Article 14 📖 GDPR. Information to be provided where personal data have not been obtained from the data subject

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

1. Если персональные данные получены не от субъекта данных, контролёр должен предоставить субъекту данных следующую информацию:

(a) наименование (имя) и контактные данные контролёра и, при необходимости, его представителя;

(b) контактные данные инспектора по защите персональных данных, при необходимости;

(c) цели обработки, для которой предназначаются персональные данные, а также правовое основание для обработки;

(d) категории соответствующих персональных данных;

(e) получатели или категории получателей персональных данных, если таковые имеются;

(f) в соответствующих случаях, намерение контролёра передать персональные данные третьей стране или международной организации, а также наличие или отсутствие решения Европейской Комиссии об адекватности, или в случае передачи согласно Статье 46 или 47 или согласно второму подпараграфу Статьи 49(1) – ссылка на соответствующие и надлежащие гарантии и способы, посредством которых может быть получена их копия, или где они могут быть предоставлены.

Статья 46 GDPR. Передача данных при условии осуществления надлежащих гарантий

Статья 47 GDPR. Обязательные корпоративные правила

Статья 49 GDPR. Отступление от соблюдения обязательств в особых случаях

1. В случае отсутствия решения об адекватной защите согласно Статье 45(3) или соответствующих гарантий согласно Статье 46, включая обязательные корпоративные правила, передача или ряд передач персональных данных в третью страну или международную организацию должна осуществляться только при соблюдении одного из следующих условий:

[…]

В случае если передача не может основываться на положениях Статей 45 или 46, в том числе на положениях об обязательных корпоративных правилах, и если не применяются отступления от соблюдения обязательств в особых случаях согласно первому подпараграфу настоящего параграфа, передача персональных данных третьей стране или международной организации может осуществляться только, если передача не носит повторяющийся характер, касается только ограниченного количества субъектов данных, необходима в целях существенных легитимных интересов контролёра, которые не превалируют над интересами или правами и свободами субъектов данных, и контролёр оценил все обстоятельства, связанные с передачей персональных данных, и на основании указанной оценки предусмотрел соответствующие гарантии касательно защиты персональных данных. Контролёр информирует о передаче надзорный орган. В дополнение к предоставлению информации, указанной в Статьях 13 и 14, контролёр информирует субъекта данных о передаче персональных данных и о своих легитимных интересах.

[…]

2. В дополнение к информации, указанной в параграфе 1, контролёр должен предоставить субъекту данных следующую информацию, необходимую для обеспечения беспристрастной и прозрачной обработки в отношении субъекта данных:

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 “Руководящие принципы прозрачности согласно Регламенту 2016/679”. WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 – одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность – это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая – Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

(a) срок хранения персональных данных, или если это не представляется возможным, критерии для определения указанного срока;

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(a) GDPR:

7.4.7 Retention

Control

The organization should not retain PII for longer than is necessary for the purposes for which the PII is processed.

Implementation guidance

The organization should develop and maintain retention schedules for information it retains, taking into account the requirement to retain PII for no longer than is necessary.

[…]

(b) в случае если обработка основывается на пункте (f) Статьи 6(1), легитимные интересы, преследуемые контролёром или третьим лицом;

Статья 6 GDPR. Законность обработки

1. Обработка является законной только в тех случаях, когда – и в той степени, в которой – выполнено по меньшей мере одно из следующих условий:

[…]

(f) обработка необходима для целей, вытекающих из легитимных интересов, преследуемых контролёром или третьим лицом, за исключением случаев, когда преимущество над такими интересами имеют интересы или фундаментальные права и свободы субъекта данных, требующие защиты персональных данных, в частности, когда субъектом данных является ребенок.

[…]

(c) существование права требовать от контролёра доступ к соответствующим персональным данным, их исправления, удаления, ограничения обработки или возражение против обработки, а также право на переносимость данных;

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 14(2)(c) GDPR:

7.3.5 Providing mechanism to object to PII processing

Control

The organization should provide a mechanism for PII principals to object to the processing of their PII.

Implementation guidance

Some jurisdictions provide PII principals with a right to object to the processing of their PII.

[…]

(d) в случае если обработка основывается на пункте (a) Статьи 6(1) или на пункте (a) Статьи 9(2), существование права на отзыв своего согласия в любое время, несмотря на законность обработки, основанной на согласии до его отзыва;

ISO 27701 Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(d) GDPR:

7.3.4 Providing mechanism to modify or withdraw consent

Control

The organization should provide a mechanism for PII principals to modify or withdraw their consent.

Implementation guidance

The organization should inform PII principals of their rights related to withdrawing consent (which may vary by jurisdiction) at any time, and provide the mechanism to do so.

[…]

Статья 6 GDPR. Законность обработки

(a) субъект персональных данных дал согласие на обработку своих персональных данных для одной или нескольких конкретных целей;

[…]

Статья 9 GDPR. Обработка специальных категорий персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

[…]

2. Параграф 1 не применяется, в одном из следующих случаев:

(a) субъект данных выразил отчетливое согласие на обработку этих персональных данных для одной или нескольких обозначенных целей, за исключением случаев, когда законодательство Союза или государства-члена предусматривает, что субъект данных не может снять запрет, указанный в параграфе 1;

[…]

3.2 Законность

67. Контролер должен определить действительное правовое основание для обработки персональных данных. Меры и гарантии должны подкреплять требование соответствия цикла хранения и обработки данных (processing lifecycle) надлежащему правовому основанию обработки.

(e) право подачи жалобы в надзорный орган;

(f) из каких источников происходят персональные данные и, при необходимости, взяты ли они из общедоступных источников;

(g) наличие процесса автоматизированного принятия решения, включая профилирование согласно Статье 22(1) и (4) и, как минимум в указанных случаях, достоверная информация о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных.

ISO 27701 Related

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14(2)(g) GDPR:

7.3.10 Automated decision making

Control

The organization should identify and address obligations, including legal obligations, to the PII principals resulting from decisions made by the organization which are related to the PII principal based solely on automated processing of PII.

[…]

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

Статья 4 GDPR. Определения

Для целей настоящего Регламента используются следующие термины:

[…]

(4) «Профилирование» — это любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных аспектов физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений;

[…]

3. контролёр должен предоставить информацию, указанную в параграфах 1 и 2:

(a) в разумный срок после получения персональных данных, но не позже одного месяца, с учетом особых условий обработки персональных данных;

(b) если персональные данные должны использоваться для коммуникации с субъектом данных, не позже первого обращения к указанному субъекту данных; или

(c) если предусмотрено раскрытие информации другому получателю, не позже первоначального раскрытия персональных данных.

4. Если контролёр намерен в дальнейшем обрабатывать персональные данные в целях, отличных от тех, для которых они были собраны, перед последующей обработкой он должен предоставить субъекту данных информацию об указанных иных целях, а также любую релевантную информацию, указанную в параграфе 2.

5. Параграфы 1 – 4 не должны применять в том случае, если:

(a) субъект данных уже располагает информацией;

(b) предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичном интересе, в целях научных или исторических исследований или в статистических целях, с учетом условий и гарантий, указанных в Статье 89(1), или постольку, поскольку обязанность, указанная в параграфе 1 настоящей Статьи, может сделать невозможным или негативно отразиться на достижении целей указанной обработки. В указанных случаях контролёр должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных, включая доведение информации до всеобщего сведения;

Статья 89 GDPR. Гарантии и изъятия касающиеся обработки для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях

1. Обработка для архивных целей в публичном интересе, для целей научного или исторического исследования или в статистических целях подлежит соответствующим гарантиям, согласно настоящему Регламенту, в отношении прав и свобод субъекта данных. Такие гарантии должны обеспечивать, чтобы технические и организационные меры были приняты, в частности, для того, чтобы обеспечить соблюдение принципа минимизации данных. Названные меры могут охватывать псевдонимизацию при условии, что эти цели могут соблюдаться таким способом. В случае, когда обозначенные цели могут достигаться путем дальнейшей обработки, которая не позволяет или больше не позволяет идентификацию субъектов данных, эти цели должны осуществляться этим способом.

[…]

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

“Оказывается невозможным”

Ситуация, когда в соответствии со статьей 14.5(b) «оказывается невозможным» предоставить информацию, представляет собой ситуацию «все или ничего», так как что-то либо невозможно, либо нет; нет степеней невозможности. Таким образом, если контролер данных пытается полагаться на это исключение, он должен продемонстрировать факторы, которые фактически мешают ему предоставлять соответствующую информацию субъектам данных. Если по истечении определенного периода времени факторы, вызвавшие «невозможность», больше не существуют и становится возможным предоставлять информацию субъектам данных, то контролер данных должен немедленно сделать это. На практике существует очень мало ситуаций, в которых контролер данных может продемонстрировать, что фактически невозможно предоставить информацию субъектам данных. Следующий пример демонстрирует это.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

“Непропорциональное усилие”

При определении того, что может представлять собой либо невозможность, либо непропорциональные усилия в соответствии со статьей 14.5(b), важно, чтобы не было сопоставимых исключений в соответствии со статьей 13 (когда персональные данные собираются от субъекта данных). Единственная разница между статьей 13 и ситуацией по статье 14 заключается в том, что в последнем случае персональные данные не собираются от субъекта данных. Отсюда следует, что невозможность или непропорциональные усилия обычно возникают в силу обстоятельств, которые не применяются, если персональные данные собираются от субъекта данных. Другими словами, невозможность или непропорциональные усилия должны быть напрямую связаны с тем фактом, что персональные данные были получены не от субъекта данных.

Руководство по согласию в соответствии с Регламентом 2016/679

Научное исследование

153. Преамбула 33, как можно заметить, обеспечивает своеобразную гибкость в конкретизации и детализации согласия в контексте научного исследования. Преамбула 33 гласит: “Зачастую невозможно в полной мере определить цель обработки персональных данных, предназначенных для научных исследований в момент сбора данных. Поэтому субъектам данных должна предоставляться возможность дать своё согласие для отдельных сфер научных исследований, исходя из соответствия их целей признанным этическим стандартам научных исследований. Субъекты данных должны иметь возможность давать своё согласие только в отношении отдельных сфер исследований или части научно-исследовательских проектов в соответствии с поставленной целью.”

(c) получение или раскрытие информации прямо установлено правом Союза или государства-члена, под действие которого подпадает контролёр и которое обеспечивает соответствующие меры для защиты легитимных интересов субъекта данных; или

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Факторы, упомянутые выше в Преамбуле 62 (количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности), могут указывать на типы проблем, которые способствуют тому, что контролеру данных приходится использовать непропорциональные усилия для уведомления субъекта данных об информации, соответствующей статье 14.

Статья 14.5(c) допускает отмену требований к информации в статьях 14.1, 14.2 и 14.4, поскольку получение или раскрытие персональных данных «прямо предусмотрено законодательством Европейского Союза или государства-члена, которому подчиняется контролер». Это исключение обусловлено соответствующим законом, предусматривающим «надлежащие меры для защиты легитимных интересов субъекта данных». Такой закон должен непосредственно касаться контролера данных, и получение или раскрытие данных должно быть обязательным для контролера данных. Соответственно, контролер данных должен быть в состоянии продемонстрировать, как к ним применяется соответствующий закон и требует от них либо получения, либо раскрытия соответствующих персональных данных. Хотя закон Европейского Союза или государства-члена должен определять закон таким образом, чтобы он предусматривал «надлежащие меры для защиты легитимных интересов субъекта данных», контролер данных должен обеспечить (и иметь возможность продемонстрировать), что его получение или раскрытие персональных данных соответствует с этими мерами. Кроме того, контролер данных должен дать понять субъектам данных, что он получает или раскрывает персональные данные в соответствии с рассматриваемым законом, если только не существует юридического запрета, запрещающего контролеру данных делать это. Это согласуется с преамбулой 41 GDPR, в котором говорится, что правовое основание или законодательная мера должны быть четкими и точными, и их применение должно быть предсказуемым для лиц, на которых распространяется действие закона, в соответствии с прецедентным правом Суда ЕС и Европейского Суда по правам человека. Вместе с тем, статья 14.5(c) не будет применяться, если контролер данных обязан получать данные непосредственно от субъекта данных, когда будет применяться статья 13. В этом случае единственное исключение в рамках GDPR, освобождающее контролера от предоставления субъекту данных информации об обработке, будет заключаться в соответствии со статьей 13.4 (т.е. где и поскольку субъект данных уже имеет информацию). Однако, как указано ниже в пункте 68, на национальном уровне государства-члены могут также издавать законы, в соответствии со статьей 23, в отношении дополнительных конкретных ограничений права на прозрачность в соответствии со статьей 12 и информации в соответствии со статьями 13 и 14.

(d) если персональные данные остаются конфиденциальными в соответствии с обязательством о соблюдении профессиональной тайны согласно праве Союза или государства-члена, включая установленные законодательством обязательства о сохранении профессиональной тайны.

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO – https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО “Дата Прайваси Офис”.

Expert commentary ISO 27701 Guidelines & Case Law Leave a comment

Expert commentary

To facilitate the work of our consultants, we have collected all the requirements and information that have to be mentioned and created a convenient checklist. Next to each paragraph, we have placed links to specific GDPR articles and guidelines. We grouped all the information into 7 sections:

Controller’s identity
Purpose and lawful basis for processing
Personal data
Transfers of data to third countries
Rights
Changes (in privacy notices)
Form (of information provided)

It looks like this:

[…]

Author

Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP

Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

Ask a question

Data Subject Request Letter Sample

Concern: Request of information regarding my personal data

Dear Madam, Dear Sir,

I have a right to be informed, under Article 14 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing and that you obtained from any other sources than me…

[…]

Author

Louis-Philippe Gratton PhD, LLM

Privacy Expert

Ask a question

ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 14 GDPR:

7.3.2 Determining information for PII principals

Control

The organization should determine and document the information to be provided to PII principals regarding the processing of their PII and the timing of such a provision.

Implementation guidance

The organization should determine the legal, regulatory and/or business requirements for when information is to be provided to the PII principal (e.g. prior to processing, within a certain time from when it is requested, etc.) and for the type of information to be provided.

[…]

Guidelines & Case Law