... 5. Председатель Европейского совета по защите персональных данных должен уведомить, без необоснованных задержек, о решении, предусмотренном параграфом 1, заинтересованные надзорные органы. Он должен проинформировать о таком решении Европейскую Комиссию. Это решение должно быть опубликовано на веб-сайте Европейского совета по защите персональных данных без промедления после утверждения надзорным органом окончательного решения, упомянутого в параграфе 6. ...
... 5. The Chair of the Board shall notify, without undue delay, the decision referred to in paragraph 1 to the supervisory authorities concerned. It shall inform the Commission thereof. The decision shall be published on the website of the Board without delay after the supervisory authority has notified the final decision referred to in paragraph 6. ...
... 6. Ведущий надзорный орган или, в зависимости от обстоятельств, надзорный орган, которому была подана жалоба, должен принять свое окончательное решение на основании решения, предусмотренного параграфом 1 настоящей Статьи, без необоснованных задержек, и, не позднее одного месяца после того, как Европейский совет по защите персональных данных уведомил о своем решении. Ведущий надзорный орган или, в зависимости от обстоятельств, надзорный орган, которому была подана жалоба, должен проинформировать Европейский совет по защите персональных данных о дате, когда его окончательное решение доведено до сведения соответственно контролёра или процессора, или субъекта данных. Окончательное решение заинтересованных надзорных органов должно быть принято в порядке Статей 60(7), (8) и (9). Окончательное решение должно ссылаться на решение, предусмотренное параграфом 1 настоящей Статьи, а также должно устанавливать, что решение, упомянутое в этом параграфе, будет опубликовано на веб-сайте Европейского совета по защите персональных данных в соответствии с параграфом 5 настоящей Статьи. К окончательному решению должно прилагаться решение, указанное в параграфе 1 настоящей Статьи. ...
... 6. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged shall adopt its final decision on the basis of the decision referred to in paragraph 1 of this Article, without undue delay and at the latest by one month after the Board has notified its decision. The lead supervisory authority or, as the case may be, the supervisory authority with which the complaint has been lodged, shall inform the Board of the date when its final decision is notified respectively to the controller or the processor and to the data subject. The final decision of the supervisory authorities concerned shall be adopted under the terms of Article 60(7), (8) and (9). The final decision shall refer to the decision referred to in paragraph 1 of this Article and shall specify that the decision referred to in that paragraph will be published on the website of the Board in accordance with paragraph 5 of this Article. The final decision shall attach the decision referred to in paragraph 1 of this Article. ...
... 8. Европейская Комиссия должна опубликовать в Официальном Журнале Европейского Союза, а также на своем интернет-сайте список третьих стран, территорий и определенных отраслей третьей страны и международных организаций, в отношении которых она приняла решение о наличии адекватного уровня защиты либо его отсутствии. ...
... 8. The Commission shall publish in the Official Journal of the European Union and on its website a list of the third countries, territories and specified sectors within a third country and international organisations for which it has decided that an adequate level of protection is or is no longer ensured. ...
... (58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке. ...
... (58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand. ...
... (143) Любое физическое или юридическое лицо имеет право подать иск о отмене решений Европейского совета по защите персональных данных в Европейский Суд на условиях, предусмотренных в Статьей 263 TFEU. В качестве адресатов таких решений соответствующие надзорные органы, которые хотят оспорить их, должны подать иск в течение двух месяцев после уведомления об этом в соответствии со Статьей 263 TFEU. Если решения Европейского совета по защите персональных данных прямо или косвенно относятся к контролёру, процессору или истцу, последний может подать иск об аннулировании этих решений в течение двух месяцев после их публикации на веб-сайте Европейского совета по защите персональных данных в соответствии со Статьей 263 TFEU. Без ущерба для такого права в соответствии со Статьей 263 TFEU каждое физическое или юридическое лицо должно иметь эффективное судебное средство правовой защиты в компетентном национальном суде против решения надзорного органа, которое порождает юридические последствия для этого лица. Такое решение касается, в частности, осуществления полномочий по рассмотрению, полномочий по устранению недостатков и разрешительных полномочий надзорного органа или либо отклонения жалобы, либо отказа в ее удовлетворении. Однако, право на эффективные судебные средства правовой защиты не охватывает меры, принимаемые надзорными органами, которые не являются юридически обязательными, такие как его заключения или рекомендации. Судебное производство в отношении надзорного органа должно быть возбуждено в судах государства-члена, в котором учрежден надзорный орган, и должно осуществляться в соответствии с процессуальным правом этого государства-члена. Такие суды должны осуществлять юрисдикцию, которая должна включать в себя полномочия на изучение всех вопросов факта и права, относящихся к рассматриваемому ими спору. ...
... (143) Any natural or legal person has the right to bring an action for annulment of decisions of the Board before the Court of Justice under the conditions provided for in Article 263 TFEU. As addressees of such decisions, the supervisory authorities concerned which wish to challenge them have to bring action within two months of being notified of them, in accordance with Article 263 TFEU. Where decisions of the Board are of direct and individual concern to a controller, processor or complainant, the latter may bring an action for annulment against those decisions within two months of their publication on the website of the Board, in accordance with Article 263 TFEU. Without prejudice to this right under Article 263 TFEU, each natural or legal person should have an effective judicial remedy before the competent national court against a decision of a supervisory authority which produces legal effects concerning that person. Such a decision concerns in particular the exercise of investigative, corrective and authorisation powers by the supervisory authority or the dismissal or rejection of complaints. However, the right to an effective judicial remedy does not encompass measures taken by supervisory authorities which are not legally binding, such as opinions issued by or advice provided by the supervisory authority. Proceedings against a supervisory authority should be brought before the courts of the Member State where the supervisory authority is established and should be conducted in accordance with that Member State's procedural law. Those courts should exercise full jurisdiction, which should include jurisdiction to examine all questions of fact and law relevant to the dispute before them. ...
... Кроме того, необходимая информация также должна предоставляться в надлежащем контексте и в соответствующее время.Поскольку контролер выполняет множество операций по обработке данных, собранных на сайте, то общая политика конфиденциальности на сайте сама по себе недостаточна для того, чтобы контролер отвечал требованиям прозрачности. Поэтому контроллер проектирует информационный поток, представляющий субъекту данных релевантную информацию с использованием информационных фрагментов или всплывающих окон. Например, при запросе субъекта данных ввести персональные данные, контроллер информирует субъекта данных о том, как будут обрабатываться персональные данные и почему эти персональные данные необходимы для их обработки. ...
... Moreover, necessary information should also be provided in the right context, at the appropriate time. Since the controller carries out many processing operations using the data collected on the website, a general privacy policy on the website alone is not sufficient for the controller to meet the requirements of transparency. The controller therefore designs an information flow, presenting the data subject with relevant information within the appropriate contexts using e.g. informational snippets or pop-ups. For example, when asking the data subject to enter personal data, the controller informs the data subject of how the personal data will be processed and why that personal data is necessary for the processing. ...
... Пример Каждая организация, поддерживающая веб-сайт, должна опубликовать политику приватности на веб-сайте. Прямая ссылка на данную политику приватности должна быть четко видна на каждой странице данного веб-сайта под общепринятым термином (таким как "Приватность", "Политика приватности" или "Уведомление о защите персональных данных"). Такое размещение или цветовое оформление, которые делают текст или ссылку менее заметной или труднодоступной на веб-странице, не могут считаться легкодоступными. Для приложений, необходимая информация также должна быть доступна в интернет-магазине до их загрузки. После установки приложения, информация должна продолжать оставаться легкодоступной в рамках приложения. Одним из способов выполнения этого требования является обеспечение того, чтобы информация являлась всегда доступной в пределе "двух нажатий" (например, путем включения опции "Приватность"/ "Защита персональных данных" в функциональные возможности меню приложения). Кроме того, рассматриваемая информация в отношении порядка использования персональных данных должна быть специфичной для конкретного приложения и не должна быть просто шаблонной политикой приватности компании, которая является владельцем приложения или делает его доступным для общественности. В качестве рекомендуемой практики WP29 предлагает, чтобы на момент сбора персональных данных в режиме онлайн предоставлялась ссылка на политику приватности или чтобы эта информация была доступна на той же странице, на которой собираются персональные данные. ...
... Example Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible. For apps, the necessary information should also be made available from an online store prior to download. Once the app is installed, the information still needs to be easily accessible from within the app. One way to meet this requirement is to ensure that the information is never more than “two taps away” (e.g. by including a “Privacy”/ “Data Protection” option in the menu functionality of the app). Additionally, the privacy information in question should be specific to the particular app and should not merely be the generic privacy policy of the company that owns the app or makes it available to the public. WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected. ...
... Пример 24. Веб-сайт, упомянутый в примере 12, расположенные в Турции и управляемый оттуда, предлагает услуги по созданию, изданию, печати и доставке персонализированных семейных фотоальбомов. Веб-сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро или стерлингах. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. Этот веб-сайт подпадает под действие GDPR согласно статье 3(2)(а), и как контролер данных должен назначить представителя в Союзе. ...
... Example 24: The website referred to in example 12, based and managed in Turkey, offers services for the creation, edition, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros or Sterling. The website indicates that photo albums can only be delivered by post mail in the France, Benelux countries and Germany. This website being subject to the GDPR, as per its Article 3(2)(a), the data controller must designate a representative in the Union. ...
... 90. Когда операция по обработке, выполняемая контроллером или процессором, сертифицирована в соответствии со Статьей 42, элементами, которые способствуют демонстрации соблюдения требований Статьи 25(1) и (2), являются процессы проектирования, т.е. процесс определения средств обработки, управление и технические и организационные меры по реализации принципов защиты данных. Критерии сертификации по защите персональных данных определяются сертификационными органами или владельцами сертификационных схем и затем утверждаются компетентным надзорным органом или EDPB. Для получения дополнительной информации о механизмах сертификации мы обращаемся к Руководству по сертификации [42] EDPB и другим соответствующим руководствам, опубликованным на веб-сайте EDPB. ...
... 90. When a processing operation by a controller or processor is certified according to Article 42, the elements that contribute to demonstrating compliance with Article 25(1) and (2) are the design processes, i.e. the process of determining the means of processing, the governance and the technical and organizational measures to implement the data protection principles The data protection certification criteria are determined by the certification bodies or certification scheme owners and then approved by the competent supervisory authority or by the EDPB. For further information about certification mechanisms, we refer the reader to the EDPB Guideline on Certification[42] and other relevant guidance, as published on the EDPB website. ...
... [46] “Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете.” ...
... [46] “Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising.” ...