставление является основополагающим элементом обязательства по обеспечению прозрачности и обязательства по справедливой обработке данных. В случае применения статьи 13, в соответствии со статьей 13.1, информация должна быть предоставлена “в момент получения персональных данных”. В случае косвенного получения персональных данных в соответствии со статьей 14, сроки, в течение которых субъекту данных должна быть предоставлена требуемая информация, закреплены в статье 14.3 (а)-(с) следующим образом: • Общее требование заключается в том, что информация должна быть предоставлена в “разумный срок” после получения персональных данных и не позднее одного месяца, “с учетом конкретных обстоятельств обработки персональных данных” (статья 14.3(а)). • Общий срок в один месяц, установленный в статье 14.3(а), может быть дополнительно сокращен в соответствии со статьей 14.3(b)[31], которая предусматривает ситуацию, когда данные используются для связи с субъектом данных. В таком случае, информация должна быть предоставлена не позднее, чем в момент первой связи с субъектом данных. Если первая связь осуществляется до истечения месячного срока после получения персональных данных, то информация должна быть предоставлена не позднее, чем в момент первой связи с субъектом данных несмотря на то, что один месяц с момента получения данных не истек. Если первая связь с субъектом данных происходит более чем через месяц после получения персональных данных, то продолжает действовать статья 14.3(а). В соответствии с данной статьей информация, предусмотренная статьей 14, должна быть предоставлена субъекту данных не позднее, чем в течение одного месяца с момента ее получения. • Общий срок в один месяц, предусмотренный статьей 14.3 (а), также может быть сокращен в соответствии со статьей 14.3 (с)[32], которая предусматривает ситуацию, когда данные раскрываются другому получателю (независимо от того, является ли он третьей стороной либо же нет)[33]. В данном случае, информация должна быть предоставлена не позднее, чем в момент ее первого раскрытия. В такой ситуации, если раскрытие происходит до истечения месячного срока, то информация должна быть предоставлена не позднее, чем на момент ее первого раскрытия несмотря на то, что один месяц с момента получения данных не истек. Как и в случае со статьей 14.3(b), если раскрытие персональных данных происходит более чем через месяц после их получения, то вновь будет применяться статья 14.3(а). В данном случае, информация, предусмотренная статьей 14, должна быть предоставлена субъекту данных не позднее, чем в течение одного месяца с момента ее получения.
[31] Использование формулировки “если персональные данные будут использоваться для…” в статье 14.3(b) указывает на конкретизацию общей позиции в отношении максимального срока, установленного в статье 14.3(a), но не заменяет его.
[32] Использование формулировки “если предусматривается раскрытие информации иному получателю…” в статье 14.3(с) также указывает на конкретизацию общей позиции в отношении максимального срока, установленного в статье 14.3(а), но не заменяет его.
[33] Статья 4.9 дает определение понятию “получатель” и уточняет, что получатель, которому раскрывается персональные данные, не обязательно должен быть третьей стороной. Таким образом, получатель может быть контролером данных, со-контролером или процессором.
Таким образом, в любом случае, максимальный срок, в течение которого информация по статье 14 должна быть предоставлена субъекту данных, составляет один месяц. Тем не менее, принципы справедливости и подотчетности в соответствии с GDPR требуют, чтобы при принятии решения о моменте предоставления информации, предусмотренную статьей 14, контролерами данных всегда учитывались разумные ожидания субъектов данных, воздействие, которое обработка может оказать на них, и их способность осуществлять свои права в отношении данной обработки. Принцип подотчетности требует от контролеров продемонстрировать целесообразность своего решения и обосновать, почему информация была предоставлена в тот момент. На практике данные требования могут оказаться трудно выполнимыми в том случае, если информация будет предоставлена в последний момент. В связи с этим, в преамбуле 39, среди прочего, предусмотрено, что субъектов данных требуется “уведомить о рисках, правилах, гарантиях и правах, связанных с обработкой персональных данных, и о том, как осуществлять свои права в связи с такой обработкой”. Преамбула 60 также закрепляет требование о том, чтобы субъект данных был проинформирован о существовании процедуры обработки и ее целях в контексте принципов справедливой и прозрачной обработки. По всем этим причинам позиция WP29 заключается в том, что по мере возможности контролеры данных должны, в соответствии с принципом справедливости, предоставлять информацию субъектам данных задолго до истечения установленных сроков. Дополнительные комментарии относительно разумности срока, существующего между уведомлением субъектов данных об обработке и такими процессами обработки, которые оказывают фактическое воздействие, изложены в пунктах 30-31 и 48.
Ответственность в отношении прозрачности распространяется не только на момент сбора персональных данных, но и на весь период существования обработки, независимо от передаваемой информации или сообщения. Это относится, например, к изменению содержания существующих политик приватности. Контролер должен придерживаться тех же принципов при передаче как первоначальной политики приватности, так и любых её последующих существенных или значительных изменений. Факторы, которые контролеры должны учитывать при оценке того, что является существенным или значительным изменением, включают в себя влияние на субъектов данных (включая их способность осуществлять свои права), а также то, насколько неожиданными/удивительными будет изменение для субъектов данных. Изменения в политике приватности, которые всегда должны доводиться до сведения субъектов данных, включают, среди прочего: изменение цели обработки; изменение личности контролера; или изменение того, каким образом субъекты данных могут осуществлять свои права в отношении обработки. В отличие от этого, пример изменений политики приватности, которые не рассматриваются WP29 в качестве существенных или значительных, включает исправление орфографических или стилистических/ грамматических ошибок. Поскольку большинство существующих клиентов или пользователей будут лишь просматривать сообщения об изменениях в политике приватности, контролеру следует принять все необходимые меры для обеспечения того, чтобы эти изменения были доведены до сведения таким образом, чтобы большинство получателей действительно заметили их. Это означает, например, что уведомление об изменениях всегда должно направляться с помощью соответствующей формы (например, электронная почта, задокументированное письмо, всплывающее окно на веб-странице или другая форма, которая эффективно привлечет внимание субъекта данных), конкретно посвященной этим изменениям (например, не в сочетании с прямым маркетинговым контентом). Важно отметить, что такое сообщение должно отвечать требованиям статьи 12 в отношении краткости, прозрачности, понятности, легкодоступности, а также должно быть сделано на ясном и понятном языке. Ссылки в политике приватности на то, что субъект данных должен регулярно проверять политику приватности на предмет изменений или обновлений, считаются не только недостаточными, но и несправедливыми в контексте статьи 5.1 (а). Дальнейшие руководящие указания в отношении сроков уведомления об изменениях в субъектах данных рассматриваются ниже в параграфах 30 и 31.
В GDPR ничего не говорится о требованиях к срокам (и, более того, о методах), которые применяются к уведомлениям об изменениях информации, которая ранее была предоставлена субъекту данных согласно статьям 13 или 14 (исключая дальнейшую целевую обработку, в этом случае информация об этой дальнейшей цели должна быть предоставлена до начала этой дальнейшей обработки согласно статьям 13.3 и 14.4 – см. ниже, в параграфе 45). Однако, как было отмечено выше в контексте сроков предоставления информации по статье 14, контролер данных должен вновь учитывать принципы справедливости и подотчетности в плане любых разумных ожиданий от субъекта данных или потенциального воздействия этих изменений на субъекта данных. Если изменение информации свидетельствует о фундаментальном изменении характера обработки (например, расширение категорий получателей или введение передачи в третью страну) или об изменении, которое может не быть фундаментальным с точки зрения операции обработки, но которое может быть актуальным и влиять на субъекта данных, то такая информация должна быть предоставлена субъекту данных задолго до того, как изменение фактически вступит в силу, а метод, используемый для доведения изменений до сведения субъекта данных, должен быть исчерпывающим и действенным. Это необходимо для того, чтобы субъект данных не “пропустил” изменение, и чтобы субъект данных имел достаточные сроки для того, чтобы: a) рассмотреть характер и последствия изменения и b) реализовать свои права в соответствии с GDPR в отношении изменения (например, отозвать согласие или возразить против обработки).
Контролеры данных должны внимательно изучать обстоятельства и контекст каждой ситуации, в которой требуется обновить информацию о прозрачности, в том числе потенциальное воздействие изменений на субъект данных, и способа уведомления об изменениях. Контролеры данных также должны иметь возможность продемонстрировать то, как промежуток времени между уведомлением об изменениях и введенное в действие изменение удовлетворяет принципу справедливости по отношению к субъекту данных. В свою очередь, позиция WP29 заключается в том, что, в соответствии с принципом справедливости, при уведомлении о подобных изменениях субъектов данных, контролер должен также объяснить, каковы будут вероятные последствия этих изменений для субъекта данных. Однако соблюдение требований прозрачности не “исправляет” ситуацию, когда изменения в обработке настолько существенны, что обработка становится совершенно иной по своей природе, чем раньше. WP29 подчеркивает что все другие правила в GDPR, включая правила, относящиеся к несовместимой дальнейшей обработке, продолжают применяться независимо от соблюдения обязательств по обеспечению прозрачности.
Кроме того, даже если информация о прозрачности (например, содержащаяся в политике приватности) не претерпевает существенных изменений, субъекты данных, которые пользовались услугой в течение значительного периода времени, скорее всего, не будут отзывать информацию, предоставленную им в самом начале в соответствии со статьями 13 и/или 14. WP29 рекомендует, чтобы контролеры предоставляли постоянный легкий доступ к информации для повторного ознакомления со сферой обработки данных. В соответствии с принципом подотчетности контролеры должны также рассмотреть вопрос о том, уместно ли им и с какими интервалами предоставлять экспресс напоминания субъектам данных о существовании политики приватности и о том, где они могут ее найти.
В статьях 13 и 14 говорится об обязанности контролера данных “предоставлять субъекту данных все следующие сведения…”. Ключевое слово здесь — “предоставлять”. Это означает, что контролер данных должен предпринять активные действия для предоставления соответствующей информации субъекту данных или для активного направления данных субъекту в зависимости от его местонахождения (например, посредством прямой ссылки, использования QR-кода и т.д.). Субъект данных не должен активно искать информацию, о которой идет речь в этих статьях, среди другой информации (например, об условиях пользования веб-сайтом или приложением). Пример в пункте 11 демонстрирует этот момент. Как отмечалось выше в пункте 17, WP29 рекомендует, чтобы вся информация, адресованная субъектам данных, была также доступна им в одном месте или содержалась в одном полном документе (например, в цифровой форме на веб-сайте или в бумажном формате), к которому можно было легко получить доступ в том случае, если субъекты данных захотят ознакомиться со всей информацией.
В GDPR существует внутренняя напряженность между, с одной стороны, требованиями предоставлять субъектам данных исчерпывающую информацию, которая требуется в соответствии с GDPR и, с другой стороны, тем, чтобы делать это в лаконичной, прозрачной, понятной и легко доступной форме. Исходя из этого, а также принимая во внимание базовые принципы подотчетности и справедливости, контролеры должны провести свой собственный анализ характера, обстоятельств, объема и контекста обработки персональных данных, которые они осуществляют. В связи с этим, в рамках правовых требований GDPR и с учетом рекомендаций, содержащихся в данных Руководящих принципах, в частности, в параграфе 36 ниже, контролеры должны принять решение о том, как расставить приоритеты в отношении информации, которая должна быть предоставлена субъектам данных, и каковы соответствующие уровни детализации и методы передачи информации.
В цифровом контексте, в свете объема информации, которую требуется предоставить субъекту данных, контролеры данных могут применять многоуровневый подход в том случае, когда они предпочитают использовать комбинацию методов для обеспечения прозрачности. WP29 рекомендует, в частности, использовать многоуровневые политики приватности для соединения с различными категориями информации, которая должна предоставляться субъекту данных, а не для отображения всех подобных сведений в одном уведомлении на экране во избежание перегрузки информацией. Многоуровневые политики приватности могут помочь устранить противоречие между полнотой и пониманием, в частности, позволяя пользователям переходить непосредственно к разделу приватности/уведомления, с которым они хотят ознакомится. Следует отметить, что многоуровневые политики приватности — это не просто вложенные страницы, которые требуют нескольких кликов, чтобы получить соответствующую информацию. Дизайн и расположение первого уровня политики приватности должны быть такими, чтобы субъект данных имел четкое представление о доступной ему информации в отношении обработки его персональных данных и о том, где/ как он может найти подробную информацию в рамках уровней политики приватности. Также важно, чтобы информация, содержащаяся в различных слоях многоуровневой политики, была согласованной и, чтобы слои не предоставляли противоречивую информацию.
В отношении содержания первого режима, используемого контролером для информирования субъектов данных в многоуровневом подходе (другими словами, основного способа, которым контролер впервые взаимодействует с субъектом данных), или содержания первого уровня многоуровневой политики приватности, WP29 рекомендует, чтобы первый уровень/режим включал в себя подробные сведения о целях обработки, личности контролера и описание прав субъекта данных. Кроме того, эта информация должна быть непосредственно доведена до сведения субъекта данных во время сбора персональных данных (например: отображается в тот момент, когда субъект данных заполняет онлайн-форму). Необходимость предоставления этой информации заранее вытекает, в частности, из преамбулы 39.[34] В то время как контролеры должны быть в состоянии предоставить отчет в отношении того, какую дополнительную информацию они решат приоритизировать, позиция WP29 заключается в том, что наряду с принципом справедливости, в дополнение к информации, подробно изложенной выше в этом пункте, первый уровень/режим должен также содержать информацию об обработке, которая оказывает наибольшее влияние на субъект данных, и обработке, которая может быть для них непредвиденной. Таким образом, субъект данных должен быть в состоянии понять из информации, содержащейся в первом уровне/режиме, каковы будут последствия рассматриваемой обработки для субъекта данных (см. также выше в пункте 10).
[34] В преамбуле 39 в отношении принципа прозрачности указано, что “этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки и дальнейшей информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и передачу касающихся их персональных данных, которые находятся в процессе обработки”.
В цифровом контексте контролеры данных могут не только предоставлять в онлайн-режиме многоуровневую политику приватности, но также использовать дополнительные инструменты обеспечения прозрачности (см. дополнительные примеры, рассмотренные ниже), которые предоставляют индивидуальную информацию о конкретном субъекте данных. Данная информация является конкретной с учетом положения соответствующего субъекта данных и товаров/услуг, которыми пользуется этот субъект данных. Вместе с тем следует отметить, что, хотя WP29 рекомендует использовать многоуровневые политики приватности доступные в режиме онлайн, эта рекомендация не исключает разработку и использование других новаторских методов обеспечения прозрачности требования.
Многоуровневый подход к предоставлению информации о прозрачности субъектам данных может также быть осуществлен в оффлайн/нецифровом контексте (т. е. в реальной среде, например, путем личного взаимодействия с человеком или телефонной связи) в тех случаях, когда существует несколько режимов, которые контролеры могут использовать для облегчения предоставления информации (cм. также пункты 33-37 и 39-40 в отношении различных режимов предоставления информации). Данный подход не следует путать с отдельным вопросом о многоуровневых политиках приватности. Независимо от того, какие форматы используются в этом многоуровневом подходе, WP29 рекомендует, чтобы первый “слой” (другими словами, основной способ, который контролер сначала использует для взаимодействия с субъектом данных) должен, как правило, передавать наиболее важную информацию (о которой говорится в пункт 36 выше), а именно, сведения о целях обработки, личности контролера и наличии прав субъекта данных, вместе с информацией о наибольшем влиянии обработки или обработки, которая может быть непредвиденной для субъектов данных.
Другой возможный способ предоставления прозрачной информации – через использование “push” и “pull” уведомлений. Push уведомления вовлекают предоставление уведомлений о прозрачной информации “точно-в-срок”, в то время как “pull” уведомления облегчают доступ к информации такими способами как управление разрешениями, панели приватности и инструкции “узнать больше”. Это позволяет сделать прозрачность для субъекта данных более ориентированную на пользователя. •Панель приватности это один способ как субъекты данных могут увидеть ‘приватную информацию’ и управлять своей приватностью в соответствии с их интересами путём позволения и предотвращения использования их данных определенным способом соответствующим сервисом. Это особенно полезно, когда один и тот же сервис используется субъектами данных на различных устройствах, что дает им доступ и контроль над их персональными данными вне зависимости от того, как они используют этот сервис. Позволяя субъектам данных вручную настраивать свои настройки приватности через панель приватности также может облегчить персонализацию политики приватности путем отражения только видов обработки, используемых для данного конкретного субъекта данных. Внедряя панель приватности в существующую структуру сервиса (например, используя такой же дизайн и бренд как и остальной сервис) предпочтительнее, потому что это обеспечит, что доступ и его использование, будет интуитивным и может помочь подтолкнуть пользователей ознакомиться с данной информацией таким же образом, как они будут это делать с другими аспектами сервиса. Это более эффективный способ показать, что ‘приватная информация’ является необходимой и неотъемлемой часть сервиса, нежели длинный текст с юридической лексикой. •Уведомление точно-в-срок используется, чтобы предоставить определенную “приватную информацию” специальным способом, как и когда это наиболее уместно прочитать для субъектов данных. Данный способ полезен для предоставления информации на различных стадиях в течении процесса сбора данных; это помогает распространить распространение предоставления информации в легко усваиваемых частях и уменьшить зависимость от одной политики приватности, содержащей информацию, которую сложно понять без контекста. Например, если субъект данных покупает продукт онлайн, небольшая разъясняющая информация может быть предоставлена через всплывающие окна, сопровождающее соответствующие части текста. Информация, расположенная рядом с полем, где запрашивается телефонный номер субъекта данных может объяснять, например, что эти данные используются лишь в целях контактирования по поводу покупки и она будет раскрыта только для службы доставки.
Учитывая очень высокий уровень доступа к интернету в ЕС и факт того, что субъекты данных могут заходить онлайн в любое время, с множественных мест и различных устройств, как сказано выше, позиция WP29 заключается в том, что “надлежащая мера” для предоставления прозрачной информации в случае контролеров данных, которые поддерживают цифровое/ онлайн присутствие, состоит в ее осуществлении через электронную политику приватности. Однако, основываясь на обстоятельствах сбора и обработки данных, контролеру данных возможно будет нужно дополнительно (или другим способом, когда контролер данных не имеет цифрового/онлайн доступа) использовать другие режимы или формы для предоставления информации. Другие способы передачи информации субъектам данных, возникающих из следующих различных сред персональных данных может включать следующие режимы, применимые к соответствующей среде, которые перечислены ниже. Как отмечено ранее, многоуровневый подход может сопровождаться контролерами, где они выбирают использовать комбинацию таких методов, в то время как они также обеспечивают то, что наиболее важная информация (см. пункт 36 и 38) всегда передается в первом режиме, использованном для коммуникации с субъектами данных. a. <Печатная копия/ бумажная среда, например, заключение договоров по почте: письменные объяснения, листовки, информация в договорной документации, карикатуры, инфографика или блок-схемы; b.Телефонная среда: устные объяснения, представленные настоящим человеком, которые позволяют взаимодействовать и отвечать на вопросы, или автоматическая, или пред-запись информации с возможностью выбора далее услышать более детальную информацию; c.Интеллектуальные технологии без экрана/ loT-среда, например, аналитика отслеживания Wi-Fi: иконки, QR коды, голосовые уведомления, письменные данные, включенные в печатные инструкции по настройке, видео, включенные в цифровые инструкции по настройке, письменная информация на смарт-устройстве, письма, отправленные через СМС или электронную почту, видимые доски, содержащие информацию, общественная реклама или общественно-информационная кампания; d.Личная среда, например, ответ на опрос мнений, личная регистрация на сервис: устные объяснения или письменные объяснения, представленные в печатном или электронном формате; e. Среда “реальной жизни” с записью с систем видеонаблюдения или дрона: видимые доски, содержащие информацию, общественная реклама, общественно-информационные кампании или газетные/ медиа уведомления.
Информация о существовании автоматизированного принятия решений, включая профилирование, как указано в статьях 22.1 и 22.4, вместе с содержательной информацией о задействованной логике и значительных и предполагаемых последствиях обработки для субъектов данных, формирует часть обязательной информации, которая может быть предоставлена субъектам данных по статье 13.2(f) и 14.2(g). WP29 сделал руководство по автоматизированному индивидуальному принятие решений и профилированию,[35] к которому следует обратиться для дальнейшего руководства о том, как прозрачность должна проявляться в конкретных обстоятельствах профилирования. Следует отметить, что кроме специальных требований к прозрачности, применимых к автоматизированному принятию решений по статьям 13.2(f) и 14.2(g), комментарии в данном руководстве относительно важности информирования субъектов данных о последствиях обработки их персональных данных, и общий принцип, что субъекты данных не должны быть застигнуты врасплох обработкой их персональных данных, в равной степени относятся к профилированию в целом (не только профилированное, которое указано в статье 22[36]), как вид обработки.[37]
[35] Руководство по Автоматизированному индивидуальному принятию решений и Профилированию для целей Регламента 2016/679, WP251.
[36] Это относится к принятию решений, основанному исключительно на автоматизированной обработке, включая профилирование, которое производит юридический эффект, касающийся субъектов данных или так же существенно влияет на него или ее.
[37] Преамбула 60, которая актуальна здесь, говорит, что “Кроме того, субъект данных должен быть проинформирован об осуществлении профилирования и его последствиях”.
Преамбула 39 GDPR также относится к предоставлению определенной информации, которая не точно отражается в статье 13 и статье 14 (см. текст преамбулы сверху в пункте 28). Ссылка в этой преамбуле на ознакомление субъектов данных с рисками, правилами и гарантиями в отношении обработки персональных данных связано с набором других проблем. Это включает оценку воздействия на защиту персональных данных (DPIA). Как изложено в WP29 Руководстве по DPIA, [38]контролеры данных могут рассматривать публикацию DPIA (или его части), как способ выражения доверия к операциям обработки и демонстрации прозрачности и ответственности, хотя такие публикации не обязательны. Кроме того, соблюдения кодекса поведения (предоставленного по статье 40) может свидетельствовать о демонстрации прозрачности, так как кодекс поведения может быть составлен в целях уточнения применения GDPR в отношении: добросовестной и прозрачной обработки; информации, предоставленной общественности и субъектам данных; и информации, предоставленной, и защиты, детей, кроме прочих проблем.
[38] Руководство по оценке воздействия на защиту персональных данных (DPIA) и определение может ли обработка “привести к высокому риску” для целей Регламента 2016/679, WP 248 rev.1
Другая соответствующая проблема касательно прозрачности – это спроектированная защита данных и защита данных по умолчанию (как требуется по статье 25). Это принципы требуют, чтобы контролеры данных встраивали защиту данны в свои процессы обработки и системы с самого начала, нежели заниматься соблюдением мер по защите персональных данных в последний момент. Преамбула 78 относится к тому, что контролеры данных имплементируют меры, отвечающие требованиям спроектированной защиты данных и защите данных по умолчанию, включая меры, состоящие из прозрачности в отношении функций и обработки персональных данных.
Отдельно, проблема со-контролеров также относится к ознакомлению субъектов данных с рисками, правилами и защитными мерами. Статья 26.1 требует, чтобы со-контролеры определяли свои соответствующие обязанности по прозрачному выполнению обязательств по GDPR, в частности в отношении осуществления субъектами данных своих прав и обязанностей по предоставлению информацию по статье 13 и 14. Статья 26.2 требует, чтобы существо договоренности между контролерами данных должно быть доступно субъектам данных. Иначе говоря, субъекту должно быть совершенно ясно, к какому контролеру данных он или она может обратиться, если намеревается реализовать одно или более их прав по GDPR.[39]
Информация, относящаяся к дальнейшей обработке
И статья 13, и статья 14 содержат положение[40], которое требует, чтобы контролер данных информировал субъекта данных, если персональные данные будут использоваться для дальнейшей обработки для иной цели по сравнению с той, для которой данные были собраны/ получены. Если так, “до начала указанной обработки контролер данных должен предоставить субъекту данных информацию относительно иной цели, а также любую релевантную информацию, указанную в параграфе 2”. Эти положения, в частности, приводят в действие принципы из статьи 5.1(b), согласно которым персональные данные должны собираться для конкретных, отчетливых и законных целей, и обработка данных в последующем несовместимым с этими целями образом запрещена[41]. Вторая часть статьи 5.1(b) устанавливает, что дальнейшая обработка для архивных целей в публичных интересах, в целях исторических или научных исследований или для статистических целей, в соответствии со статьей 89.1, не считается несовместимой с начальными целями. Если персональные данные используются для дальнейшей обработке для целей, которые согласуются с первоначальными целями (статья 6.4 раскрывает вопрос[42]), применяются статьи 13.3 и 14.4. Требования в этих статьях информировать субъекта данных о дальнейшей обработке продвигают позицию в GDPR, что субъект данных должен разумно ожидать, что во время и в контексте сбора персональных данных может иметь место обработка для определенной цели.[43] Иначе говоря, субъект данных не должен быть застигнут врасплох целью обработки его или ее персональных данных.
[40] В статьях 13.3 и 14.4, которые выражены в идентичных терминах, за исключением слова «собраны», которое используется в статье 13 и которое заменено словом «получены» в статье 14.
[42] В статье 6.4 неисчерпывающим образом излагаются факторы, которые необходимо учитывать при обработке для другой цели согласованной с целью, для которой первоначально собирались персональные данные, а именно: связь между целями; контекст, в котором были собраны персональные данные; характер персональных данных (в частности, включены ли специальные категории персональных данных или персональные данные, касающиеся уголовных преступлений и осуждений); возможные последствия предполагаемой дальнейшей обработки для субъектов данных; и наличие соответствующих гарантий.
Статьи 13.3 и 14.4, поскольку они отсылают к положению “любую релевантную информацию, указанную в параграфе 2”, на первый взгляд могут быть истолкованы как предоставление некоторого элемента оценки контролеру данных в отношении объема и конкретных категорий информации из соответствующего подпункта 2 (например, статья 13.2 или 14.2 применимы), который должен быть предоставлен субъекту данных. (Преамбула 61 ссылается на это, как “иная необходимая информация”.) Однако по умолчанию положение состоит в том, что вся такая информация, изложенная в этой части, должна предоставляться субъекту данных, если только одна или несколько категорий информации не существуют или неприменимы.
WP29 рекомендует, чтобы быть прозрачными, справедливыми и ответственными, контролеры должны рассмотреть вопрос о том, чтобы сделать информацию доступной для субъектов данных в их политиках приватности на анализе совместимости, выполненном по статье 6.4[44], если для новой цели обработки используется правовое основание, отличная от согласия или национального права/ права ЕС. (Иначе говоря, объяснение как обработка для новой цели(ей) соотносится с изначальной целью). Это должно предоставить субъектам данных возможность рассмотреть совместимость дальнейшей обработки и предоставленных гарантий и решить, следует ли реализовывать свои права, например, среди прочего, право на ограничение обработки или право на возражение против обработки.[45] Если контролеры выбирают не включать такую информацию в политику приватности, WP29 рекомендует объяснить субъектам данным, что они могут получить такую информацию по запросу.
[45] Как указано в Преамбуле 63, это позволяет субъектам данных пользоваться правом доступа, чтобы быть в курсе и проверять законность обработки.
Вопрос времени связан с осуществлением прав субъекта данных. Как подчеркивалось выше, предоставление информации своевременно это необходимый элемент требований по прозрачности по статьям 13 и 14 и по существу связано с концепцией добросовестной обработки. Информация, относящаяся к дальнейшей обработке должна быть предоставлена “до начала этой дальнейшей обработки”. Позиция WP29 состоит в том, что между уведомлением и началом обработки должен пройти разумный период времени, нежели незамедлительное начало обработки, как только субъект данных получил уведомление. Это позволяет субъектам данных воспользоваться практичными преимуществами принципа прозрачности, что дает им значимую возможность подумать о (и, возможно, воспользоваться правом в отношении) дальнейшей обработки. Разумный период времени определяется из конкретных обстоятельств. Принцип справедливости требует того, что чем более интрузивна (или менее ожидаема) дальнейшая обработка, тем длиннее должен быть период. Точно так же принцип подотчетности требует, чтобы контролеры данных были в состоянии продемонстрировать, как принятые ими решения в отношении сроков предоставления этой информации оправданы в сложившихся обстоятельствах и насколько эти сроки в целом справедливы для субъектов данных. (См. также предыдущие комментарии в отношении установления разумных сроков, указанных выше в пунктах 30–32.)
Инструменты визуализации
Важно отметить, что принцип прозрачности в GDPR не ограничивается тем, что он реализуется просто посредством языковой коммуникации (письменной или устной). В GDPR предусмотрены средства визуализации (в частности, графические обозначения, механизмы сертификации и печати и маркировки защиты данных), где это подходит. Преамбула 58[46] указывает на то, что доступность информации, адресованной публике или субъектам данных, особенно важна в онлайн-среде.[47]
[46] “Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете.”
[47] В этом контексте контролеры должны принимать во внимание субъекты данных с нарушениями зрения (например, красно-зеленый дальтонизм).
В Преамбуле 60 предусмотрено предоставление информации субъекту данных «в сочетании» со стандартизированными пиктограммами, что позволяет использовать многослойный подход. Однако использование пиктограмм не должно просто заменять информацию, необходимую для осуществления прав субъекта данных, и не должно использоваться в качестве замены соблюдения обязательств контролера данных в соответствии со статьями 13 и 14. Статья 12.7, которая предусматривает использование таких пиктограмм, гласит, что: “Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми”.
Как гласит статья 12.7 “Если эти символы представлены в электронном виде, они должны быть машиночитаемыми”, что предполагает то, что пиктограмма может быть представлена не в электронном виде,[48] например, графическое обозначение на бумаге, loT устройствах или упаковках loT устройств, уведомление в публичных местах об отслеживании Wi-Fi, QR коды и уведомления о системе видеонаблюдения.
[48] В GDPR нет определения “машиночитаемые”, но Преамбула 21 Директивы 2013/37ЕС17 определяет “машиночитаемый” как: «Формат файла, структурированный таким образом, чтобы программные приложения могли легко идентифицировать, распознавать и извлекать конкретные данные, включая отдельные сведения о фактах, и их внутреннюю структуру. Данные, закодированные в файлах, структурированных в машиночитаемом формате, являются машиночитаемыми данными. Машиночитаемые форматы могут быть открытыми или частными; они могут быть формальными стандартами или нет. Документы, закодированные в формате файла, который ограничивает автоматическую обработку, поскольку данные не могут или не могут быть легко извлечены из них, не должны рассматриваться в машиночитаемом формате. Государства-члены должны в соответствующих случаях поощрять использование открытых машиночитаемых форматов.”
Очевидно, что цель использования пиктограмм состоит в том, чтобы повысить прозрачность для субъектов данных, потенциально уменьшая необходимость представления огромного количества письменной информации субъекту данных. Тем не менее, использование графических обозначений для эффективной передачи информации, требуемой согласно статьям 13 и 14, субъектам данных зависит от стандартизации символов/ изображений, которые должны использоваться повсеместно и признаваться в ЕС как сокращение для этой информации. В отношении этого GDPR возлагает ответственность за разработку кодекса пиктограмм на Комиссию, но в конечном итоге Европейский совет по защите данных может, либо по просьбе Комиссии, либо по своему собственному усмотрению, предоставить Комиссии заключение по таким пиктограммам.[49] WP29 признает, что в соответствии с преамбулой 166 разработка кодекса пиктограмм должна быть сосредоточена на основанном на фактических данных подходе, и перед любой такой стандартизацией необходимо будет провести обширные исследования в сотрудничестве с промышленностью и более широкими кругами. общественности об эффективности пиктограмм в этом контексте.
[49] Статья 12.8 предусматривает, что Европейская Комиссия уполномочена принимать подзаконные акты по статье 92 с целью определения информации, которая должна быть представлена пиктограммами, и информации для обеспечения стандартизированных пиктограмм. Преамбула 166 (которая касается подзаконных актов Европейской Комиссии в целом) является рекомендательной, при условии, что Европейская Комиссия должна проводить соответствующие консультации в ходе подготовительной работы, в том числе на экспертном уровне. Тем не менее, Европейский совет по защите персональных данных (EDPB) также играет важную консультативную роль в отношении стандартизации пиктограмм, поскольку в статье 70.1(r) говорится, что EDPB может по собственной инициативе или в случае необходимости по запросу Европейской Комиссии, предоставить Комиссии мнение о пиктограммах.
Помимо использования стандартизированных пиктограмм, GDPR (статья 42) также предусматривает использование механизмов сертификации защиты данных, печатей и маркировочных знаков защиты данных с целью демонстрации соответствия GDPR операций обработки контролерами и процессорами, а также повышения прозрачности для субъектов данных.[50] WP29 будет выпускать руководящие принципы о механизмах сертификации в установленном порядке.
Осуществление прав субъектов данных
Прозрачность накладывает тройное обязательство на контролеров данных, если речь идет о правах субъектов данных в рамках GDPR, поскольку они должны: [51] • предоставлять информацию субъектам данных об их правах[52] (в соответствии с требованиями статей 13.2 (b) и 14.2 (c)); • соблюдать принцип прозрачности (т. е. в отношении качества коммуникации, как изложено в статье 12.1) при коммуникации с субъектами данных в отношении их прав в соответствии со статьями 15–22 и 34; и • содействовать осуществлению прав субъектов данных в соответствии со статьями 15-22.
[51] Раздел “Прозрачность и режим осуществления прав” GDPR о Правах субъектов данных (раздел 1, глава III, статья 12)
Требования GDPR в отношении реализации этих прав и характера требуемой информации предназначены для осмысленного позиционирования субъектов данных, с тем чтобы они могли отстаивать свои права и привлекать контролеров данных к ответственности за обработку своих персональных данных. Преамбула 59 подчеркивает, что «должны быть предусмотрены условия содействия субъекту данных в осуществлении прав» и что контролер данных «также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом». Режим, предоставляемый контролером данных для субъектов данных для осуществления их прав, должен соответствовать контексту и природе отношений и взаимодействий между контролером и субъектом данных. С этой целью контролер данных может пожелать предоставить один или несколько различных режимов для осуществления прав, которые отражают различные способы взаимодействия субъектов данных с этим контролером данных.
Пример Поставщик медицинских услуг использует электронную форму на своем веб-сайте и бумажные формы в приемных своих клиник, чтобы упростить подачу запросов на доступ к персональным данным как онлайн, так и лично. Несмотря на то, что он предоставляет такие режимы, служба здравоохранения по-прежнему принимает запросы на доступ, представленные другими способами (например, письмом или по электронной почте), и предоставляет выделенный пункт связи (в который можно обратиться по электронной почте и по телефону), чтобы помочь субъектам данных осуществлять свои права.
Исключения из обязательства предоставлять информацию
Единственное исключение из обязательств контролера данных, собирающего персональные данные непосредственно от субъекта данных, в соответствии со статьей 13 возникает «поскольку и если субъект данных уже располагает соответствующей информацией»[53]. Принцип ответственности требует, чтобы контролеры данных демонстрировали (и документировали), какой информацией субъект данных уже обладает, как и когда он получил ее, и что с тех пор не произошло никаких изменений в этой информации, которая сделала бы ее устаревшей. Кроме того, использование фразы «поскольку» в статье 13.4 проясняет, что даже если субъекту данных ранее были предоставлены определенные категории из перечня информации, изложенной в статье 13, на контролере данных все еще остается обязательство дополнить эту информацию, чтобы гарантировать, что субъект данных в данный момент имеет полный комплект информации, перечисленной в статьях 13.1 и 13.2. Ниже приведен пример рекомендуемой практики, касающийся ограниченного способа толкования исключения из статьи 13.4.
Пример Человек регистрируется в онлайн-сервисе электронной почты и получает всю необходимую информацию по статьям 13.1 и 13.2 в момент регистрации. Через шесть месяцев субъект данных активирует подключенную функцию мгновенных сообщений через поставщика услуг электронной почты и предоставляет для этого свой номер мобильного телефона. Поставщик услуг предоставляет субъекту данных определенную информацию по статье 13.1 и 13.2 об обработке телефонного номера (например, цели и правовое основание для обработки, получатели, срок хранения), но не предоставляет другую информацию, которой человек уже обладает на протяжении 6 месяцев и которая не менялась с того времени (например, личность и контактные данные контролера и инспектора по защите персональных данных, информация о правах субъекта данных и праве на подачу жалобы в соответствующий надзорный орган). В качестве рекомендуемой практики, субъекту данных следует снова предоставить полный набор информации, но субъект данных также должен иметь возможность легко определить, какая информация среди прочей является новой. Новая обработка для целей оказания услуги мгновенных сообщений может повлиять на субъекта данных таким образом, который побудит его попытаться воспользоваться правом, о котором он, возможно, забыл, будучи уведомленным за шесть месяцев до этого. Повторное предоставление всей информации помогает гарантировать, что субъект данных остается полностью информированным о том, как используются его данные и их права.
Статья 14 предусматривает гораздо более широкий ряд исключений из информационного обязательства, которое возлагается на контролера данных, когда персональные данные получаются не от субъекта данных. Эти исключения, как правило, должны толковаться и применяться узко. В дополнение к обстоятельствам, когда субъект данных уже обладает соответствующей информацией (статья 14.5(а)), статья 14.5 также допускает следующие исключения: • Предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичных интересах, в целях научных или исторических исследований или в статистических целях, или там, где это может сделать невозможным или негативно отразиться на достижении целей указанной обработки; • Контролер данных подпадает под действие требований национального законодательства или законодательства ЕС в отношении получения или раскрытия персональных данных и того, что закон обеспечивает надлежащую защиту легитимных интересов субъекта данных; • Обязательство о профессиональной тайне (включая обязательство о секретности), которое регулируется национальным законодательством или законодательством ЕС, означает, что персональные данные должны оставаться конфиденциальными.
Статья 14.5 (b) допускает 3 отдельных ситуации, когда обязательство предоставлять информацию, изложенную в статьях 14.1, 14.2 и 14.4, отменяется: (i) Если это оказывается невозможным (в частности, для архивирования, научных/ исторических исследований или статистических целей); (ii) Если это потребует непропорциональных усилий (в частности, для архивирования, научных/исторических исследований или статистических целей); (iii) Если предоставление информации, требуемой по статье 14.1, сделает невозможным достижение целей обработки или негативно отразится на них.
Ситуация, когда в соответствии со статьей 14.5(b) «оказывается невозможным» предоставить информацию, представляет собой ситуацию «все или ничего», так как что-то либо невозможно, либо нет; нет степеней невозможности. Таким образом, если контролер данных пытается полагаться на это исключение, он должен продемонстрировать факторы, которые фактически мешают ему предоставлять соответствующую информацию субъектам данных. Если по истечении определенного периода времени факторы, вызвавшие «невозможность», больше не существуют и становится возможным предоставлять информацию субъектам данных, то контролер данных должен немедленно сделать это. На практике существует очень мало ситуаций, в которых контролер данных может продемонстрировать, что фактически невозможно предоставить информацию субъектам данных. Следующий пример демонстрирует это.
Пример Субъект данных регистрируется в службе онлайн-подписки с оплатой по факту. После регистрации контролер данных собирает данные о кредитоспособности субъекта данных с помощью кредитно-отчетного агентства, чтобы решить, следует ли предоставлять услугу. Протокол контролера должен информировать субъекта данных о сборе этих кредитных данных в течение трех дней после сбора в соответствии со статьей 14.3(а). Однако адрес и номер телефона субъекта данных не зарегистрированы в государственных реестрах (субъект данных фактически проживает за границей). Субъект данных не оставил адрес электронной почты при регистрации в службе или адрес электронной почты является недействительным. Контролер обнаруживает, что у него нет средств для непосредственного контакта с субъектом данных. В этом случае, контролер может предоставить информацию о сборе данных кредитной отчетности на своем веб-сайте до регистрации. В этом случае было бы невозможно предоставить информацию в соответствии со статьей 14.
Преамбула 61 гласит, что «если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация». Отмена требования предоставлять субъектам данных информацию об источнике их персональных данных применяется только в тех случаях, когда предоставление невозможно, поскольку разные части персональных данных, относящиеся к одному и тому же субъекту данных, не могут быть отнесены к конкретному источнику. Например, сам факт того, что база данных, содержащая персональные данные нескольких субъектов данных, была составлена контролером данных с использованием более чем одного источника, недостаточна для того, чтобы отменить это требование, если возможно (даже если это отнимает много времени или обременительно) идентифицировать источник, из которого получены персональные данные отдельных субъектов. Принимая во внимание требования спроектированной защиты персональных данных и по умолчанию, механизмы прозрачности должны быть встроены в системы обработки с нуля, чтобы все источники персональных данных, полученных организацией, могли быть отслежены и была возможность отследить их обратно до источника в любой точке жизненного цикл обработки данных (см. пункт 43 выше).
В соответствии со статьей 14.5(b), как и в ситуации «оказывается невозможным», «непропорциональные усилия» могут также применяться, в частности, для обработки «в целях архивирования в интересах общества, в целях научных или исторических исследований или в статистических целях, с учетом гарантий, указанных в статье 89(1) ». Преамбула 62 также ссылается на эти цели как на случаи, когда предоставление информации субъекту данных потребует непропорциональных усилий, и заявляет, что в этом отношении следует учитывать количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности. С учетом того, что в Преамбуле 62 и статье 14.5(b) делается упор на архивацию, исследования и статистические цели в отношении применения этого исключения, позиция WP29 заключается в том, что на это исключение не должны регулярно полагаться контролеры данных, которые не обрабатывают личные данные для цели архивирования в общественных интересах, для научных или исторических исследовательских или статистических целей. WP29 подчеркивает тот факт, что в тех случаях, когда эти цели преследуются, условия, изложенные в статье 89.1, все равно должны соблюдаться, и предоставление информации должно представлять собой непропорциональное усилие.
При определении того, что может представлять собой либо невозможность, либо непропорциональные усилия в соответствии со статьей 14.5(b), важно, чтобы не было сопоставимых исключений в соответствии со статьей 13 (когда персональные данные собираются от субъекта данных). Единственная разница между статьей 13 и ситуацией по статье 14 заключается в том, что в последнем случае персональные данные не собираются от субъекта данных. Отсюда следует, что невозможность или непропорциональные усилия обычно возникают в силу обстоятельств, которые не применяются, если персональные данные собираются от субъекта данных. Другими словами, невозможность или непропорциональные усилия должны быть напрямую связаны с тем фактом, что персональные данные были получены не от субъекта данных.
Пример Большая городская больница требует, чтобы все пациенты для дневных процедур, более длительных госпитализаций и назначений заполняли Информационную Форму Пациента, в которой запрашиваются сведения о двух ближайших родственниках (субъектах данных). Учитывая очень большой объем пациентов, ежедневно проходящих через больницу, это потребует непропорциональных усилий со стороны больницы, чтобы обеспечить всех лиц, которые были указаны в качестве ближайших родственников в формах, заполняемых пациентами каждый день, информацией, требуемой согласно статье 14.
Факторы, упомянутые выше в Преамбуле 62 (количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности), могут указывать на типы проблем, которые способствуют тому, что контролеру данных приходится использовать непропорциональные усилия для уведомления субъекта данных об информации, соответствующей статье 14.
Пример Исторические исследователи, стремящиеся отследить происхождение, основанное на фамилиях, косвенно получают большой набор данных, относящийся к 20 000 субъектам данных. Однако набор данных был собран 50 лет назад, и с тех пор не обновлялся, и не содержит контактных данных. Учитывая размер базы данных и, в частности, возраст данных, исследователям потребуется приложить непропорциональные усилия, чтобы попытаться отследить субъекты данных индивидуально, чтобы предоставить им информацию по статье 14.
В тех случаях, когда контролер данных стремится полагаться на исключение в статье 14.5(b) на том основании, что предоставление информации потребует непропорциональных усилий, ему следует выполнить балансировку для оценки усилий, прилагаемых к контролеру данных для предоставления информации субъекту данных о воздействии и эффекте на субъект данных, если ему или ей не была предоставлена информация. Эта оценка должна быть задокументирована контролером данных в соответствии с его обязательствами по подотчетности. В таком случае статья 14.5(b) указывает, что контролер должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных. Это в равной степени относится и к случаям, когда контролер определяет, что предоставление информации оказывается невозможным или, скорее всего, сделает невозможным или нанесет серьезный ущерб достижению целей обработки. Одна соответствующая мера, как указано в статье 14.5(b), которую контролеры должны всегда принимать, состоит в том, чтобы сделать информацию общедоступной. Контролер может сделать это несколькими способами, например, разместив информацию на своем веб-сайте или заблаговременно разместив информацию в газете или на своих постерах. Другие надлежащие меры, помимо обеспечения доступности информации для общественности, будут зависеть от обстоятельств обработки, но могут включать: проведение оценки воздействия на защиту данных; применение методов псевдонимизации к данным; минимизация собранных данных и срока хранения; и реализация технических и организационных мер для обеспечения высокого уровня безопасности. Кроме того, могут быть ситуации, когда контролер данных обрабатывает персональные данные, которые не требуют идентификации субъекта данных (например, с псевдонимными данными). В таких случаях статья 11.1 также может также соответствовать ситуации, поскольку в ней говорится, что контролер данных не обязан хранить, получать или обрабатывать дополнительную информацию, чтобы идентифицировать субъект данных для единственных целей соблюдения GDPR.
Последняя ситуация, описанная в статье 14.5(b), заключается в том, что предоставление контролером данных информации субъекту данных в соответствии со статьей 14.1 может сделать невозможным или серьезно помешать достижению целей обработки. Чтобы полагаться на это исключение, контролеры данных должны продемонстрировать, что предоставление информации, изложенной только в статье 14.1, сведет на нет цели обработки. Примечательно, что опора на этот аспект статьи 14.5(b) предполагает, что обработка данных удовлетворяет всем принципам, изложенным в статье 5, и, что наиболее важно, при любых обстоятельствах обработка персональных данных является справедливой и что она имеет правовое основание.
Пример В соответствии с законодательством о борьбе с отмыванием денег, Банк А должен сообщать о подозрительной деятельности, связанной с его счетами, в соответствующий финансовый правоохранительный орган. Банк A получает информацию от Банка Б (в другом государстве-члене) о том, что владелец счета поручил ему перевести деньги на другой счет в Банке A, что выглядит подозрительно. Банк А передает эти данные относительно владельца своего счета и подозрительных действий в соответствующий финансовый правоохранительный орган. Законодательство о борьбе с отмыванием денег признает это преступлением для банка, представляющего отчетность, чтобы «оповестить» владельцев счетов о том, что они могут быть предметом нормативных расследований. В этой ситуации применяется статья 14.5(b), поскольку предоставление субъекту данных (владельцу счета в Банке A) информации по статье 14 об обработке персональных данных владельца счета, полученных от Банка Б, может серьезно подорвать цели законодательства, которое включает предотвращение «наводок». Однако при открытии счета всем владельцам счетов в Банке А должна предоставляться общая информация о том, что их личные данные могут обрабатываться в целях борьбы с отмыванием денег.
Статья 14.5(c) допускает отмену требований к информации в статьях 14.1, 14.2 и 14.4, поскольку получение или раскрытие персональных данных «прямо предусмотрено законодательством Европейского Союза или государства-члена, которому подчиняется контролер». Это исключение обусловлено соответствующим законом, предусматривающим «надлежащие меры для защиты легитимных интересов субъекта данных». Такой закон должен непосредственно касаться контролера данных, и получение или раскрытие данных должно быть обязательным для контролера данных. Соответственно, контролер данных должен быть в состоянии продемонстрировать, как к ним применяется соответствующий закон и требует от них либо получения, либо раскрытия соответствующих персональных данных. Хотя закон Европейского Союза или государства-члена должен определять закон таким образом, чтобы он предусматривал «надлежащие меры для защиты легитимных интересов субъекта данных», контролер данных должен обеспечить (и иметь возможность продемонстрировать), что его получение или раскрытие персональных данных соответствует с этими мерами. Кроме того, контролер данных должен дать понять субъектам данных, что он получает или раскрывает персональные данные в соответствии с рассматриваемым законом, если только не существует юридического запрета, запрещающего контролеру данных делать это. Это согласуется с преамбулой 41 GDPR, в котором говорится, что правовое основание или законодательная мера должны быть четкими и точными, и их применение должно быть предсказуемым для лиц, на которых распространяется действие закона, в соответствии с прецедентным правом Суда ЕС и Европейского Суда по правам человека. Вместе с тем, статья 14.5(c) не будет применяться, если контролер данных обязан получать данные непосредственно от субъекта данных, когда будет применяться статья 13. В этом случае единственное исключение в рамках GDPR, освобождающее контролера от предоставления субъекту данных информации об обработке, будет заключаться в соответствии со статьей 13.4 (т.е. где и поскольку субъект данных уже имеет информацию). Однако, как указано ниже в пункте 68, на национальном уровне государства-члены могут также издавать законы, в соответствии со статьей 23, в отношении дополнительных конкретных ограничений права на прозрачность в соответствии со статьей 12 и информации в соответствии со статьями 13 и 14.
Пример Налоговый орган в обязательном порядке по национальному законодательству должен выяснять сведения о заработной плате работников от их нанимателей. Персональные данные получены не от субъектов данных, и поэтому налоговый орган подпадает под требования статьи 14. Поскольку получение персональных данных налоговым органом от нанимателей прямо предусмотрено законом, требования к информации по статье 14 не применяются к налоговому органу в данном случае.
Статья 14.5(d) предусматривает освобождение от требования к информации для контролеров данных, когда персональные данные «должны оставаться конфиденциальными при условии соблюдения обязательства о профессиональной тайне, регулируемого законодательством Союза или государства-члена, в том числе обязательного соблюдения секретности». Если контролер данных стремится использовать это исключение, он должен иметь возможность продемонстрировать, что он надлежащим образом идентифицировал такое исключение, и показать, как обязательство по профессиональной тайне непосредственно относится к контролеру данных, так что оно запрещает контролеру данных предоставлять субъекту данных всю информацию, указанную в статьях 14.1, 14.2 и 14.4.
Пример Медицинский работник (контролер данных) несет обязательство хранить профессиональную тайну в отношении медицинской информации своих пациентов. Пациентка (в отношении которой действует обязательство о профессиональной тайне) предоставляет врачу информацию о ее здоровье, касающемся генетического заболевания, которое также имеется у ряда ее близких родственников. Пациентка также предоставляет врачу определенные персональные данные своих родственников (субъектов данных), которые имеют такое же заболевание. Врач не обязан предоставлять этим родственникам информацию по статье 14, поскольку применяется исключение по статье 14.5(d). Если практикующий врач предоставит родственникам информацию по статье 14, то обязательство сохранения профессиональной тайны, которое он несёт в отношении своего пациента, будет нарушено.
Ограничения прав субъекта данных
Статья 23 предоставляет возможность государствам-члены (или ЕС) принимать законодательные меры для дополнительных ограничений объема прав субъекта данных в отношении прозрачности и основных прав субъекта данных, если такие меры уважают сущность основных прав и свобод и необходимы и пропорциональны для защиты одной или нескольких из десяти целей, изложенных в статье 23.1 от (a) до (j). Если такие национальные меры уменьшают либо права конкретного субъекта данных, либо общие обязательства по прозрачности, которые в противном случае применяются к контролерам данных в рамках GDPR, контролер данных должен быть в состоянии продемонстрировать, как к нему применяется национальное положение. Как указано в статье 23.2(h), законодательная мера должна содержать положение о праве субъекта данных быть информированным об ограничении их прав, если только такое информирование не может навредить достижению цели данного ограничения. В соответствии с этим и с принципом справедливости контролер данных должен также информировать субъекты данных о том, на что они полагаются (или будут полагаться в случае осуществления права конкретного субъекта данных), на такое национальное законодательное ограничении в отношении осуществление прав субъекта данных или обязательства по прозрачности, если только это не нанесет ущерба цели законодательного ограничения. Таким образом, прозрачность требует от контролеров данных предоставления адекватной предварительной информации субъектам данных об их правах и любых конкретных оговорках к тем правам, на которые может рассчитывать контролер, чтобы субъект данных не был застигнут врасплох предполагаемым ограничением, особенно когда они позже пытаются применить его против контролера. Что касается псевдонимизации и минимизации данных и поскольку контролеры данных могут ссылаться на статью 11 GDPR, WP29 ранее подтвердил в Мнении 3/2017, что статью 11 GDPR следует интерпретировать как способ обеспечения минимизации подлинных данных не препятствуя осуществлению прав субъекта данных, и что осуществление прав субъекта данных должно быть возможным с помощью дополнительной информации, предоставляемой субъектом данных.
Кроме того, статья 85 требует, чтобы государства-члены по закону согласовывали защиту персональных данных с правом на свободу выражения мнения и информации. Для этого, в частности, требуется, чтобы государства-члены предусматривали соответствующие исключения или отступления от определенных положений GDPR (в том числе от требований прозрачности в соответствии со статьями 12-14) для обработки, выполняемой в журналистских, академических, художественных или литературных целях, если они необходимы для согласования этих двух прав.
Прозрачность и утечка данных
WP29 разработала отдельное Руководство по нарушению безопасности персональных данных[57], но для целей настоящего руководства обязательства контролера данных в отношении сообщения об утечке данных субъекту данных должны полностью учитывать требования прозрачности, изложенные в статье 12.[58] Передача утечки данных должна отвечать тем же требованиям, подробно изложенным выше (в частности, для использования ясного и понятного языка), которые применяются к любой другой коммуникации с субъектом данных в отношении их прав или в связи с передачей информации в соответствии со статьями 13 и 14.