Navigation
GDPR > Статья 12. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных
Download PDF

Статья 12 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

1. Контролёр принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка, – особенно, когда информация адресована ребенку. Информация должна быть представлена в письменной форме, или с помощью других средств, в том числе, в случае необходимости, электронными средствами. По просьбе субъекта данных, информация может быть предоставлена устно, при условии, что личность субъекта данных подтверждена при помощи других средств.

Guidelines & Case Law Recitals

(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.

Related

2. Контролёр должен содействовать субъекту данных в осуществлении прав, наделенных ему в соответствии со статьями 15 до 22. В случаях, указанных в статье 11(2), контролёр не должен отказывать запросу субъекта данных в реализации своих прав в соответствии со статьями 15-22 кроме тех случаев, когда контролёр докажет, что он не в состоянии идентифицировать субъекта данных.

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 12(2) GDPR:

7.3.1 Determining and fulfilling obligations to PII principals

Control

The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.

[…]


to read the full text

Guidelines & Case Law Recitals

(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

Related

3. Контролёр без неоправданной задержки – и в любом случае в течение одного месяца с момента получения запроса – представляет субъекту персональных данных информацию о мерах, принятых в связи с запросом на основании ст. 15-22. В случае необходимости этот срок может быть продлен еще на два месяца ввиду сложного характера запроса или количества запросов. В течение одного месяца с момента получения запроса контролёр должен сообщить субъекту данных о таком продлении срока, с указанием причин задержки. Если субъект данных направил свой запрос в электронном виде, насколько это возможно, информация также предоставляется в электронном виде, если субъект данных не запросил иную форму.

Related

4. Если контролёр не предпринимает никаких действий по просьбе субъекта персональных данных, он обязан без задержки и не позднее одного месяца с момента получения запроса сообщить субъекту персональных данных о причинах непринятия мер и о возможности подать жалобу в надзорный орган органу и воспользоваться средствами судебной защиты.

5. Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно. Если запросы субъекта данных являются явно необоснованными или чрезмерными, в частности, из-за их повторяющегося характера, контролёр может:

Related

a) взимать разумную плату, с учетом административных расходов на предоставление информации, ведения коммуникации или реализации запрашиваемых действий; или

b) отказываться от реализации действий в связи с запросом.

Бремя доказательства, что просьба является явно необоснованной или носит чрезмерный характер, возлагается на контролёра.

6. Не умаляя положений статьи 11, если контролёр имеет обоснованные сомнения в личности физического лица, делающего запрос, указанный в статьях 15-21, контролёр может запросить дополнительную информацию, необходимую для подтверждения личности субъекта данных.

Related

7. Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми.

Related

8. Комиссия имеет право принимать делегированные акты в соответствии со статьей 92, чтобы определить информацию, которая будет представляться с помощью пиктограмм, и установить процедуры их введения.

Related
Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary
Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 12 GDPR:

7.3.3 Providing information to PII principals

Control

The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.

Implementation guidance

The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.

[…]


to read the full text

Recitals

(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.

(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

Guidelines & Case Law Leave a comment
[js-disqus]