Разъяснения > Руководство о прозрачности в соответствии с Регламентом 2016/679

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Article 29 Working Party Guidelines on transparency under Regulation 2016/679

Перевод на русский язык с английского языка выполнили Ю. Богданова, Я. Кузнецова, Е. Лисакова. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, MBA. © Перевод на русский ООО "Дата Прайваси Офис".
Adopted on 28 November 2017. As last Revised and Adopted on 10 April 2018: Guidelines on transparency

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

Article 29 Working Party Guidelines on transparency under Regulation 2016/679

Принято 29 ноября 2017 г. В последний раз пересмотрено и принято 11 апреля 2018 года

Adopted on 29 November 2017 As last Revised and Adopted on 11 April 2018

Рабочая группа по вопросам защиты физических лиц при обработке персональных данных

THE WORKING PARTY ON THE PROTECTION OF INDIVIDUALS WITH REGARD TO THE PROCESSING OF PERSONAL DATA

учреждена Директивой 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 года,

set up by Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995,

принимая во внимание статьи 29 и 30,

having regard to Articles 29 and 30 thereof,

принимая во внимание свои Правила процедуры,

having regard to its Rules of Procedure,

ПРИНЯЛА НАСТОЯЩЕЕ РУКОВОДСТВО:

HAS ADOPTED THE PRESENT GUIDELINES:

Рабочая группа была создана в соответствии со Статьей 29 Директивы 95/46/ЕС. Она является независимым европейским консультативным органом по защите персональных данных и приватности. Его задачи описаны в Статье 30 Директивы 95/46/EC и Статье 15 Директивы 2002/58/EC.

This Working Party was set up under Article 29 of Directive 95/46/EC. It is an independent European advisory body on data protection and privacy. Its tasks are descrbed in Article 30 of Directive 95/46/EC and Article 15 of Directive 2002/58/EC.

Веб-сайт: http://ec.europa.eu/newsroom/article29/news.cfm?item type=1358&tpa id=6936

Website: http://ec.europa.eu/newsroom/article29/news.cfm?item type=1358&tpa id=6936

Введение

Introduction

Данное руководство содержит практическое рекомендации и помощь в толковании Рабочей группы 29-й статьи (WP29) по новому обязательству прозрачности в отношении обработки персональных данных в соответствии с Общим регламентом по защите персональных данных [1] (GDPR). Под прозрачностью понимается всеобъемлющее обязательство в рамках GDPR, применяемое к трем центральным областям: (1) обеспечение информации для субъектов данных, связанное с добросовестной обработкой; (2) как контролеры данных взаимодействуют с субъектами данных в отношении их прав в рамках GDPR; и (3) как контролеры данных облегчают осуществление субъектами данных своих прав. [2] Поскольку соблюдение прозрачности в отношении обработки данных необходимо для соответствия Директиве (ЕС) 2016/680, [3] это руководство также применяется для толкования этого принципа. [4] Это руководство, как и все руководства WP29, общеприменимо и имеет отношение к контролерам независимо от секторальных, отраслевых или нормативных спецификаций, характерных для любого указанного контролера данных. Как таковое, это руководство не может учитывать нюансы и многие переменные, которые могут возникнуть в контексте обязательств по прозрачности конкретного сектора, отрасли или регулируемой области. Тем не менее, эти рекомендации предназначены для того, чтобы позволить контролерам на высоком уровне понять толкование WP29 того, что обязательства по прозрачности влекут за собой на практике, и указать подход, согласно которому WP29 считает, что контролерам следует соответствовать требованиям прозрачности, при этом внедряя справедливость и подотчетность в свои меры прозрачности.

These guidelines provide practical guidance and interpretative assistance from the Article 29 Working Party (WP29) on the new obligation of transparency concerning the processing of personal data under the General Data Protection Regulation [1] (the “GDPR”). Transparency is an overarching obligation under the GDPR applying to three central areas: (1) the provision of information to data subjects related to fair processing; (2) how data controllers communicate with data subjects in relation to their rights under the GDPR; and (3) how data controllers facilitate the exercise by data subjects of their rights [2]. Insofar as compliance with transparency is required in relation to data processing under Directive (EU) 2016/680 [3], these guidelines also apply to the interpretation of that principle. [4] These guidelines are, like all WP29 guidelines, intended to be generally applicable and relevant to controllers irrespective of the sectoral, industry or regulatory specifications particular to any given data controller. As such, these guidelines cannot address the nuances and many variables which may arise in the context of the transparency obligations of a specific sector, industry or regulated area. However, these guidelines are intended to enable controllers to understand, at a high level, WP29’s interpretation of what the transparency obligations entail in practice and to indicate the approach which WP29 considers controllers should take to being transparent while embedding fairness and accountability into their transparency measures

[1] Регламент (ЕС) 2016/679 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, и отмене Директивы 95/46/EC.

[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC.

[2] В этом руководстве изложены общие принципы, касающиеся осуществления прав субъектов данных, а не конкретные условия для каждого отдельного права субъекта данных в рамках GDPR.

[2] These guidelines set out general principles in relation to the exercise of data subjects’ rights rather than considering specific modalities for each of the individual data subject rights under the GDPR.

[3] Директива (ЕС) 2016/680 Европейского парламента и Совета от 27 апреля 2016 года о защите физических лиц в отношении обработки персональных данных компетентными органами в целях предупреждения, расследования, выявления, привлечения к ответственности за преступление или исполнение уголовных наказаний, а также о свободном перемещении таких данных и отмене Рамочного решения Совета 2008/977/JHA.

[3] Directive (EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and on the free movement of such data, and repealing Council Framework Decision 2008/977/JHA.

[4] Хотя прозрачность не является одним из принципов, касающихся обработки персональных данных, изложенных в статье 4 Директивы (ЕС) 2016/680, Преамбула 26 гласит, что любая обработка персональных данных должна быть «законной, справедливой и прозрачной» по отношению к соответствующим физическим лицам.

[4] While transparency is not one of the principles relating to processing of personal data set out in Article 4 of Directive (EU) 2016/680, Recital 26 states that any processing of personal data must be “lawful, fair and transparent” in relation to the natural persons concerned.

Прозрачность является давно установленной чертой права ЕС [5]. Речь идет о том, чтобы вызвать доверие к процессам, которые влияют на граждан, давая им возможность понять и, при необходимости, поставить под сомнение данные процессы. Это также является выражением принципа справедливости по отношению к обработке персональных данных, указанных в статье 8 Хартии Европейского союза по правам человека. В соответствии с GDPR (статья 5(1)(a)[6]), в дополнение к требованиям о том, что данные должны обрабатываться законно и справедливо, прозрачность теперь включена в качестве фундаментального аспекта этих принципов. [7] Прозрачность неразрывно связана со справедливостью и новым принципом подотчетности в рамках GDPR. Из статьи 5.2 также следует, что у контролера всегда должна быть возможность продемонстрировать, что персональные данные обрабатываются прозрачным образом по отношению к субъекту данных. [8] В связи с этим принцип подотчетности требует прозрачности операций обработки для того, чтобы контролеры данных были в состоянии продемонстрировать соблюдение своих обязательств по GDPR. [9]

Transparency is a long established feature of the law of the EU [5]. It is about engendering trust in the processes which affect the citizen by enabling them to understand, and if necessary, challenge those processes. It is also an expression of the principle of fairness in relation to the processing of personal data expressed in Article 8 of the Charter of Fundamental Rights of the European Union. Under the GDPR (Article 5(1)(a)[6]), in addition to the requirements that data must be processed lawfully and fairly, transparency is now included as a fundamental aspect of these principles. [7] Transparency is intrinsically linked to fairness and the new principle of accountability under the GDPR. It also follows from Article 5.2 that the controller must always be able to demonstrate that personal data are processed in a transparent manner in relation to the data subject. [8] Connected to this, the accountability principle requires transparency of processing operations in order that data controllers are able to demonstrate compliance with their obligations under the GDPR [9].

[5] Статья 1 TEU касается решений, принимаемых «как можно более открыто и близко к гражданину»; в статье 11(2) говорится, что «учреждения должны поддерживать открытый, прозрачный и регулярный диалог с представительными объединениями и гражданским обществом»; и статья 15 TFEU относится, среди прочего, к гражданам Союза, имеющим право доступа к документам учреждений, органов, ведомств и агентств Союза, а также к требованиям этих учреждений, органов, ведомств и агентств Союза для обеспечения того, чтобы их разбирательство было прозрачным.

[5] Article 1 of the TEU refers to decisions being taken “as openly as possible and as close to the citizen as possible”; Article 11(2) states that “The institutions shall maintain an open, transparent and regular dialogue with representative associations and civil society”; and Article 15 of the TFEU refers amongst other things to citizens of the Union having a right of access to documents of Union institutions, bodies, offices and agencies and the requirements of those Union institutions, bodies, offices and agencies to ensure that their proceedings are transparent.

[6] «Персональные данные должны обрабатываться законно, справедливо и прозрачно по отношению к субъекту данных»

[6] “Personal data shall be processed lawfully, fairly and in a transparent manner in relation to the data subject”

[7] В Директиве 95/46/EC прозрачность упоминалась только в Преамбуле 38, в виде требования о справедливой обработке данных, но на нее прямо не ссылаются в аналогичной статье 6(1)(a).

[7] In Directive 95/46/EC, transparency was only alluded to in Recital 38 by way of a requirement for processing of data to be fair, but not expressly referenced in the equivalent Article 6(1)(a).

[8] Статья 5.2 GDPR обязывает контролера данных демонстрировать прозрачность (вместе с пятью другими принципами, касающимися обработки данных, изложенными в статье 5.1) в соответствии с принципом подотчетности.

[8] Article 5.2 of the GDPR obliges a data controller to demonstrate transparency (together with the five other principles relating to data processing set out in Article 5.1) under the principle of accountability.

[9] Обязательство контролеров данных осуществлять технические и организационные меры для обеспечения и возможности представить информацию, что обработка выполняется в соответствии с GDPR, изложено в статье 24.1.

[9] The obligation upon data controllers to implement technical and organisational measures to ensure and be able to demonstrate that processing is performed in accordance with the GDPR is set out in Article 24.1.

В соответствии с параграфом 171 Преамбулы GDPR, в случаях, когда обработка уже осуществлялась до 25 мая 2018 года, контролер данных должен убедиться, что он выполняет свои обязательства по соблюдению прозрачности таким образом, каким должен их выполнять с 25 мая 2018 года (наряду со всеми другими обязательствами по GDPR). Это означает, что до 25 мая 2018 года контролеры данных должны пересмотреть всю информацию, предоставляемую субъектам данных при обработке их персональных данных (например, в политиках приватности и др.), чтобы убедиться, что они придерживаются требований в отношении прозрачности, которые анализируются в данном руководстве. Если в такую ​​информацию вносятся изменения или дополнения, контролеры должны прояснить субъектам данных, что эти изменения были произведены с целью соблюдения GDPR. WP29 рекомендует, чтобы такие изменения или дополнения были активно доведены до сведения субъектов данных, но как минимум контролеры должны сделать эту информацию общедоступной (например, на своем веб-сайте). Однако, если изменения или дополнения являются практическими или существенными, то в соответствии с пунктами 29–32, представленными ниже, такие изменения должны активно доводиться до сведения субъекта данных.

In accordance with Recital 171 of the GDPR, where processing is already under way prior to 25 May 2018, a data controller should ensure that it is compliant with its transparency obligations as of 25 May 2018 (along with all other obligations under the GDPR). This means that prior to 25 May 2018, data controllers should revisit all information provided to data subjects on processing of their personal data (for example in privacy statements/ notices etc.) to ensure that they adhere to the requirements in relation to transparency which are discussed in these guidelines. Where changes or additions are made to such information, controllers should make it clear to data subjects that these changes have been effected in order to comply with the GDPR. WP29 recommends that such changes or additions be actively brought to the attention of data subjects but at a minimum controllers should make this information publically available (e.g. on their website). However, if the changes or additions are material or substantive, then in line with paragraphs 29 to 32 below, such changes should be actively brought to the attention of the data subject.

Прозрачность, которой придерживаются контролеры данных, дает возможность субъектам данных привлекать контролеров и процессоров данных к ответственности и осуществлять контроль над их персональными данными, например, путем предоставления или отзыва информированного согласия и осуществления прав своих субъектов данных [10]. Концепция прозрачности в GDPR ориентирована на пользователя, а не формальна, и реализуется посредством конкретных практических требований к контролерам и процессорам данных в ряде статей. Практические (информационные) требования изложены в статьях 12-14 GDPR. Однако качество, доступность и понятность информации так же важны, как и фактическое содержание информации о прозрачности, которая должна быть предоставлена субъектам данных.

Transparency, when adhered to by data controllers, empowers data subjects to hold data controllers and processors accountable and to exercise control over their personal data by, for example, providing or withdrawing informed consent and actioning their data subject rights [10]. The concept of transparency in the GDPR is user-centric rather than legalistic and is realised by way of specific practical requirements on data controllers and processors in a number of articles. The practical (information) requirements are outlined in Articles 12 — 14 of the GDPR. However, the quality, accessibility and comprehensibility of the information is as important as the actual content of the transparency information, which must be provided to data subjects.

[10] См., например, мнение генерального адвоката Круса Вильялона (9 июля 2015 года) по делу Бара (дело C-201/14) в параграфе 74: «требование информировать субъектов данных об обработке их персональных данных, которое гарантирует прозрачность всей обработки, является особенно важным, поскольку оно влияет на осуществление субъектами данных их права на доступ к обрабатываемым данным, упомянутым в статье 12 Директивы 95/46, и их права на возражение против обработки этих данных, изложенных в статье 14 этой директивы».

[10] See, for example,the Opinion of Advocate General Cruz Villalon (9 July 2015) in the Bara case (Case C-201/14) at paragraph 74: “the requirement to inform the data subjects about the processing of their personal data, which guarantees transparency of all processing, is all the more important since it affects the exercise by the data subjects of their right of access to the data being processed, referred to in Article 12 of Directive 95/46, and their right to object to the processing of those data, set out in Article 14 of that directive”.

Требования прозрачности в GDPR применяются независимо от правового основания обработки и в течение всего цикла обработки. Это ясно из статьи 12, которая предусматривает, что прозрачность применяется на следующих этапах цикла обработки данных: до или в начале цикла обработки данных, то есть когда персональные данные собираются либо от субъекта данных, либо получены иным образом; в течение всего периода обработки, т. е. при общении с субъектами данных об их правах; и в определенные моменты, когда обработка продолжается, например, когда происходят утечки данных или в случае существенных изменений в обработке.

The transparency requirements in the GDPR apply irrespective of the legal basis for processing and throughout the life cycle of processing. This is clear from Article 12 which provides that transparency applies at the following stages of the data processing cycle: before or at the start of the data processing cycle, i.e. when the personal data is being collected either from the data subject or otherwise obtained; throughout the whole processing period, i.e. when communicating with data subjects about their rights; and at specific points while processing is ongoing, for example when data breaches occur or in the case of material changes to the processing.

Значение прозрачности

The meaning of transparency

Прозрачность не определяется в GDPR. Преамбула 39 GDPR информативна в отношении значения и результата применения принципа прозрачности в контексте обработки данных: “Физическим лицам должно быть ясно, что их персональные данные собираются, используются, просматриваются или иным образом обрабатываются, а также то, в каком объеме персональные данные обрабатываются или будут обрабатываться. Принцип прозрачности требует, чтобы любые сведения или сообщения в отношении обработки указанных персональных данных были легкодоступны, понятны и представлены на ясном и простом языке. Этот принцип, в частности, включает в себя необходимость извещения субъектов данных о личности контролера и о целях обработки данных, а также дополнительное информирование для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и сведений об имеющих к ним отношение персональных данных, которые обрабатываются…”

Transparency is not defined in the GDPR. Recital 39 of the GDPR is informative as to the meaning and effect of the principle of transparency in the context of data processing: “It should be transparent to natural persons that personal data concerning them are collected, used, consulted or otherwise processed and to what extent the personal data are or will be processed. The principle of transparency requires that any information and communication relating to the processing of those personal data be easily accessible and easy to understand, and that clear and plain language be used. That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of the natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed…”

Элементы прозрачности по GDPR

Elements of transparency under the GDPR

Ключевые статьи в отношении прозрачности в GDPR, поскольку они применяются к правам субъекта данных, содержатся в Главе III (Права субъекта данных). Статья 12 устанавливает общие правила, которые применяются к: предоставлению информации субъектам данных (по статьям 13 — 14); коммуникации с субъектами данных по поводу осуществления их прав (по статьям 15 — 22); и сообщениям в связи с утечкой данных (статья 34). В частности, статья 12 требует, чтобы соответствующая информация или сообщение соответствовали следующим правилам:  оно должно быть кратким, прозрачным, понятным и легкодоступным (статья 12.1);  должен использоваться ясный и простой язык (статья 12.1);  требование ясного и простого языка имеет особое значение при предоставлении информации детям (статья 12.1);  оно должно быть сделано в письменной форме «или другими способами, в том числе, при необходимости, электронными средствами» (статья 12.1);  по запросу субъекта данных оно может быть предоставлено в устной форме (статья 12.1);  как правило, оно должно предоставляться бесплатно (статья 12.5).

The key articles in relation to transparency in the GDPR, as they apply to the rights of the data subject, are found in Chapter III (Rights of the Data Subject). Article 12 sets out the general rules which apply to: the provision of information to data subjects (under Articles 13 — 14); communications with data subjects concerning the exercise of their rights (under Articles 15 — 22); and communications in relation to data breaches (Article 34). In particular Article 12 requires that the information or communication in question must comply with the following rules:  it must be concise, transparent, intelligible and easily accessible (Article 12.1);  clear and plain language must be used (Article 12.1);  the requirement for clear and plain language is of particular importance when providing information to children (Article 12.1);  it must be in writing “or by other means, including where appropriate, by electronic means” (Article 12.1);  where requested by the data subject it may be provided orally (Article 12.1) ; and  it generally must be provided free of charge (Article 12.5).

«Кратко, прозрачно, понятно и легкодоступно»

“Concise, transparent, intelligible and easily accessible”

Требование того, чтобы предоставление информации субъектам данных и коммуникация с ними осуществлялось «кратко и прозрачно», означает, что контролеры данных должны предоставлять информацию/сообщения эффективно и лаконично, чтобы избежать информационной усталости. Эту информацию следует четко отличать от другой информации, не связанной с приватностью, такой как условия договора или общие условия использования. В режиме онлайн использование многоуровневой политика приватности позволит субъекту данных перейти к определенному разделу политики приватности, к которому он хочет получить немедленный доступ, вместо того, чтобы просматривать большие объемы текста в поисках конкретных проблемы.

The requirement that the provision of information to, and communication with, data subjects is done in a “concise and transparent” manner means that data controllers should present the information/ communication efficiently and succinctly in order to avoid information fatigue. This information should be clearly differentiated from other non-privacy related information such as contractual provisions or general terms of use. In an online context, the use of a layered privacy statement/ notice will enable a data subject to navigate to the particular section of the privacy statement/ notice which they want to immediately access rather than having to scroll through large amounts of text searching for particular issues.

Основная идея принципа прозрачности, изложенного в этих положениях, заключается в том, что субъект данных должен быть в состоянии заранее определить, каковы масштабы и последствия обработки, и что они не должны быть застигнуты врасплох на более позднем этапе тем, как были использованы их персональные данные. Это также является важным аспектом принципа справедливости в соответствии со статьей 5.1 GDPR и напрямую связано с Преамбулой 39, который гласит, что «физические лица должны быть осведомлены о рисках, правилах, гарантиях и правах в отношении обработки персональных данных…». В частности, в отношении сложной, технической или непредвиденной обработки данных WP29 считает, что так же как и для предоставления предписанной информации в соответствии со статьями 13 и 14 (о которой речь пойдет ниже в настоящих руководящих принципах), контролеры должны отдельно однозначным образом указывать каковы будут наиболее важные последствия обработки: иными словами, какое влияние окажет конкретная обработка, описанная в политике приватности, на субъект данных? В соответствии с принципом подотчетности и Преамбулой 39 контролеры данных должны оценить, существуют ли особые риски для физических лиц, вовлеченных в этот тип обработки, на которые следует обратить внимание субъектов данных. Это может помочь предоставить обзор типов обработки, которые могут оказать наибольшее влияние на основные права и свободы субъектов данных в отношении защиты их персональных данных.

A central consideration of the principle of transparency outlined in these provisions is that the data subject should be able to determine in advance what the scope and consequences of the processing entails and that they should not be taken by surprise at a later point about the ways in which their personal data has been used. This is also an important aspect of the principle of fairness under Article 5.1 of the GDPR and indeed is linked to Recital 39 which states that “[n]atural persons should be made aware of risks, rules, safeguards and rights in relation to the processing of personal data…” In particular, for complex, technical or unexpected data processing, WP29’s position is that, as well as providing the prescribed information under Articles 13 and 14 (dealt with later in these guidelines), controllers should also separately spell out in unambiguous language what the most important consequences of the processing will be: in other words, what kind of effect will the specific processing described in a privacy statement/ notice actually have on a data subject? In accordance with the principle of accountability and in line with Recital 39, data controllers should assess whether there are particular risks for natural persons involved in this type of processing which should be brought to the attention of data subjects. This can help to provide an overview of the types of processing that could have the highest impact on the fundamental rights and freedoms of data subjects in relation to the protection of their personal data.

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

The “easily accessible” element means that the data subject should not have to seek out the information; it should be immediately apparent to them where and how this information can be accessed, for example by providing it directly to them, by linking them to it, by clearly signposting it or as an answer to a natural language question (for example in an online layered privacy statement/ notice, in FAQs, by way of contextual pop-ups which activate when a data subject fills in an online form, or in an interactive digital context through a chatbot interface, etc. These mechanisms are further considered below, including at paragraphs 33 to 40).

Пример Каждая организация, поддерживающая веб-сайт, должна опубликовать политику приватности на веб-сайте. Прямая ссылка на данную политику приватности должна быть четко видна на каждой странице данного веб-сайта под общепринятым термином (таким как «Приватность», «Политика приватности» или «Уведомление о защите персональных данных»). Такое размещение или цветовое оформление, которые делают текст или ссылку менее заметной или труднодоступной на веб-странице, не могут считаться легкодоступными. Для приложений, необходимая информация также должна быть доступна в интернет-магазине до их загрузки. После установки приложения, информация должна продолжать оставаться легкодоступной в рамках приложения. Одним из способов выполнения этого требования является обеспечение того, чтобы информация являлась всегда доступной в пределе «двух нажатий» (например, путем включения опции «Приватность»/ «Защита персональных данных» в функциональные возможности меню приложения). Кроме того, рассматриваемая информация в отношении порядка использования персональных данных должна быть специфичной для конкретного приложения и не должна быть просто шаблонной политикой приватности компании, которая является владельцем приложения или делает его доступным для общественности. В качестве рекомендуемой практики WP29 предлагает, чтобы на момент сбора персональных данных в режиме онлайн предоставлялась ссылка на политику приватности или чтобы эта информация была доступна на той же странице, на которой собираются персональные данные.

Example Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible. For apps, the necessary information should also be made available from an online store prior to download. Once the app is installed, the information still needs to be easily accessible from within the app. One way to meet this requirement is to ensure that the information is never more than “two taps away” (e.g. by including a “Privacy”/ “Data Protection” option in the menu functionality of the app). Additionally, the privacy information in question should be specific to the particular app and should not merely be the generic privacy policy of the company that owns the app or makes it available to the public. WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected.

“Ясный и простой язык”

“Clear and plain language”

При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.

With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.

Примеры плохой практики Следующие фразы недостаточно ясны в отношении целей обработки: • “Мы можем использовать Ваши персональные данные для разработки новых услуг” (так как неясно, что такое “услуги” и как эти данные будут способствовать их развитию); • “Мы можем использовать Ваши персональные данные в исследовательских целях” (поскольку неясно, о каких именно «исследованиях» идет речь); и • “Мы можем использовать Ваши персональные данные для предоставления персонализированных услуг”(поскольку неясно, что означает “персонализация”).

Poor Practice Examples The following phrases are not sufficiently clear as to the purposes of processing: • “We may use your personal data to develop new services” (as it is unclear what the “services” are or how the data will help develop them); • “We may use your personal data for research purposes (as it is unclear what kind of “research”this refers to); and • “We may use your personal data to offer personalised services” (as it is unclear what the “personalisation” entails).

[11] См. раздел «Как писать ясно» Европейской комиссии (2011), размещенный по адресу: https://publications.europa.eu/en/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5.

[11] See How to Write Clearly by the European Commission (2011), to be found at: https://publications.europa.eu/en/publication-detail/-/publication/c2dab20c-0414-408d-87b5-dd3c6e5dd9a5.

[12] Статья 5 Директивы Совета 93/13/ЕЕС от 5 апреля 1993 года о недобросовестных условиях в потребительских договорах.

[12] Article 5 of Council Directive 93/13/EEC of 5 April 1993 on unfair terms in consumer contracts

[14] Требование о прозрачности существует абсолютно независимо от требования, предъявляемого к контролерам данных с целью обеспечения наличия надлежащего правового основания обработки в соответствии со статьей 6.

[14] The requirement for transparency exists entirely independently of the requirement upon data controllers to ensure that there is an appropriate legal basis for the processing under Article 6.

Следует также избегать таких языковых слов-определителей, как “может”, “вероятно”, “некоторый”, “часто” и “возможно”. В тех случаях, когда контролеры данных предпочитают использовать нечеткие формулировки, в соответствии с принципом подотчетности они должны иметь возможность продемонстрировать то, почему нельзя избежать использования такого языка и каким образом это не подрывает справедливость обработки. Пункты и предложения должны быть хорошо структурированы, с использованием абзацев и отступов для обозначения иерархического характера отношений. Письмо должно быть в активной, а не в пассивной форме, а также следует избегать излишних существительных. Информация, предоставляемая субъекту данных, не должна содержать чрезмерное количество юридических, технических или специализированных формулировок или терминологии. В тех случаях, когда информация переводится на один или несколько других языков, контролер данных должен удостовериться в том, что все переводы точны. Также он должен убедиться в том, что фразеология и синтаксис имеют смысл в другом(их) языке(ах) с тем, чтобы не пришлось расшифровывать или заново толковать переведенный текст (перевод на один или несколько других языков должен быть осуществлен в том случае, когда контролер нацелен[15] на субъектов данных, говорящих на этих языках).

Language qualifiers such as “may”, “might”, “some”, “often” and “possible” should also be avoided. Where data controllers opt to use indefinite language, they should be able, in accordance with the principle of accountability,to demonstrate why the use of such language could not be avoided and how it does not undermine the fairness of processing. Paragraphs and sentences should be well structured, utilising bullets and indents to signal hierarchical relationships. Writing should be in the active instead of the passive form and excess nouns should be avoided. The information provided to a data subject should not contain overly legalistic, technical or specialist language or terminology. Where the information is translated into one or more other languages, the data controller should ensure that all the translations are accurate and that the phraseology and syntax makes sense in the second language(s) so that the translated text does not have to be deciphered or re-interpreted. (A translation in one or more other languages should be provided where the controller targets[15] data subjects speaking those languages.)

[15] Например, если контролер управляет веб-сайтом на соответствующем языке и/или предлагает варианты для конкретной страны и/или облегчает оплату товаров или услуг в валюте конкретной страны-участницы, то это может свидетельствовать о том, что контролер данных ориентирован на субъектов данных конкретной страны-участницы.

[15] For example, where the controller operates a website in the language in question and/or offers specific country options and/or facilitates the payment for goods or services in the currency of a particular member state then these may be indicative of a data controller targeting data subjects of a particular member state.

Предоставление информации детям и иным уязвимым группам населения

Providing information to children and other vulnerable people

Если контролер данных нацелен на детей[16] или знает или должен знать, что их товарами/ услугами пользуются, в частности, дети (в том числе, когда контролер полагается на согласие ребенка)[17], он должен убедиться, что лексика, тон и стиль используемого языка подходит для детей и вызывает интерес, чтобы ребенок-получатель распознал данное сообщение/информацию как направленное на него.[18]Полезный пример ориентированного на ребенка языка, используемого в качестве альтернативы исходному юридическому языку, можно найти в «Конвенции ООН о правах ребенка на языке, дружественном к детям». [19]

Where a data controller is targeting children[16] or is, or should be, aware that their goods/services are particularly utilised by children (including where the controller is relying on the consent of the child)[17], it should ensure that the vocabulary, tone and style of the language used is appropriate to and resonates with children so that the child addressee of the information recognises that the message/ information is being directed at them.[18] A useful example of child-centred language used as an alternative to the original legal language can be found in the “UN Convention on the Rights of the Child in Child Friendly Language”.[19]

[16] Термин «ребенок» не определен в рамках GDPR, однако WP29 признает, что в соответствии с Конвенцией ООН о правах ребенка, которая ратифицирована всеми государствами-членами ЕС, ребенок — это лицо в возрасте до 18 лет.

[16] The term “child” is not defined under the GDPR, however WP29 recognises that, in accordance with the UN Convention on the Rights of the Child, which all EU Member States have ratified, a child is a person under the age of 18 years.

[17] т. е. дети в возрасте 16 лет или старше (или, если в соответствии со статьей 8.1 GDPR в национальном законодательстве государства-члена установлен иной конкретный возраст согласия в промежутке от 13 до 16 лет, чтобы дети могли согласиться на предложение о предоставлении услуг информационного общества, дети, которые достигли национального возраста согласия).

[17] i.e. children of 16 years or older (or, where in accordance with Article 8.1 of the GDPR Member State national law has set the age of consent at a specific age between 13 and 16 years for children to consent to an offer for the provision of information society services, children who meet that national age of consent).

[18] Преамбула 38 гласит, что «Дети заслуживают особой защиты в отношении своих персональных данных, поскольку они могут быть менее осведомлены о сопутствующих рисках, последствиях и гарантиях и своих правах в отношении обработки персональных данных». Преамбула 58 гласит, что «Учитывая, что дети заслуживают особой защиты, любая информация и коммуникация, где обработка осуществляется в отношении ребенка, должны быть на таком ясном и понятном языке, который ребенок может легко понять».

[18] Recital 38 states that “Children merit special protection with regard to their personal data as they may be less aware of the risks, consequences and safeguards concerned and their rights in relation to the processing of personal data”. Recital 58 states that “Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand”

[19] https://www.unicef.org/rightsite/files/uncrcchilldfriendlylanguage.pdf

[19] https://www.unicef.org/rightsite/files/uncrcchilldfriendlylanguage.pdf

Позиция WP29 заключается в том, что прозрачность является самостоятельным правом, которое распространяется как на детей, так и на взрослых. WP29 особенно подчеркивает, что дети не теряют свои права субъектов данных в отношении прозрачности лишь потому, что согласие было дано/санкционировано лицом, обладающим родительскими правами в отношении ребенка, в ситуации, при которой применяется статья 8 GDPR. В то время как такое согласие во многих случаях будет предоставляться или санкционироваться на разовой основе лицом, обладающим родительскими правами, ребенок (как и любой другой субъект данных) имеет постоянное право на прозрачность в течение всего периода своего взаимодействия с данными контролером. Это согласуется со статьей 13 Конвенции ООН о правах ребенка, в которой говорится, что ребенок имеет право на свободу выражения, которая включает в себя право искать, получать и распространять информацию и идеи любого рода.[20] Важно отметить, что, предоставляя согласие, которое дается от имени ребенка в возрасте до определенного возраста,[21] статья 8 не предусматривает мер прозрачности, которые должны быть направлены на лицо, обладающее родительскими правами, которое дает данное согласие. Ввиду этого, контролеры данных в соответствии с особыми упоминаниями мер прозрачности в отношении детей в статье 12.1 (на основе Преамбул 38 и 58), обязаны убедиться, что в случае, если они нацелены на детей или знают, что их товары или услуги особенно используются детьми, которые являются достаточно грамотными, любая информация и взаимодействие должны выражаться ясным и понятным языком или в иной доступной форме, понятной детям. Однако, во избежание сомнений, WP29 признает, что в отношении очень маленьких или неграмотных детей меры прозрачности также могут быть адресованы лицам, обладающим родительскими правами в отношении ребенка, поскольку в большинстве случаев такие дети вряд ли поймут даже самые простые сообщения о прозрачности в письменной либо неписьменной форме.

WP29’s position is that transparency is a free-standing right which applies as much to children as it does to adults. WP29 emphasises in particular that children do not lose their rights as data subjects to transparency simply because consent has been given/ authorized by the holder of parental responsibility in a situation to which Article 8 of the GDPR applies. While such consent will, in many cases, be given or authorised on a once-off basis by the holder of parental responsibility, a child (like any other data subject) has an ongoing right to transparency throughout the continuum of their engagement with a data controller. This is consistent with Article 13 of the UN Convention on the Rights of the Child which states that a child has a right to freedom of expression which includes the right to seek, receive and impart information and ideas of all kinds.[20] It is important to point out that, while providing for consent to be given on behalf of a child when under a particular age, [21] Article 8 does not provide for transparency measures to be directed at the holder of parental responsibility who gives such consent. Therefore, data controllers have an obligation in accordance with the specific mentions of transparency measures addressed to children in Article 12.1 (supported by Recitals 38 and 58) to ensure that where they target children or are aware that their goods or services are particularly utilised by children of a literate age, that any information and communication should be conveyed in clear and plain language or in a medium that children can easily understand. For the avoidance of doubt however, WP29 recognises that with very young or pre-literate children, transparency measures may also be addressed to holders of parental responsibility given that such children will, in most cases, be unlikely to understand even the most basic written or non-written messages concerning transparency.

[20] Статья 13 Конвенции ООН о правах ребенка гласит: «Ребенок имеет право на свободу выражения мнений; это право включает свободу искать, получать и распространять информацию и идеи любого рода, независимо от границ, в устной, письменной или печатной форме, в виде произведений искусства или любых других средств по выбору ребенка».

[20] Article 13 of the UN Convention on the Rights of the Child states that: “The child shall have the right to freedom of expression; this right shall include freedom to seek, receive and impart information and ideas of all kinds, regardless of frontiers, either orally, in writing or in print, in the form of art, or through any other media of the child’s choice.”

[21] См. сноску 17 выше.

[21] See footnote 17 above.

Соответственно, если контролеру данных известно, что их товары/услуги используются (или направлены) на других уязвимых членов общества, включая людей с ограниченными возможностями или людей, которые могут иметь трудности с доступом к информации, то уязвимость таких субъектов данных должна учитываться контролером данных при оценке обеспечения соблюдения им своих обязательств по прозрачности в отношении таких субъектов данных.[22] Это связано с необходимостью контролера данных оценить вероятный уровень понимания его аудиторией, как обсуждалось выше в пункте 9.

Equally, if a data controller is aware that their goods/ services are availed of by (or targeted at) other vulnerable members of society, including people with disabilities or people who may have difficulties accessing information, the vulnerabilities of such data subjects should be taken into account by the data controller in its assessment of how to ensure that it complies with its transparency obligations in relation to such data subjects. [22] This relates to the need for a data controller to assess its audience’s likely level of understanding, as discussed above at paragraph 9.

[22] Например, Конвенция ООН о правах людей с ограниченными возможностями требует, чтобы людям с ограниченными возможностями предоставлялись соответствующие формы помощи и поддержки для обеспечения их доступа к информации.

[22] For example, the UN Convention on the Rights of Persons with Disabilities requires that appropriate forms of assistance and support are provided to persons with disabilities to ensure their access to information.

«В текстовом виде или другими способами»

“In writing or by other means”

В соответствии со статьей 12.1 предоставление либо обмен информацией субъектов данных по умолчанию осуществляется в текстовой форме.[23] (Статья 12.7 также предусматривает предоставление информации в сочетании со стандартизированными пиктограммами, этот вопрос рассматривается в разделе об инструментах визуализации в пунктах 49–53). Однако GDPR также позволяет использовать другие неуказанные «средства», включая электронные. Позиция WP29 в отношении текстовых электронных средств заключается в том, что, когда контролер данных поддерживает (либо частично или полностью осуществляет свою деятельность через) веб-сайт, WP29 рекомендует использовать многоуровневые политики приватности, которые позволят посетителям сайта переходить к определенным аспектам соответствующей политики, которые представляют для них наибольший интерес (см. более подробную информацию о многоуровневых политиках приватности в пунктах 35–37).[24] Тем не менее, вся информация, адресованная субъектам данных, также должна быть доступна им в отдельном месте или едином документе (будь то в цифровом или бумажном формате), к которому субъект данных может легко получить доступ, если он захочет ознакомиться со всей адресованной ему информацией. Важно отметить, что использование многоуровневого подхода не ограничивается только текстовыми электронными средствами для предоставления информации субъектам данных. Как говорится в пунктах 35–36 и 38 ниже, многоуровневый подход к предоставлению информации субъектам данных также может быть использован путем комбинации методов для обеспечения прозрачности в отношении обработки.

Under Article 12.1, the default position for the provision of information to, or communications with, data subjects is that the information is in writing. [23] (Article 12.7 also provides for information to be provided in combination with standardised icons and this issue is considered in the section on visualisation tools at paragraphs 49 to 53). However, the GDPR also allows for other, unspecified “means” including electronic means to be used. WP29’s position with regard to written electronic means is that where a data controller maintains (or operates, in part or in full, through) a website, WP29 recommends the use of layered privacy statements/ notices, which allow website visitors to navigate to particular aspects of the relevant privacy statement/ notice that are of most interest to them (see more on layered privacy statements/ notices at paragraph 35 to 37). [24]However,the entirety of the information addressed to data subjects should also be available to them in one single place or one complete document (whether in a digital or paper format) which can be easily accessed by a data subject should they wish to consult the entirety of the information addressed to them. Importantly, the use of a layered approach is not confined only to written electronic means for providing information to data subjects. As discussed at paragraphs 35 to 36 and 38 below, a layered approach to the provision of information to data subjects may also be utilised by employing a combination of methodsto ensure transparency in relation to processing.

[24] Признание со стороны WP29 преимуществ многоуровневых уведомлений уже отмечалось в Мнении 10/2004 о более согласованных положениях об информации и Мнении 02/2013 о приложениях на смарт-устройствах.

[24] The WP29’s recognition of the benefits of layered notices has already been noted in Opinion 10/2004 on More Harmonised Information Provisions and Opinion 02/2013 on apps on smart devices.

Разумеется, использование цифровых многоуровневых политик приватности не является единственными текстовым электронным средством, которым могут воспользоваться контролеры. К другим электронным средствам относятся контекстные всплывающие «точно в срок» уведомления, уведомления в формате 3D touch или hover-over, а также панели приватности. Электронные средства в нетекстовой форме, которые могут использоваться в дополнение к многоуровневой политике приватности могут включать в себя видео и голосовые оповещения со смартфонов или IoT.[25] В качестве «иных средств», которые не обязательно являются электронными, могут выступать, например, мультфильмы, инфографика или блок-схемы программ. В тех случаях, когда информация о прозрачности предназначена конкретно для детей, контролеры должны рассмотреть вопрос о том, какие виды средств могут быть в особенности доступны детям (например, среди прочего это могут быть комиксы/мультфильмы, графические изображения, анимации и т.д.).

Of course, the use of digital layered privacy statements/ notices is not the only written electronic means that can be deployed by controllers. Other electronic means include “justin-time” contextual pop-up notices, 3D touch or hover-over notices, and privacy dashboards. Non-written electronic means which may be used in addition to a layered privacy statement/ notice might include videos and smartphone or IoT voice alerts.[25] “Other means”, which are not necessarily electronic, might include, for example, cartoons, infographics or flowcharts. Where transparency information is directed at children specifically, controllers should consider what types of measures may be particularly accessible to children (e.g. these might be comics/ cartoons, pictograms, animations, etc. amongst other measures).

[25] Эти примеры электронных средств являются всего лишь ориентировочными, и контролеры данных могут разрабатывать новые инновационные средства в соответствии со статьей 12.

[25] These examples of electronic means are indicative only and data controllers may develop new innovative methods to comply with Article 12.

[26] Мнение 8/2014 WP29 принятое 16 сентября 2014 года.

[26] WP29 Opinion 8/2014 adopted on 16 September 2014.

Крайне важно, чтобы метод (методы), выбранный (выбранные) для предоставления информации, подходил(и) к конкретным обстоятельствам, т. е. способу взаимодействия владельца данных и субъекта данных или способу сбора информации о субъекте данных. Например, только предоставление информации в электронном текстовом виде, таком как политике приватности, доступной в режиме онлайн, может быть неподходящим/неосуществимым, если устройство, собирающее персональные данные, не имеет экрана (например, IoT/смарт-устройства) для доступа к веб-сайту/отображения такой текстовой информации. В таких случаях следует рассмотреть соответствующие дополнительные альтернативные средства. Например, предоставление политики приватности в печатном руководстве по эксплуатации или указание URL адреса веб-сайта (т.е. конкретной страницы веб-сайта), на которой политика приватности , доступная в режиме онлайн может встретиться в печатных инструкциях или в упаковке. Аудио (устное) предоставление информации также может быть осуществлено дополнительно, если устройство без экрана обладает звуковыми возможностями. WP29 в своем Мнении о последних достижениях в отношении Интернет устройств (такие как использование QR-кодов, размещенных на объектах Интернет устройствах,[26] чтобы при сканировании QR-код отображал необходимую информацию о прозрачности) ранее давала рекомендации относительно прозрачности и предоставляла информации субъектам данных. Эти рекомендации остаются применимыми в рамках GDPR.

It is critical that the method(s) chosen to provide the information is/are appropriate to the particular circumstances, i.e. the manner in which the data controller and data subject interact or the manner in which the data subject’s information is collected. For example, only providing the information in electronic written format, such as in an online privacy statement/notice may not be appropriate/ workable where a device that captures personal data does not have a screen (e.g. IoT devices/ smart devices) to access the website/ display such written information. In such cases, appropriate alternative additional means should be considered, for example providing the privacy statement/ notice in hard copy instruction manuals or providing the URL website address (i.e. the specific page on the website) at which the online privacy statement/ notice can be found in the hard copy instructions or in the packaging. Audio (oral) delivery of the information could also be additionally provided if the screenless device has audio capabilities. WP29 has previously made recommendations around transparency and provision of information to data subjects in its Opinion on Recent Developments in the Internet of Things[26] (such as the use of QR codes printed on internet of things objects, so that when scanned, the QR code will display the required transparency information). These recommendations remain applicable under the GDPR.

“..информация может быть предоставлена устно”

“..the information may be provided orally”

Статья 12.1 в частности предусматривает, что информация может быть предоставлена в устной форме субъекту данных по запросу при условии, что его личность будет доказана другими средствами. Иными словами, используемые средства должны быть больше, чем просто утверждение лица о том, что оно является конкретным поименованным лицом, и эти средства должны позволять контролеру удостовериться в личности субъекта данных с достаточной степенью уверенности. Требование о проверке личности субъекта данных до предоставления информации в устной форме применимо только к информации, касающейся осуществления конкретным субъектом данных своих прав в соответствии со статьями 15-22 и 34. В соответствии со статьями 13 и 14 данное предварительное условие предоставления устной информации не может применяться к предоставлению общей информации о частной жизни, поскольку информация, требуемая в соответствии этими статьями, должна быть также доступна будущим пользователям/клиентам (личность которых контролер данных не сможет проверить). Следовательно, информация, подлежащая предоставлению в соответствии со статьями 13 и 14, может быть предоставлена в устной форме без предъявления контролером требования о подтверждении личности субъекта данных.

Article 12.1 specifically contemplates that information may be provided orally to a data subject on request, provided that their identity is proven by other means. In other words, the means employed should be more than reliance on a mere assertion by the individual that they are a specific named person and the means should enable the controller to verify a data subject’s identity with sufficient assurance. The requirement to verify the identity of the data subject before providing information orally only applies to information relating to the exercise by a specific data subject of their rights under Articles 15 to 22 and 34. This precondition to the provision of oral information cannot apply to the provision of general privacy information as outlined in Articles 13 and 14, since information required under Articles 13 and 14 must also be made accessible to future users/ customers (whose identity a data controller would not be in a position to verify). Hence, information to be provided under Articles 13 and 14 may be provided by oral means without the controller requiring a data subject’s identity to be proven.

Устное предоставление информации, предусмотренное в рамках статей 13 и 14, не обязательно означает устную информацию, предоставленную лично (т. е. лично или по телефону). Автоматизированная устная информация может предоставляться в дополнение к письменным средствам. Например, это может применяться в отношении лиц с ослабленным зрением при взаимодействии с поставщиками услуг информационного общества или в рамках смарт-устройств не имеющих экрана, о которых говорится выше в пункте 19. Если контролер данных решил предоставить субъекту данных информацию в устной форме или субъект данных просит о предоставлении информации или сообщения в устной форме, позиция WP29 заключается в том, что контролер данных должен разрешить субъекту данных заново переслушать записанные сообщения. Это является обязательным требованием в тех случаях, когда просьба о предоставлении устной информации касается лиц с нарушениями зрения или других субъектов данных, которые могут испытывать трудности с доступом к информации в письменной форме или ее пониманием. Контролер данных должен также убедиться в том, что он имеет запись и может продемонстрировать (для целей соблюдения требования об отчетности): (i) запрос информации в устной форме, (ii) метод, с помощью которого была осуществлена проверка личности субъекта данных (там, где это применимо – см. выше в параграфе 20) и (iii) факт предоставления информации субъекту данных.

The oral provision of information required under Articles 13 and 14 does not necessarily mean oral information provided on a person-to-person basis (i.e. in person or by telephone). Automated oral information may be provided in addition to written means. For example, this may apply in the context of persons who are visually impaired when interacting with information society service providers, or in the context of screenless smart devices, as referred to above at paragraph 19. Where a data controller has chosen to provide information to a data subject orally, or a data subject requests the provision of oral information or communications, WP29’s position is that the data controller should allow the data subject to re-listen to pre-recorded messages. This is imperative where the request for oral information relates to visually impaired data subjects or other data subjects who may have difficulty in accessing or understanding information in written format. The data controller should also ensure that it has a record of, and can demonstrate (for the purposes of complying with the accountability requirement):(i) the request for the information by oral means,(ii) the method by which the data subject’s identity was verified (where applicable – see above at paragraph 20) and (iii) the fact that information was provided to the data subject.

“Бесплатно”

“Free of charge”

В соответствии со статьей 12.5,[27] контролеры данных обычно не могут взимать с субъектов данных плату за предоставление информации в соответствии со статьями 13 и 14 или за сообщения и действия, предпринимаемые в соответствии со статьями 15-22 (о правах субъектов данных) и статьей 34 (уведомление субъекта данных о нарушении безопасности персональных данных).[]28 Этот аспект прозрачности также означает, что любая информация, предоставляемая в соответствии с требованиями прозрачности, не может быть обусловлена финансовыми операциями, например, оплатой или покупкой услуг или товаров.[29]

Under Article 12.5,[27] data controllers cannot generally charge data subjects for the provision of information under Articles 13 and 14, or for communications and actions taken under Articles 15 — 22 (on the rights of data subjects) and Article 34 (communication of personal data breaches to data subjects).[28] This aspect of transparency also means that any information provided under the transparency requirements cannot be made conditional upon financial transactions, for example the payment for, or purchase of, services or goods.[29]

[27] В данной статье говорится, что «Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно».

[27] This states that “Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge.”

[28] Однако в соответствии со статьей 12.5 контролер может взимать разумную плату, если, например, запрос субъекта данных в отношении информации в соответствии со статьями 13 и 14, или прав в соответствии со статьями 15-22, или статьей 34 является избыточным или явно необоснованным. (Отдельно в отношении права на доступ в соответствии со статьей 15.3 контролер может взимать разумную плату, основанную на административных расходах на любую дополнительную копию персональных данных, запрашиваемую субъектом данных).

[28] However, under Article 12.5 the controller may charge a reasonable fee where, for example, a request by a data subject in relation to the information under Article 13 and 14 orthe rights under Articles 15 — 22 or Article 34 is excessive or manifestly unfounded. (Separately, in relation to the right of access under Article 15.3 a controller may charge a reasonable fee based on administrative costs for any further copy of the personal data which is requested by a data subject).

[29] В качестве иллюстрации, если персональные данные субъекта данных собираются в связи с покупкой, информация, которая должна быть предоставлена в соответствии со статьей 13, должна быть предоставлена до осуществления платежа и в тот момент, когда информация собирается, а не после того, как сделка была заключена. В то же время, когда субъекту данных предоставляются бесплатные услуги, информация по статье 13 должна предоставляться до, а не после регистрации, поскольку статья 13.1 требует предоставления информации «в то время, когда персональные данные будут получены».

[29] By way of illustration, if a data subject’s personal data is being collected in connection with a purchase, the information which is required to be provided under Article 13 should be provided prior to payment being made and at the point at which the information is being collected, rather than after the transaction has been concluded. Equally though, where free services are being provided to the data subject, the Article 13 information must be provided prior to, rather than after, sign-up given that Article 13.1 requires the provision of the information “at the time when the personal data are obtained”.

Информация, предоставляемая субъекту данных – статьи 13 и 14

Information to be provided to the data subject – Articles 13 & 14

Содержание

Content

В GDPR перечислены категории информации, которая должна быть предоставлена субъекту данных в связи с обработкой его персональных данных как в случае сбора персональных данных от субъекта данных (статья 13), так и при получении персональных данных из другого источника (статья 14). В таблице в Приложении к этим руководящим принципам обобщены категории информации, которая должна быть предоставлена в соответствии со статьями 13 и 14. В ней также рассматриваются характер, объем и содержание этих требований. Для большей ясности, позиция WP29 заключается в том, что статусы информации, подлежащей предоставлению в соответствии с параграфами 1 и 2 статей 13 и 14 соответственно, равны. Вся информация в этих параграфах имеет одинаковое значение и должна быть предоставлена субъекту данных.

The GDPR lists the categories of information that must be provided to a data subject in relation to the processing of their personal data where it is collected from the data subject (Article 13) or obtained from another source (Article 14). The table in the Annex to these guidelines summarises the categories of information that must be provided under Articles 13 and 14. It also considers the nature, scope and content of these requirements. For clarity, WP29’s position is that there is no difference between the status of the information to be provided under sub-article 1 and 2 of Articles 13 and 14 respectively. All of the information across these sub-articles is of equal importance and must be provided to the data subject.

«Надлежащие меры»

“Appropriate measures”

Наряду с содержанием, важна также форма и способ предоставления информации, требуемой в соответствии со статьями 13 и 14, субъекту данных. Уведомление, содержащее такую информацию, часто называют уведомлением о защите данных, уведомлением о приватности, политикой приватности, заявлением о приватности или уведомлением о добросовестной обработке. В GDPR не прописывается формат или способ предоставления такой информации субъекту данных, но ясно говорится о том, что ответственность за принятие «надлежащих мер» в отношении предоставления требуемой информации в целях обеспечения прозрачности лежит на контролере данных. Это означает, что контролер данных должен учитывать все обстоятельства сбора и обработки данных при принятии решения о надлежащем способе и форме предоставления информации. В частности, необходимо оценить надлежащие меры с учетом опыта пользователей продукта/услуги. Это означает принятие во внимание используемого устройства (если это применимо), характера интерфейсов/взаимодействий пользователя с контролером данных («путешествие» пользователя) и ограничений, которые влекут за собой эти факторы. Как отмечалось выше в пункте 17, WP29 рекомендует, чтобы в тех случаях, когда контролер данных присутствует онлайн, было представлена многоуровневая политики приватности, доступная в режиме онлайн.

As well as content, the form and manner in which the information required under Articles 13 and 14 should be provided to the data subject is also important. The notice containing such information is frequently referred to as a data protection notice, privacy notice, privacy policy, privacy statement or fair processing notice. The GDPR does not prescribe the format or modality by which such information should be provided to the data subject but does make it clear that it is the data controller’s responsibility to take “appropriate measures” in relation to the provision of the required information for transparency purposes. This means that the data controller should take into account all of the circumstances of the data collection and processing when deciding upon the appropriate modality and format of the information provision. In particular, appropriate measures will need to be assessed in light of the product/service user experience. This means taking account of the device used (if applicable), the nature of the user interfaces/ interactions with the data controller (the user “journey”) and the limitations that those factors entail. As noted above at paragraph 17, WP29 recommends that where a data controller has an online presence, an online layered privacy statement/ notice should be provided.

Для того чтобы помочь определить наиболее подходящий способ предоставления информации, перед тем, как «пустить ее в эфир», контролеры данных, возможно, захотят опробовать различные способы путем пользовательского тестирования (например, холл-тесты или другие стандартизированные тесты читабельности или доступности), для того, чтобы получить обратную связь о доступности, понятности и простоте в использовании предлагаемой меры для пользователей. (См. также дополнительные замечания выше по другим механизмам проведения пользовательского тестирования в пункте 9). Документальное фиксирование данного подхода должно также помочь контролерам данных в выполнении их обязательств по отчетности путем демонстрации того, каким образом инструмент/подход, выбранный для передачи информации, является наиболее подходящим в данных обстоятельствах.

In order to help identify the most appropriate modality for providing the information, in advance of “going live”, data controllers may wish to trial different modalities by way of user testing (e.g. hall tests, or other standardised tests of readability or accessibility) to seek feedback on how accessible, understandable and easy to use the proposed measure is for users. (See also further comments above on other mechanisms for carrying out user testing at paragraph 9). Documenting this approach should also assist data controllers with their accountability obligations by demonstrating how the tool/ approach chosen to convey the information is the most appropriate in the circumstances.

Сроки предоставления информации

Timing for provision of information

Статьи 13 и 14 закрепляют информацию, которую должна быть предоставлена субъекту данных на начальном этапе процесса обработки. Статья 13 применяет в том случае, когда данные собираются у субъекта данных, включая персональные данные, которые: • субъект данных сознательно предоставляет контролеру данных (например, при заполнении онлайн-формы); или • контролер данных собирает у субъекта данных (например, с помощью устройств автоматического сбора данных или программного обеспечения для сбора данных, таких как камеры, сетевое оборудование, системы слежения по Wi-Fi, RFID или других типов сенсоров). Статья 14 применяется в том случае, когда данные не были получены от субъекта данных, включая данные, полученные контролером данных из таких источников, как: • контролеры данных третьих лиц; • общедоступные источники; • брокеры данных; • другие субъекты данных.

Articles 13 and 14 set out information which must be provided to the data subject at the commencement phase of the processing cycle. Article 13 applies to the scenario where the data is collected from the data subject. This includes personal data that: • a data subject consciously provides to a data controller (e.g. when completing an online form); or • a data controller collects from a data subject by observation (e.g. using automated data capturing devices or data capturing software such as cameras, network equipment, Wi-Fi tracking, RFID or other types of sensors). Article 14 applies in the scenario where the data have not been obtained from the data subject. This includes personal data which a data controller has obtained from sources such as: • third party data controllers; • publicly available sources; • data brokers; or • other data subjects.

В отношении сроков предоставления этой информации, её своевременное предоставление является основополагающим элементом обязательства по обеспечению прозрачности и обязательства по справедливой обработке данных. В случае применения статьи 13, в соответствии со статьей 13.1, информация должна быть предоставлена «в момент получения персональных данных». В случае косвенного получения персональных данных в соответствии со статьей 14, сроки, в течение которых субъекту данных должна быть предоставлена требуемая информация, закреплены в статье 14.3 (а)-(с) следующим образом: • Общее требование заключается в том, что информация должна быть предоставлена в «разумный срок» после получения персональных данных и не позднее одного месяца, «с учетом конкретных обстоятельств обработки персональных данных» (статья 14.3(а)). • Общий срок в один месяц, установленный в статье 14.3(а), может быть дополнительно сокращен в соответствии со статьей 14.3(b)[31], которая предусматривает ситуацию, когда данные используются для связи с субъектом данных. В таком случае, информация должна быть предоставлена не позднее, чем в момент первой связи с субъектом данных. Если первая связь осуществляется до истечения месячного срока после получения персональных данных, то информация должна быть предоставлена не позднее, чем в момент первой связи с субъектом данных несмотря на то, что один месяц с момента получения данных не истек. Если первая связь с субъектом данных происходит более чем через месяц после получения персональных данных, то продолжает действовать статья 14.3(а). В соответствии с данной статьей информация, предусмотренная статьей 14, должна быть предоставлена субъекту данных не позднее, чем в течение одного месяца с момента ее получения. • Общий срок в один месяц, предусмотренный статьей 14.3 (а), также может быть сокращен в соответствии со статьей 14.3 (с)[32], которая предусматривает ситуацию, когда данные раскрываются другому получателю (независимо от того, является ли он третьей стороной либо же нет)[33]. В данном случае, информация должна быть предоставлена не позднее, чем в момент ее первого раскрытия. В такой ситуации, если раскрытие происходит до истечения месячного срока, то информация должна быть предоставлена не позднее, чем на момент ее первого раскрытия несмотря на то, что один месяц с момента получения данных не истек. Как и в случае со статьей 14.3(b), если раскрытие персональных данных происходит более чем через месяц после их получения, то вновь будет применяться статья 14.3(а). В данном случае, информация, предусмотренная статьей 14, должна быть предоставлена субъекту данных не позднее, чем в течение одного месяца с момента ее получения.

As regards timing of the provision of this information, providing itin a timely manner is a vital element of the transparency obligation and the obligation to process data fairly. Where Article 13 applies, under Article 13.1 the information must be provided “at the time when personal data are obtained”. In the case of indirectly obtained personal data under Article 14, the timeframes within which the required information must be provided to the data subject are set out in Article 14.3 (a) to (c) as follows: • The general requirement is that the information must be provided within a “reasonable period” after obtaining the personal data and no later than one month, “having regard to the specific circumstances in which the personal data are processed” (Article 14.3(a)). • The general one-month time limit in Article 14.3(a) may be further curtailed under Article 14.3(b), [31] which provides for a situation where the data are being used for communication with the data subject. In such a case, the information must be provided at the latest at the time of the first communication with the data subject. If the first communication occurs prior to the one-month time limit after obtaining the personal data, then the information must be provided at the latest at the time of the first communication with the data subject notwithstanding that one month from the point of obtaining the data has not expired. If the first communication with a data subject occurs more than one month after obtaining the personal data then Article 14.3(a) continues to apply, so that the Article 14 information must be provided to the data subject at the latest within one month after it was obtained. • The general one-month time limit in Article 14.3(a) can also be curtailed under Article 14.3(c)[32] which provides for a situation where the data are being disclosed to another recipient (whether a third party or not)[33]. In such a case, the information must be provided at the latest at the time of the first disclosure. In this scenario, if the disclosure occurs prior to the one-month time limit, then the information must be provided at the latest at the time of that first disclosure, notwithstanding that one month from the point of obtaining the data has not expired. Similar to the position with Article 14.3(b), if any disclosure of the personal data occurs more than one month after obtaining the personal data, then Article 14.3(a) again continues to apply, so that the Article 14 information must be provided to the data subject at the latest within one month after it was obtained.

[31] Использование формулировки «если персональные данные будут использоваться для…» в статье 14.3(b) указывает на конкретизацию общей позиции в отношении максимального срока, установленного в статье 14.3(a), но не заменяет его.

[31]The use of the words “if the personal data are to be used for..” in Article 14.3(b) indicates a specification to the general position with regard to the maximum time limit set out in Article 14.3(a) but does not replace it.

[32] Использование формулировки «если предусматривается раскрытие информации иному получателю…» в статье 14.3(с) также указывает на конкретизацию общей позиции в отношении максимального срока, установленного в статье 14.3(а), но не заменяет его.

[32] The use of the words “if a disclosure to anther recipient is envisaged…” in Article 14.3(c) likewise indicates a specification to the general position with regard to the maximum time limit set out in Article 14.3(a) but does not replace it.

[33] Статья 4.9 дает определение понятию «получатель» и уточняет, что получатель, которому раскрывается персональные данные, не обязательно должен быть третьей стороной. Таким образом, получатель может быть контролером данных, со-контролером или процессором.

[33] Article 4.9 defines “recipient” and clarifies that a recipient to whom personal data are disclosed does not have to be a third party. Therefore, a recipient may be a data controller, joint controller or processor.

Таким образом, в любом случае, максимальный срок, в течение которого информация по статье 14 должна быть предоставлена субъекту данных, составляет один месяц. Тем не менее, принципы справедливости и подотчетности в соответствии с GDPR требуют, чтобы при принятии решения о моменте предоставления информации, предусмотренную статьей 14, контролерами данных всегда учитывались разумные ожидания субъектов данных, воздействие, которое обработка может оказать на них, и их способность осуществлять свои права в отношении данной обработки. Принцип подотчетности требует от контролеров продемонстрировать целесообразность своего решения и обосновать, почему информация была предоставлена в тот момент. На практике данные требования могут оказаться трудно выполнимыми в том случае, если информация будет предоставлена в последний момент. В связи с этим, в преамбуле 39, среди прочего, предусмотрено, что субъектов данных требуется «уведомить о рисках, правилах, гарантиях и правах, связанных с обработкой персональных данных, и о том, как осуществлять свои права в связи с такой обработкой». Преамбула 60 также закрепляет требование о том, чтобы субъект данных был проинформирован о существовании процедуры обработки и ее целях в контексте принципов справедливой и прозрачной обработки. По всем этим причинам позиция WP29 заключается в том, что по мере возможности контролеры данных должны, в соответствии с принципом справедливости, предоставлять информацию субъектам данных задолго до истечения установленных сроков. Дополнительные комментарии относительно разумности срока, существующего между уведомлением субъектов данных об обработке и такими процессами обработки, которые оказывают фактическое воздействие, изложены в пунктах 30-31 и 48.

Therefore, in any case, the maximum time limit within which Article 14 information must be provided to a data subject is one month. However, the principles of fairness and accountability under the GDPR require data controllers to always consider the reasonable expectations of data subjects, the effect that the processing may have on them and their ability to exercise their rights in relation to that processing, when deciding at what point to provide the Article 14 information. Accountability requires controllers to demonstrate the rationale for their decision and justify why the information was provided at the time it was. In practice, it may be difficult to meet these requirements when providing information at the ‘last moment’. In this regard, Recital 39 stipulates, amongst other things, that data subjects should be “made aware of the risks, rules, safeguards and rights in relation to the processing of personal data and how to exercise their rights in relation to such processing”. Recital 60 also refers to the requirement that the data subject be informed of the existence of the processing operation and its purposes in the context of the principles of fair and transparent processing. For all of these reasons, WP29’s position is that, wherever possible, data controllers should, in accordance with the principle of fairness, provide the information to data subjects well in advance of the stipulated time limits. Further comments on the appropriateness of the timeframe between notifying data subjects of the processing operations and such processing operations actually taking effect are set out in paragraphs 30 to 31 and 48.

Изменения информации, изложенной в статье 13 и статье 14

Changes to Article 13 and Article 14 information

Ответственность в отношении прозрачности распространяется не только на момент сбора персональных данных, но и на весь период существования обработки, независимо от передаваемой информации или сообщения. Это относится, например, к изменению содержания существующих политик приватности. Контролер должен придерживаться тех же принципов при передаче как первоначальной политики приватности, так и любых её последующих существенных или значительных изменений. Факторы, которые контролеры должны учитывать при оценке того, что является существенным или значительным изменением, включают в себя влияние на субъектов данных (включая их способность осуществлять свои права), а также то, насколько неожиданными/удивительными будет изменение для субъектов данных. Изменения в политике приватности, которые всегда должны доводиться до сведения субъектов данных, включают, среди прочего: изменение цели обработки; изменение личности контролера; или изменение того, каким образом субъекты данных могут осуществлять свои права в отношении обработки. В отличие от этого, пример изменений политики приватности, которые не рассматриваются WP29 в качестве существенных или значительных, включает исправление орфографических или стилистических/ грамматических ошибок. Поскольку большинство существующих клиентов или пользователей будут лишь просматривать сообщения об изменениях в политике приватности, контролеру следует принять все необходимые меры для обеспечения того, чтобы эти изменения были доведены до сведения таким образом, чтобы большинство получателей действительно заметили их. Это означает, например, что уведомление об изменениях всегда должно направляться с помощью соответствующей формы (например, электронная почта, задокументированное письмо, всплывающее окно на веб-странице или другая форма, которая эффективно привлечет внимание субъекта данных), конкретно посвященной этим изменениям (например, не в сочетании с прямым маркетинговым контентом). Важно отметить, что такое сообщение должно отвечать требованиям статьи 12 в отношении краткости, прозрачности, понятности, легкодоступности, а также должно быть сделано на ясном и понятном языке. Ссылки в политике приватности на то, что субъект данных должен регулярно проверять политику приватности на предмет изменений или обновлений, считаются не только недостаточными, но и несправедливыми в контексте статьи 5.1 (а). Дальнейшие руководящие указания в отношении сроков уведомления об изменениях в субъектах данных рассматриваются ниже в параграфах 30 и 31.

Being accountable as regards transparency applies not only at the point of collection of personal data but throughout the processing life cycle, irrespective of the information or communication being conveyed. This is the case, for example, when changing the contents of existing privacy statements/ notices. The controller should adhere to the same principles when communicating both the initial privacy statement/ notice and any subsequent substantive or material changes to this statement/ notice. Factors which controllers should consider in assessing what is a substantive or material change include the impact on data subjects (including their ability to exercise their rights), and how unexpected/ surprising the change would be to data subjects. Changes to a privacy statement/ notice that should always be communicated to data subjects include inter alia: a change in processing purpose; a change to the identity of the controller; or a change as to how data subjects can exercise their rights in relation to the processing. Conversely, an example of changes to a privacy statement/ notice which are not considered by WP29 to be substantive or material include corrections of misspellings, or stylistic/ grammatical flaws. Since most existing customers or users will only glance over communications of changes to privacy statements/ notices, the controller should take all measures necessary to ensure that these changes are communicated in such a way that ensures that most recipients will actually notice them. This means, for example, that a notification of changes should always be communicated by way of an appropriate modality (e.g. email, hard copy letter, pop-up on a webpage or other modality which will effectively bring the changes to the attention of the data subject) specifically devoted to those changes (e.g. not together with direct marketing content), with such a communication meeting the Article 12 requirements of being concise, transparent, intelligible, easily accessible and using clear and plain language. References in the privacy statement/ notice to the effect that the data subject should regularly check the privacy statement/notice for changes or updates are considered not only insufficient but also unfair in the context of Article 5.1(a). Further guidance in relation to the timing for notification of changes to data subjects is considered below at paragraph 30 to 31.

Сроки уведомления об изменениях в отношении информации, изложенной в статье 13 и статье 14

Timing of notification of changes to Article 13 and Article 14 information

В GDPR ничего не говорится о требованиях к срокам (и, более того, о методах), которые применяются к уведомлениям об изменениях информации, которая ранее была предоставлена субъекту данных согласно статьям 13 или 14 (исключая дальнейшую целевую обработку, в этом случае информация об этой дальнейшей цели должна быть предоставлена до начала этой дальнейшей обработки согласно статьям 13.3 и 14.4 – см. ниже, в параграфе 45). Однако, как было отмечено выше в контексте сроков предоставления информации по статье 14, контролер данных должен вновь учитывать принципы справедливости и подотчетности в плане любых разумных ожиданий от субъекта данных или потенциального воздействия этих изменений на субъекта данных. Если изменение информации свидетельствует о фундаментальном изменении характера обработки (например, расширение категорий получателей или введение передачи в третью страну) или об изменении, которое может не быть фундаментальным с точки зрения операции обработки, но которое может быть актуальным и влиять на субъекта данных, то такая информация должна быть предоставлена субъекту данных задолго до того, как изменение фактически вступит в силу, а метод, используемый для доведения изменений до сведения субъекта данных, должен быть исчерпывающим и действенным. Это необходимо для того, чтобы субъект данных не «пропустил» изменение, и чтобы субъект данных имел достаточные сроки для того, чтобы: a) рассмотреть характер и последствия изменения и b) реализовать свои права в соответствии с GDPR в отношении изменения (например, отозвать согласие или возразить против обработки).

The GDPR is silent on the timing requirements (and indeed the methods) that apply for notifications of changes to information that has previously been provided to a data subject under Article 13 or 14 (excluding an intended further purpose for processing, in which case information on that further purpose must be notified prior to the commencement of that further processing as per Articles 13.3 and 14.4 – see below at paragraph 45). However, as noted above in the context of the timing for the provision of Article 14 information, the data controller must again have regard to the fairness and accountability principles in terms of any reasonable expectations of the data subject, or the potential impact of those changes upon the data subject. If the change to the information is indicative of a fundamental change to the nature of the processing (e.g. enlargement of the categories of recipients or introduction of transfers to a third country) or a change which may not be fundamental in terms of the processing operation but which may be relevant to and impact upon the data subject, then that information should be provided to the data subject well in advance of the change actually taking effect and the method used to bring the changes to the data subject’s attention should be explicit and effective. This is to ensure the data subject does not “miss” the change and to allow the data subject a reasonable timeframe for them to (a) consider the nature and impact of the change and (b) exercise their rights under the GDPR in relation to the change (e.g. to withdraw consent or to object to the processing).

Контролеры данных должны внимательно изучать обстоятельства и контекст каждой ситуации, в которой требуется обновить информацию о прозрачности, в том числе потенциальное воздействие изменений на субъект данных, и способа уведомления об изменениях. Контролеры данных также должны иметь возможность продемонстрировать то, как промежуток времени между уведомлением об изменениях и введенное в действие изменение удовлетворяет принципу справедливости по отношению к субъекту данных. В свою очередь, позиция WP29 заключается в том, что, в соответствии с принципом справедливости, при уведомлении о подобных изменениях субъектов данных, контролер должен также объяснить, каковы будут вероятные последствия этих изменений для субъекта данных. Однако соблюдение требований прозрачности не «исправляет» ситуацию, когда изменения в обработке настолько существенны, что обработка становится совершенно иной по своей природе, чем раньше. WP29 подчеркивает что все другие правила в GDPR, включая правила, относящиеся к несовместимой дальнейшей обработке, продолжают применяться независимо от соблюдения обязательств по обеспечению прозрачности.

Data controllers should carefully consider the circumstances and context of each situation where an update to transparency information is required, including the potential impact of the changes upon the data subject and the modality used to communicate the changes, and be able to demonstrate how the timeframe between notification of the changes and the change taking effect satisfies the principle of fairness to the data subject. Further, WP29’s position is that, consistent with the principle of fairness, when notifying such changes to data subjects, a data controller should also explain what will be the likely impact of those changes on data subjects. However, compliance with transparency requirements does not “whitewash” a situation where the changes to the processing are so significant that the processing becomes completely different in nature to what it was before. WP29 emphasises that all of the other rules in the GDPR, including those relating to incompatible further processing, continue to apply irrespective of compliance with the transparency obligations.

Кроме того, даже если информация о прозрачности (например, содержащаяся в политике приватности) не претерпевает существенных изменений, субъекты данных, которые пользовались услугой в течение значительного периода времени, скорее всего, не будут отзывать информацию, предоставленную им в самом начале в соответствии со статьями 13 и/или 14. WP29 рекомендует, чтобы контролеры предоставляли постоянный легкий доступ к информации для повторного ознакомления со сферой обработки данных. В соответствии с принципом подотчетности контролеры должны также рассмотреть вопрос о том, уместно ли им и с какими интервалами предоставлять экспресс напоминания субъектам данных о существовании политики приватности и о том, где они могут ее найти.

Additionally, even when transparency information (e.g. contained in a privacy statement/notice) does not materially change, it is likely that data subjects who have been using a service for a significant period of time will not recall the information provided to them at the outset under Articles 13 and/or 14. WP29 recommends that controllers facilitate data subjects to have continuing easy access to the information to re-acquaint themselves with the scope of the data processing. In accordance with the accountability principle, controllers should also consider whether, and at what intervals, it is appropriate for them to provide express reminders to data subjects as to the fact of the privacy statement/ notice and where they can find it.

Режим — формат предоставления информации

Modalities — format of information provision

В статьях 13 и 14 говорится об обязанности контролера данных «предоставлять субъекту данных все следующие сведения…». Ключевое слово здесь — «предоставлять». Это означает, что контролер данных должен предпринять активные действия для предоставления соответствующей информации субъекту данных или для активного направления данных субъекту в зависимости от его местонахождения (например, посредством прямой ссылки, использования QR-кода и т.д.). Субъект данных не должен активно искать информацию, о которой идет речь в этих статьях, среди другой информации (например, об условиях пользования веб-сайтом или приложением). Пример в пункте 11 демонстрирует этот момент. Как отмечалось выше в пункте 17, WP29 рекомендует, чтобы вся информация, адресованная субъектам данных, была также доступна им в одном месте или содержалась в одном полном документе (например, в цифровой форме на веб-сайте или в бумажном формате), к которому можно было легко получить доступ в том случае, если субъекты данных захотят ознакомиться со всей информацией.

Both Articles 13 and 14 refer to the obligation on the data controller to “provide the data subject with all of the following information…” The operative word here is “provide”. This means that the data controller must take active steps to furnish the information in question to the data subject or to actively direct the data subject to the location of it (e.g. by way of a direct link, use of a QR code, etc.). The data subject must not have to actively search for information covered by these articles amongst other information, such as terms and conditions of use of a website or app. The example at paragraph 11 illustrates this point. As noted above at paragraph 17, WP29 recommends that the entirety of the information addressed to data subjects should also be available to them in one single place or one complete document (e.g. whether in a digital form on a website or in paper format) which can be easily accessed should they wish to consult the entirety of the information.

В GDPR существует внутренняя напряженность между, с одной стороны, требованиями предоставлять субъектам данных исчерпывающую информацию, которая требуется в соответствии с GDPR и, с другой стороны, тем, чтобы делать это в лаконичной, прозрачной, понятной и легко доступной форме. Исходя из этого, а также принимая во внимание базовые принципы подотчетности и справедливости, контролеры должны провести свой собственный анализ характера, обстоятельств, объема и контекста обработки персональных данных, которые они осуществляют. В связи с этим, в рамках правовых требований GDPR и с учетом рекомендаций, содержащихся в данных Руководящих принципах, в частности, в параграфе 36 ниже, контролеры должны принять решение о том, как расставить приоритеты в отношении информации, которая должна быть предоставлена субъектам данных, и каковы соответствующие уровни детализации и методы передачи информации.

There is an inherent tension in the GDPR between the requirements on the one hand to provide the comprehensive information to data subjects which is required under the GDPR, and on the other hand do so in a form that is concise, transparent, intelligible and easily accessible. As such, and bearing in mind the fundamental principles of accountability and fairness, controllers must undertake their own analysis of the nature, circumstances, scope and context of the processing of personal data which they carry out and decide, within the legal requirements of the GDPR and taking account of the recommendations in these Guidelines particularly at paragraph 36 below, how to prioritise information which must be provided to data subjects and what are the appropriate levels of detail and methods for conveying the information.

Многоуровневый подход в цифровой среде и многоуровневые политики приватности

Layered approach in a digital environment and layered privacy statements/ notices

В цифровом контексте, в свете объема информации, которую требуется предоставить субъекту данных, контролеры данных могут применять многоуровневый подход в том случае, когда они предпочитают использовать комбинацию методов для обеспечения прозрачности. WP29 рекомендует, в частности, использовать многоуровневые политики приватности для соединения с различными категориями информации, которая должна предоставляться субъекту данных, а не для отображения всех подобных сведений в одном уведомлении на экране во избежание перегрузки информацией. Многоуровневые политики приватности могут помочь устранить противоречие между полнотой и пониманием, в частности, позволяя пользователям переходить непосредственно к разделу приватности/уведомления, с которым они хотят ознакомится. Следует отметить, что многоуровневые политики приватности — это не просто вложенные страницы, которые требуют нескольких кликов, чтобы получить соответствующую информацию. Дизайн и расположение первого уровня политики приватности должны быть такими, чтобы субъект данных имел четкое представление о доступной ему информации в отношении обработки его персональных данных и о том, где/ как он может найти подробную информацию в рамках уровней политики приватности. Также важно, чтобы информация, содержащаяся в различных слоях многоуровневой политики, была согласованной и, чтобы слои не предоставляли противоречивую информацию.

In the digital context, in light of the volume of information which is required to be provided to the data subject, a layered approach may be followed by data controllers where they opt to use a combination of methods to ensure transparency. WP29 recommends in particular that layered privacy statements/ notices should be used to link to the various categories of information which must be provided to the data subject, rather than displaying all such information in a single notice on the screen, in order to avoid information fatigue. Layered privacy statements/ notices can help resolve the tension between completeness and understanding, notably by allowing users to navigate directly to the section of the statement/ notice that they wish to read. It should be noted that layered privacy statements/ notices are not merely nested pages that require several clicks to get to the relevant information. The design and layout of the first layer of the privacy statement/ notice should be such that the data subject has a clear overview of the information available to them on the processing of their personal data and where/ how they can find that detailed information within the layers of the privacy statement/ notice. It is also important that the information contained within the different layers of a layered notice is consistent and that the layers do not provide conflicting information.

В отношении содержания первого режима, используемого контролером для информирования субъектов данных в многоуровневом подходе (другими словами, основного способа, которым контролер впервые взаимодействует с субъектом данных), или содержания первого уровня многоуровневой политики приватности, WP29 рекомендует, чтобы первый уровень/режим включал в себя подробные сведения о целях обработки, личности контролера и описание прав субъекта данных. Кроме того, эта информация должна быть непосредственно доведена до сведения субъекта данных во время сбора персональных данных (например: отображается в тот момент, когда субъект данных заполняет онлайн-форму). Необходимость предоставления этой информации заранее вытекает, в частности, из преамбулы 39.[34] В то время как контролеры должны быть в состоянии предоставить отчет в отношении того, какую дополнительную информацию они решат приоритизировать, позиция WP29 заключается в том, что наряду с принципом справедливости, в дополнение к информации, подробно изложенной выше в этом пункте, первый уровень/режим должен также содержать информацию об обработке, которая оказывает наибольшее влияние на субъект данных, и обработке, которая может быть для них непредвиденной. Таким образом, субъект данных должен быть в состоянии понять из информации, содержащейся в первом уровне/режиме, каковы будут последствия рассматриваемой обработки для субъекта данных (см. также выше в пункте 10).

As regards the content of the first modality used by a controller to inform data subjects in a layered approach (in other words the primary way in which the controller first engages with a data subject), or the content of the first layer of a layered privacy statement/ notice, WP29 recommends that the first layer/ modality should include the details of the purposes of processing, the identity of controller and a description of the data subject’s rights. (Furthermore this information should be directly brought to the attention of a data subject at the time of collection of the personal data e.g. displayed as a data subject fills in an online form.) The importance of providing this information upfront arises in particular from Recital 39.[34] While controllers must be able to demonstrate accountability as to what further information they decide to prioritise, WP29’s position is that, in line with the fairness principle, in addition to the information detailed above in this paragraph, the first layer/ modality should also contain information on the processing which has the most impact on the data subject and processing which could surprise them. Therefore, the data subject should be able to understand from information contained in the first layer/ modality what the consequences of the processing in question will be for the data subject (see also above at paragraph 10).

[34] В преамбуле 39 в отношении принципа прозрачности указано, что «этот принцип касается, в частности, информации для субъектов данных о личности контролера и целях обработки и дальнейшей информации для обеспечения справедливой и прозрачной обработки в отношении соответствующих физических лиц и их права на получение подтверждения и передачу касающихся их персональных данных, которые находятся в процессе обработки».

[34] Recital 39 states, on the principle of transparency, that “That principle concerns, in particular, information to the data subjects on the identity of the controller and the purposes of the processing and further information to ensure fair and transparent processing in respect of natural persons concerned and their right to obtain confirmation and communication of personal data concerning them which are being processed.”

В цифровом контексте контролеры данных могут не только предоставлять в онлайн-режиме многоуровневую политику приватности, но также использовать дополнительные инструменты обеспечения прозрачности (см. дополнительные примеры, рассмотренные ниже), которые предоставляют индивидуальную информацию о конкретном субъекте данных. Данная информация является конкретной с учетом положения соответствующего субъекта данных и товаров/услуг, которыми пользуется этот субъект данных. Вместе с тем следует отметить, что, хотя WP29 рекомендует использовать многоуровневые политики приватности доступные в режиме онлайн, эта рекомендация не исключает разработку и использование других новаторских методов обеспечения прозрачности требования.

In a digital context, aside from providing an online layered privacy statement/ notice, data controllers may also choose to use additional transparency tools (see further examples considered below) which provide tailored information to the individual data subject which is specific to the position of the individual data subject concerned and the goods/ services which that data subject is availing of. It should be noted however that while WP29 recommends the use of online layered privacy statements/ notices, this recommendation does not exclude the development and use of other innovative methods of compliance with transparency requirements.

Многоуровневый подход в нецифровой среде

Layered approach in a non-digital environment

Многоуровневый подход к предоставлению информации о прозрачности субъектам данных может также быть осуществлен в оффлайн/нецифровом контексте (т. е. в реальной среде, например, путем личного взаимодействия с человеком или телефонной связи) в тех случаях, когда существует несколько режимов, которые контролеры могут использовать для облегчения предоставления информации (cм. также пункты 33-37 и 39-40 в отношении различных режимов предоставления информации). Данный подход не следует путать с отдельным вопросом о многоуровневых политиках приватности. Независимо от того, какие форматы используются в этом многоуровневом подходе, WP29 рекомендует, чтобы первый «слой» (другими словами, основной способ, который контролер сначала использует для взаимодействия с субъектом данных) должен, как правило, передавать наиболее важную информацию (о которой говорится в пункт 36 выше), а именно, сведения о целях обработки, личности контролера и наличии прав субъекта данных, вместе с информацией о наибольшем влиянии обработки или обработки, которая может быть непредвиденной для субъектов данных.

A layered approach to the provision of transparency information to data subjects can also be deployed in an offline/ non-digital context (i.e. a real-world environment such as person-to-person engagement or telephone communications) where multiple modalities may be deployed by data controllers to facilitate the provision of information. (See also paragraphs 33 to 37 and 39 to 40 in relation to different modalities for providing the information.) This approach should not be confused with the separate issue of layered privacy statements/ notices. Whatever the formats that are used in this layered approach, WP29 recommends that the first “layer” (in other words the primary way in which the controller first engages with the data subject) should generally convey the most important information (as referred to at paragraph 36 above), namely the details of the purposes of processing, the identity of controller and the existence of the rights of the data subject, together with information on the greatest impact of processing or processing which could surprise the data subject. For example, where the first point of contact with a data subject is by telephone, this information could be provided during the telephone call with the data subject and they could be provided with the balance of the information required under Article 13/ 14 by way of further, different means, such as by sending a copy of the privacy policy by email and/ or sending the data subject a link to the controller’s layered online privacy statement/ notice

“Push” и “Pull” уведомления

“Push” and “pull” notices

Другой возможный способ предоставления прозрачной информации — через использование “push” и “pull” уведомлений. Push уведомления вовлекают предоставление уведомлений о прозрачной информации “точно-в-срок”, в то время как “pull” уведомления облегчают доступ к информации такими способами как управление разрешениями, панели приватности и инструкции “узнать больше”. Это позволяет сделать прозрачность для субъекта данных более ориентированную на пользователя. •Панель приватности это один способ как субъекты данных могут увидеть ‘приватную информацию’ и управлять своей приватностью в соответствии с их интересами путём позволения и предотвращения использования их данных определенным способом соответствующим сервисом. Это особенно полезно, когда один и тот же сервис используется субъектами данных на различных устройствах, что дает им доступ и контроль над их персональными данными вне зависимости от того, как они используют этот сервис. Позволяя субъектам данных вручную настраивать свои настройки приватности через панель приватности также может облегчить персонализацию политики приватности путем отражения только видов обработки, используемых для данного конкретного субъекта данных. Внедряя панель приватности в существующую структуру сервиса (например, используя такой же дизайн и бренд как и остальной сервис) предпочтительнее, потому что это обеспечит, что доступ и его использование, будет интуитивным и может помочь подтолкнуть пользователей ознакомиться с данной информацией таким же образом, как они будут это делать с другими аспектами сервиса. Это более эффективный способ показать, что ‘приватная информация’ является необходимой и неотъемлемой часть сервиса, нежели длинный текст с юридической лексикой. •Уведомление точно-в-срок используется, чтобы предоставить определенную “приватную информацию” специальным способом, как и когда это наиболее уместно прочитать для субъектов данных. Данный способ полезен для предоставления информации на различных стадиях в течении процесса сбора данных; это помогает распространить распространение предоставления информации в легко усваиваемых частях и уменьшить зависимость от одной политики приватности, содержащей информацию, которую сложно понять без контекста. Например, если субъект данных покупает продукт онлайн, небольшая разъясняющая информация может быть предоставлена через всплывающие окна, сопровождающее соответствующие части текста. Информация, расположенная рядом с полем, где запрашивается телефонный номер субъекта данных может объяснять, например, что эти данные используются лишь в целях контактирования по поводу покупки и она будет раскрыта только для службы доставки.

Another possible way of providing transparency information is through the use of “push” and “pull” notices. Push notices involve the provision of “just-in-time” transparency information notices while “pull” notices facilitate access to information by methods such as permission management, privacy dashboards and “learn more” tutorials. These allow for a more user-centric transparency experience for the data subject. • A privacy dashboard is a single point from which data subjects can view ‘privacy information’ and manage their privacy preferences by allowing or preventing their data from being used in certain ways by the service in question. This is particularly useful when the same service is used by data subjects on a variety of different devices as it gives them access to and control over their personal data no matter how they use the service. Allowing data subjects to manually adjust their privacy settings via a privacy dashboard can also make it easier for a privacy statement/ notice to be personalised by reflecting only the types of processing occurring for that particular data subject. Incorporating a privacy dashboard into the existing architecture of a service (e.g. by using the same design and branding as the rest of the service) is preferable because it will ensure that access and use of it will be intuitive and may help to encourage users to engage with this information, in the same way that they would with other aspects of the service. This can be an effective way of demonstrating that ‘privacy information’ is a necessary and integral part of a service rather than a lengthy list of legalese. • A just-in-time notice is used to provide specific ‘privacy information’ in an ad hoc manner, as and when it is most relevant for the data subject to read. This method is useful for providing information at various points throughout the process of data collection; it helps to spread the provision of information into easily digestible chunks and reduces the reliance on a single privacy statement/ notice containing information that is difficult to understand out of context. For example, if a data subject purchases a product online, brief explanatory information can be provided in pop-ups accompanying relevant fields of text. The information next to a field requesting the data subject’s telephone number could explain for example that this data is only being collected for the purposes of contact regarding the purchase and that it will only be disclosed to the delivery service.

Другие виды “надлежащих мер”

Other types of “appropriate measures”

Учитывая очень высокий уровень доступа к интернету в ЕС и факт того, что субъекты данных могут заходить онлайн в любое время, с множественных мест и различных устройств, как сказано выше, позиция WP29 заключается в том, что “надлежащая мера” для предоставления прозрачной информации в случае контролеров данных, которые поддерживают цифровое/ онлайн присутствие, состоит в ее осуществлении через электронную политику приватности. Однако, основываясь на обстоятельствах сбора и обработки данных, контролеру данных возможно будет нужно дополнительно (или другим способом, когда контролер данных не имеет цифрового/онлайн доступа) использовать другие режимы или формы для предоставления информации. Другие способы передачи информации субъектам данных, возникающих из следующих различных сред персональных данных может включать следующие режимы, применимые к соответствующей среде, которые перечислены ниже. Как отмечено ранее, многоуровневый подход может сопровождаться контролерами, где они выбирают использовать комбинацию таких методов, в то время как они также обеспечивают то, что наиболее важная информация (см. пункт 36 и 38) всегда передается в первом режиме, использованном для коммуникации с субъектами данных. a. <Печатная копия/ бумажная среда, например, заключение договоров по почте: письменные объяснения, листовки, информация в договорной документации, карикатуры, инфографика или блок-схемы; b.Телефонная среда: устные объяснения, представленные настоящим человеком, которые позволяют взаимодействовать и отвечать на вопросы, или автоматическая, или пред-запись информации с возможностью выбора далее услышать более детальную информацию; c.Интеллектуальные технологии без экрана/ loT-среда, например, аналитика отслеживания Wi-Fi: иконки, QR коды, голосовые уведомления, письменные данные, включенные в печатные инструкции по настройке, видео, включенные в цифровые инструкции по настройке, письменная информация на смарт-устройстве, письма, отправленные через СМС или электронную почту, видимые доски, содержащие информацию, общественная реклама или общественно-информационная кампания; d.Личная среда, например, ответ на опрос мнений, личная регистрация на сервис: устные объяснения или письменные объяснения, представленные в печатном или электронном формате; e. Среда “реальной жизни” с записью с систем видеонаблюдения или дрона: видимые доски, содержащие информацию, общественная реклама, общественно-информационные кампании или газетные/ медиа уведомления.

Given the very high level of internet access in the EU and the fact that data subjects can go online at any time, from multiple locations and different devices, as stated above, WP29’s position is that an “appropriate measure” for providing transparency information in the case of data controllers who maintain a digital/ online presence, is to do so through an electronic privacy statement/ notice. However, based on the circumstances of the data collection and processing, a data controller may need to additionally (or alternatively where the data controller does not have any digital/online presence) use other modalities and formats to provide the information. Other possible ways to convey the information to the data subject arising from the following different personal data environments may include the following modes applicable to the relevant environment which are listed below. As noted previously, a layered approach may be followed by controllers where they opt to use a combination of such methods while ensuring that the most important information (see paragraph 36 and 38) is always conveyed in the first modality used to communicate with the data subject. a. Hard copy/ paper environment, for example when entering into contracts by postal means: written explanations, leaflets, information in contractual documentation, cartoons, infographics or flowcharts; b. Telephonic environment: oral explanations by a real person to allow interaction and questions to be answered or automated or pre-recorded information with options to hear further more detailed information; c. Screenless smart technology/ IoT environment such as Wi-Fi tracking analytics: icons, QR codes, voice alerts, written details incorporated into paper set-up instructions, videos incorporated into digital set-up instructions, written information on the smart device, messages sent by SMS or email, visible boards containing the information, public signage or public information campaigns; d. Person to person environment, such as responding to opinion polls, registering in person for a service: oral explanations or written explanations provided in hard or soft copy format; e. “Real-life” environment with CCTV/ drone recording: visible boards containing the information, public signage, public information campaigns or newspaper/ media notices.

Информация о профилировании и автоматизированном принятии решений

Information on profiling and automated decision-making

Информация о существовании автоматизированного принятия решений, включая профилирование, как указано в статьях 22.1 и 22.4, вместе с содержательной информацией о задействованной логике и значительных и предполагаемых последствиях обработки для субъектов данных, формирует часть обязательной информации, которая может быть предоставлена субъектам данных по статье 13.2(f) и 14.2(g). WP29 сделал руководство по автоматизированному индивидуальному принятие решений и профилированию,[35] к которому следует обратиться для дальнейшего руководства о том, как прозрачность должна проявляться в конкретных обстоятельствах профилирования. Следует отметить, что кроме специальных требований к прозрачности, применимых к автоматизированному принятию решений по статьям 13.2(f) и 14.2(g), комментарии в данном руководстве относительно важности информирования субъектов данных о последствиях обработки их персональных данных, и общий принцип, что субъекты данных не должны быть застигнуты врасплох обработкой их персональных данных, в равной степени относятся к профилированию в целом (не только профилированное, которое указано в статье 22[36]), как вид обработки.[37]

Information on the existence of automated decision-making, including profiling, as referred to in Articles 22.1 and 22.4, together with meaningful information about the logic involved and the significant and envisaged consequences of the processing for the data subject, forms part of the obligatory information which must be provided to a data subject under Articles 13.2(f) and 14.2(g). WP29 has produced guidelines on automated individual decision-making and profiling[35] which should be referred to for further guidance on how transparency should be given effect in the particular circumstances of profiling. It should be noted that, aside from the specific transparency requirements applicable to automated decision-making under Articles 13.2(f) and 14.2(g), the comments in these guidelines relating to the importance of informing data subjects as to the consequences of processing of their personal data, and the general principle that data subjects should not be taken by surprise by the processing of their personal data, equally apply to profiling generally (not just profiling which is captured by Article 22[36]), as a type of processing. [37]

[35] Руководство по Автоматизированному индивидуальному принятию решений и Профилированию для целей Регламента 2016/679, WP251.

[35] Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, WP 25.

[36] Это относится к принятию решений, основанному исключительно на автоматизированной обработке, включая профилирование, которое производит юридический эффект, касающийся субъектов данных или так же существенно влияет на него или ее.

[36] This applies to decision-making based solely on automated processing, including profiling, which produces legal effects concerning the data subject or similarly significantly affects him or her.

[37] Преамбула 60, которая актуальна здесь, говорит, что “Кроме того, субъект данных должен быть проинформирован об осуществлении профилирования и его последствиях”.

[37] Recital 60, which is relevant here, states that “Furthermore, the data subject should be informed of the existence of profiling and the consequences of such profiling”.

Преамбула 39 GDPR также относится к предоставлению определенной информации, которая не точно отражается в статье 13 и статье 14 (см. текст преамбулы сверху в пункте 28). Ссылка в этой преамбуле на ознакомление субъектов данных с рисками, правилами и гарантиями в отношении обработки персональных данных связано с набором других проблем. Это включает оценку воздействия на защиту персональных данных (DPIA). Как изложено в WP29 Руководстве по DPIA, [38]контролеры данных могут рассматривать публикацию DPIA (или его части), как способ выражения доверия к операциям обработки и демонстрации прозрачности и ответственности, хотя такие публикации не обязательны. Кроме того, соблюдения кодекса поведения (предоставленного по статье 40) может свидетельствовать о демонстрации прозрачности, так как кодекс поведения может быть составлен в целях уточнения применения GDPR в отношении: добросовестной и прозрачной обработки; информации, предоставленной общественности и субъектам данных; и информации, предоставленной, и защиты, детей, кроме прочих проблем.

Recital 39 of the GDPR also refers to the provision of certain information which is not explicitly covered by Articles 13 and Article 14 (see recital text above at paragraph 28). The reference in this recital to making data subjects aware of the risks, rules and safeguards in relation to the processing of personal data is connected to a number of other issues. These include data protection impact assessments (DPIAs). As set out in the WP29 Guidelines on DPIAs,[38] data controllers may consider publication of the DPIA (or part of it), as a way of fostering trust in the processing operations and demonstrating transparency and accountability, although such publication is not obligatory. Furthermore, adherence to a code of conduct (provided for under Article 40) may go towards demonstrating transparency, as codes of conduct may be drawn up for the purpose of specifying the application of the GDPR with regard to: fair and transparent processing; information provided to the public and to data subjects; and information provided to, and the protection of, children, amongst other issues.

Другие проблемы — риски, правила, гарантии

Other issues – risks, rules and safeguards

[38] Руководство по оценке воздействия на защиту персональных данных (DPIA) и определение может ли обработка “привести к высокому риску” для целей Регламента 2016/679, WP 248 rev.1

[38] Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.1

Другая соответствующая проблема касательно прозрачности — это спроектированная защита данных и защита данных по умолчанию (как требуется по статье 25). Это принципы требуют, чтобы контролеры данных встраивали защиту данны в свои процессы обработки и системы с самого начала, нежели заниматься соблюдением мер по защите персональных данных в последний момент. Преамбула 78 относится к тому, что контролеры данных имплементируют меры, отвечающие требованиям спроектированной защиты данных и защите данных по умолчанию, включая меры, состоящие из прозрачности в отношении функций и обработки персональных данных.

Another relevant issue relating to transparency is data protection by design and by default (as required under Article 25). These principles require data controllers to build data protection considerations into their processing operations and systems from the ground up, rather than taking account of data protection as a last-minute compliance issue. Recital 78 refers to data controllers implementing measures that meet the requirements of data protection by design and by default including measures consisting of transparency with regard to the functions and processing of personal data.

Отдельно, проблема со-контролеров также относится к ознакомлению субъектов данных с рисками, правилами и защитными мерами. Статья 26.1 требует, чтобы со-контролеры определяли свои соответствующие обязанности по прозрачному выполнению обязательств по GDPR, в частности в отношении осуществления субъектами данных своих прав и обязанностей по предоставлению информацию по статье 13 и 14. Статья 26.2 требует, чтобы существо договоренности между контролерами данных должно быть доступно субъектам данных. Иначе говоря, субъекту должно быть совершенно ясно, к какому контролеру данных он или она может обратиться, если намеревается реализовать одно или более их прав по GDPR.[39]

Separately, the issue of joint controllers is also related to making data subjects aware of the risks, rules and safeguards. Article 26.1 requires joint controllers to determine their respective responsibilities for complying with obligations under the GDPR in a transparent manner, in particular with regard to the exercise by data subjects of their rights and the duties to provide the information under Articles 13 and 14. Article 26.2 requires that the essence of the arrangement between the data controllers must be made available to the data subject. In other words, it must be completely clear to a data a subject as to which data controller he or she can approach where they intend to exercise one or more of their rights under the GDPR.[39]

[39] По статье 26.3, независимо от условий соглашения со-контролеров данных по статье 26.1, субъект данных может воспользоваться ее или его правом по GDPR в отношении и против каждого из со-контролеров данных.

[39] Under Article 26.3, irrespective of the terms of the arrangement between joint data controllers under Article 26.1, a data subject may exercise his or her rights under the GDPR in respect of and against each of the joint data controllers.

Информация, относящаяся к дальнейшей обработке

Information related to further processing

И статья 13, и статья 14 содержат положение[40], которое требует, чтобы контролер данных информировал субъекта данных, если персональные данные будут использоваться для дальнейшей обработки для иной цели по сравнению с той, для которой данные были собраны/ получены. Если так, “до начала указанной обработки контролер данных должен предоставить субъекту данных информацию относительно иной цели, а также любую релевантную информацию, указанную в параграфе 2”. Эти положения, в частности, приводят в действие принципы из статьи 5.1(b), согласно которым персональные данные должны собираться для конкретных, отчетливых и законных целей, и обработка данных в последующем несовместимым с этими целями образом запрещена[41]. Вторая часть статьи 5.1(b) устанавливает, что дальнейшая обработка для архивных целей в публичных интересах, в целях исторических или научных исследований или для статистических целей, в соответствии со статьей 89.1, не считается несовместимой с начальными целями. Если персональные данные используются для дальнейшей обработке для целей, которые согласуются с первоначальными целями (статья 6.4 раскрывает вопрос[42]), применяются статьи 13.3 и 14.4. Требования в этих статьях информировать субъекта данных о дальнейшей обработке продвигают позицию в GDPR, что субъект данных должен разумно ожидать, что во время и в контексте сбора персональных данных может иметь место обработка для определенной цели.[43] Иначе говоря, субъект данных не должен быть застигнут врасплох целью обработки его или ее персональных данных.

Both Articles 13 and Article 14 contain a provision[40] that requires a data controller to inform a data subject if it intends to further process their personal data for a purpose other than that for which it was collected/ obtained. If so, “the controller shall provide the data subject prior to that further processing with information on that other purpose and with any relevant further information as referred to in paragraph 2”. These provisions specifically give effect to the principle in Article 5.1(b) that personal data shall be collected for specified, explicit and legitimate purposes, and further processing in a manner that is incompatible with these purposes is prohibited.[41] The second part of Article 5.1(b) states that further processing for archiving purposes in the public interest, scientific or historical research purposes or for statistical purposes, shall, in accordance with Article 89.1, not be considered to be incompatible with the initial purposes. Where personal data are further processed for purposes that are compatible with the original purposes (Article 6.4 informs this issue[42]), Articles 13.3 and 14.4 apply. The requirements in these articles to inform a data subject about further processing promotes the position in the GDPR that a data subject should reasonably expect that at the time and in the context of the collection of personal data that processing for a particular purpose may take place.[43] In other words, a data subject should not be taken by surprise at the purpose of processing of their personal data.

[40] В статьях 13.3 и 14.4, которые выражены в идентичных терминах, за исключением слова «собраны», которое используется в статье 13 и которое заменено словом «получены» в статье 14.

[40] At Articles 13.3 and 14.4, which are expressed in identical terms, apart from the word “collected”, which is used in Article 13, and which is replaced with the word “obtained” in Article 14.

[41] См., например, по этому принципу, Преамбулы 47, 50, 61, 156, 158; статьи 6.4 и 89

[41] See, for example on this principle, Recitals 47, 50, 61, 156, 158; Articles 6.4 and 89

[42] В статье 6.4 неисчерпывающим образом излагаются факторы, которые необходимо учитывать при обработке для другой цели согласованной с целью, для которой первоначально собирались персональные данные, а именно: связь между целями; контекст, в котором были собраны персональные данные; характер персональных данных (в частности, включены ли специальные категории персональных данных или персональные данные, касающиеся уголовных преступлений и осуждений); возможные последствия предполагаемой дальнейшей обработки для субъектов данных; и наличие соответствующих гарантий.

[42] Article 6.4 sets out, in non-exhaustive fashion, the factors which are to be taken into account in ascertaining whether processing for another purpose is compatible with the purpose for which the personal data are initially collected, namely: the link between the purposes; the context in which the personal data have been collected; the nature of the personal data (in particular whether special categories of personal data or personal data relating to criminal offences and convictions are included); the possible consequences of the intended further processing for data subjects; and the existence of appropriate safeguards.

[43] Преамбулы 47 и 50

[43] Recitals 47 and 50

Статьи 13.3 и 14.4, поскольку они отсылают к положению “любую релевантную информацию, указанную в параграфе 2”, на первый взгляд могут быть истолкованы как предоставление некоторого элемента оценки контролеру данных в отношении объема и конкретных категорий информации из соответствующего подпункта 2 (например, статья 13.2 или 14.2 применимы), который должен быть предоставлен субъекту данных. (Преамбула 61 ссылается на это, как “иная необходимая информация”.) Однако по умолчанию положение состоит в том, что вся такая информация, изложенная в этой части, должна предоставляться субъекту данных, если только одна или несколько категорий информации не существуют или неприменимы.

Articles 13.3 and 14.4, insofar as they refer to the provision of “any relevant further information as referred to in paragraph 2”, may be interpreted at first glance as leaving some element of appreciation to the data controller as to the extent of and the particular categories of information from the relevant sub-paragraph 2 (i.e. Article 13.2 or 14.2 as applicable) that should be provided to the data subject. (Recital 61 refers to this as “other necessary information”.) However the default position is that all such information set out in that subarticle should be provided to the data subject unless one or more categories of the information does not exist or is not applicable.

WP29 рекомендует, чтобы быть прозрачными, справедливыми и ответственными, контролеры должны рассмотреть вопрос о том, чтобы сделать информацию доступной для субъектов данных в их политиках приватности на анализе совместимости, выполненном по статье 6.4[44], если для новой цели обработки используется правовое основание, отличная от согласия или национального права/ права ЕС. (Иначе говоря, объяснение как обработка для новой цели(ей) соотносится с изначальной целью). Это должно предоставить субъектам данных возможность рассмотреть совместимость дальнейшей обработки и предоставленных гарантий и решить, следует ли реализовывать свои права, например, среди прочего, право на ограничение обработки или право на возражение против обработки.[45] Если контролеры выбирают не включать такую информацию в политику приватности, WP29 рекомендует объяснить субъектам данным, что они могут получить такую информацию по запросу.

WP29 recommends that, in order to be transparent, fair and accountable, controllers should consider making information available to data subjects in their privacy statement/ notice on the compatibility analysis carried out under Article 6.4[44] where a legal basis other than consent or national/ EU law is relied on for the new processing purpose. (In other words, an explanation as to how the processing for the other purpose(s) is compatible with the original purpose). This is to allow data subjects the opportunity to consider the compatibility of the further processing and the safeguards provided and to decide whether to exercise their rights e.g. the right to restriction of processing or the right to object to processing, amongst others. [45] Where controllers choose not to include such information in a privacy notice/ statement, WP29 recommends that they make it clear to data subjects that they can obtain the information on request.

[44] Также раскрывается в Преамбуле 50

[44] Also referenced in Recital 50

[45] Как указано в Преамбуле 63, это позволяет субъектам данных пользоваться правом доступа, чтобы быть в курсе и проверять законность обработки.

[45] As referenced in Recital 63, this will enable a data subject to exercise the right of access in order to be aware of and to verify the lawfulness of the processing.

Вопрос времени связан с осуществлением прав субъекта данных. Как подчеркивалось выше, предоставление информации своевременно это необходимый элемент требований по прозрачности по статьям 13 и 14 и по существу связано с концепцией добросовестной обработки. Информация, относящаяся к дальнейшей обработке должна быть предоставлена “до начала этой дальнейшей обработки”. Позиция WP29 состоит в том, что между уведомлением и началом обработки должен пройти разумный период времени, нежели незамедлительное начало обработки, как только субъект данных получил уведомление. Это позволяет субъектам данных воспользоваться практичными преимуществами принципа прозрачности, что дает им значимую возможность подумать о (и, возможно, воспользоваться правом в отношении) дальнейшей обработки. Разумный период времени определяется из конкретных обстоятельств. Принцип справедливости требует того, что чем более интрузивна (или менее ожидаема) дальнейшая обработка, тем длиннее должен быть период. Точно так же принцип подотчетности требует, чтобы контролеры данных были в состоянии продемонстрировать, как принятые ими решения в отношении сроков предоставления этой информации оправданы в сложившихся обстоятельствах и насколько эти сроки в целом справедливы для субъектов данных. (См. также предыдущие комментарии в отношении установления разумных сроков, указанных выше в пунктах 30–32.)

Connected to the exercise of data subject rights is the issue of timing. As emphasised above, the provision of information in a timely manner is a vital element of the transparency requirements under Articles 13 and 14 and is inherently linked to the concept of fair processing. Information in relation to further processing must be provided “prior to that further processing”. WP29’s position is that a reasonable period should occur between the notification and the processing commencing rather than an immediate start to the processing upon notification being received by the data subject. This gives data subjects the practical benefits of the principle of transparency, allowing them a meaningful opportunity to consider (and potentially exercise their rights in relation to) the further processing. What is a reasonable period will depend on the particular circumstances. The principle of fairness requires that the more intrusive (or less expected) the further processing, the longer the period should be. Equally,the principle of accountability requires that data controllers be able to demonstrate how the determinations they have made as regards the timing for the provision of this information are justified in the circumstances and how the timing overall is fair to data subjects. (See also the previous comments in relation to ascertaining reasonable timeframes above at paragraphs 30 to 32.)

Инструменты визуализации

Visualisation tools

Важно отметить, что принцип прозрачности в GDPR не ограничивается тем, что он реализуется просто посредством языковой коммуникации (письменной или устной). В GDPR предусмотрены средства визуализации (в частности, графические обозначения, механизмы сертификации и печати и маркировки защиты данных), где это подходит. Преамбула 58[46] указывает на то, что доступность информации, адресованной публике или субъектам данных, особенно важна в онлайн-среде.[47]

Importantly, the principle of transparency in the GDPR is not limited to being effected simply through language communications (whether written or oral). The GDPR provides for visualisation tools (referencing in particular, icons, certification mechanisms, and data protection seals and marks) where appropriate. Recital 58[46] indicates that the accessibility of information addressed to the public or to data subjects is especially important in the online environment.[47]

[46] “Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете.”

[46] “Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising.”

[47] В этом контексте контролеры должны принимать во внимание субъекты данных с нарушениями зрения (например, красно-зеленый дальтонизм).

[47] In this context, controllers should take into account visually impaired data subjects (e.g. red-green colour blindness).

Пиктограммы

Icons

В Преамбуле 60 предусмотрено предоставление информации субъекту данных «в сочетании» со стандартизированными пиктограммами, что позволяет использовать многослойный подход. Однако использование пиктограмм не должно просто заменять информацию, необходимую для осуществления прав субъекта данных, и не должно использоваться в качестве замены соблюдения обязательств контролера данных в соответствии со статьями 13 и 14. Статья 12.7, которая предусматривает использование таких пиктограмм, гласит, что: “Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми”.

Recital 60 makes provision for information to be provided to a data subject “in combination” with standardised icons, thus allowing for a multi-layered approach. However, the use of icons should not simply replace information necessary for the exercise of a data subject’s rights nor should they be used as a substitute to compliance with the data controller’s obligations under Articles 13 and 14. Article 12.7 provides for the use of such icons stating that: “The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where icons are presented electronically they shall be machine-readable”.

Как гласит статья 12.7 “Если эти символы представлены в электронном виде, они должны быть машиночитаемыми”, что предполагает то, что пиктограмма может быть представлена не в электронном виде,[48] например, графическое обозначение на бумаге, loT устройствах или упаковках loT устройств, уведомление в публичных местах об отслеживании Wi-Fi, QR коды и уведомления о системе видеонаблюдения.

As Article 12.7 states that “Where the icons are presented electronically, they shall be machinereadable”, this suggests that there may be situations where icons are not presented electronically,[48] for example icons on physical paperwork, IoT devices or IoT device packaging, notices in public places about Wi-Fi tracking, QR codes and CCTV notices.

[48] В GDPR нет определения “машиночитаемые”, но Преамбула 21 Директивы 2013/37ЕС17 определяет “машиночитаемый” как: «Формат файла, структурированный таким образом, чтобы программные приложения могли легко идентифицировать, распознавать и извлекать конкретные данные, включая отдельные сведения о фактах, и их внутреннюю структуру. Данные, закодированные в файлах, структурированных в машиночитаемом формате, являются машиночитаемыми данными. Машиночитаемые форматы могут быть открытыми или частными; они могут быть формальными стандартами или нет. Документы, закодированные в формате файла, который ограничивает автоматическую обработку, поскольку данные не могут или не могут быть легко извлечены из них, не должны рассматриваться в машиночитаемом формате. Государства-члены должны в соответствующих случаях поощрять использование открытых машиночитаемых форматов.”

[48] There is no definition of “machine-readable” in the GDPR but Recital 21 of Directive 2013/37/EU17 defines “machinereadable” as: “a file format structured so that software applications can easily identify, recognize and extract specific data, including individual statements of fact, and their internal structure. Data encoded in files that are structured in a machine-readable format are machine-readable data. Machine-readable formats can be open or proprietary; they can be formal standards or not. Documents encoded in a file format that limits automatic processing, because the data cannot, or cannot easily, be extracted from them, should not be considered to be in a machine-readable format. Member States should where appropriate encourage the use of open, machine-readable formats.”

Очевидно, что цель использования пиктограмм состоит в том, чтобы повысить прозрачность для субъектов данных, потенциально уменьшая необходимость представления огромного количества письменной информации субъекту данных. Тем не менее, использование графических обозначений для эффективной передачи информации, требуемой согласно статьям 13 и 14, субъектам данных зависит от стандартизации символов/ изображений, которые должны использоваться повсеместно и признаваться в ЕС как сокращение для этой информации. В отношении этого GDPR возлагает ответственность за разработку кодекса пиктограмм на Комиссию, но в конечном итоге Европейский совет по защите данных может, либо по просьбе Комиссии, либо по своему собственному усмотрению, предоставить Комиссии заключение по таким пиктограммам.[49] WP29 признает, что в соответствии с преамбулой 166 разработка кодекса пиктограмм должна быть сосредоточена на основанном на фактических данных подходе, и перед любой такой стандартизацией необходимо будет провести обширные исследования в сотрудничестве с промышленностью и более широкими кругами. общественности об эффективности пиктограмм в этом контексте.

Clearly, the purpose of using icons is to enhance transparency for data subjects by potentially reducing the need for vast amounts of written information to be presented to a data subject. However, the utility of icons to effectively convey information required under Articles 13 and 14 to data subjects is dependent upon the standardisation of symbols/ images to be universally used and recognised across the EU as shorthand for that information. In this regard, the GDPR assigns responsibility for the development of a code of icons to the Commission but ultimately the European Data Protection Board may, either at the request of the Commission or of its own accord, provide the Commission with an opinion on such icons.[49] WP29 recognises that, in line with Recital 166, the development of a code of icons should be centred upon an evidence-based approach and in advance of any such standardisation it will be necessary for extensive research to be conducted in conjunction with industry and the wider public as to the efficacy of icons in this context.

[49] Статья 12.8 предусматривает, что Европейская Комиссия уполномочена принимать подзаконные акты по статье 92 с целью определения информации, которая должна быть представлена пиктограммами, и информации для обеспечения стандартизированных пиктограмм. Преамбула 166 (которая касается подзаконных актов Европейской Комиссии в целом) является рекомендательной, при условии, что Европейская Комиссия должна проводить соответствующие консультации в ходе подготовительной работы, в том числе на экспертном уровне. Тем не менее, Европейский совет по защите персональных данных (EDPB) также играет важную консультативную роль в отношении стандартизации пиктограмм, поскольку в статье 70.1(r) говорится, что EDPB может по собственной инициативе или в случае необходимости по запросу Европейской Комиссии, предоставить Комиссии мнение о пиктограммах.

[49] Article 12.8 provides that the Commission is empowered to adopt delegated acts under Article 92 for the purpose of determining the information to be presented by the icons and the information for providing standardised icons. Recital 166 (which deals with delegated acts of the Commission in general) is instructive, providing that the Commission must carry out appropriate consultations during its preparatory work, including at expert level. However, the European Data Protection Board (EDPB) also has an important consultative role to play in relation to the standardisation of icons as Article 70.1(r) states that the EDPB shall on its own initiative or, where relevant, at the request of the Commission, provide the Commission with an opinion on icons.

Механизмы сертификации, печати и маркировочные знаки защиты данных

Certification mechanisms, seals and marks

Помимо использования стандартизированных пиктограмм, GDPR (статья 42) также предусматривает использование механизмов сертификации защиты данных, печатей и маркировочных знаков защиты данных с целью демонстрации соответствия GDPR операций обработки контролерами и процессорами, а также повышения прозрачности для субъектов данных.[50] WP29 будет выпускать руководящие принципы о механизмах сертификации в установленном порядке.

Aside from the use of standardised icons, the GDPR (Article 42) also provides for the use of data protection certification mechanisms, data protection seals and marks for the purpose of demonstrating compliance with the GDPR of processing operations by data controllers and processors and enhancing transparency for data subjects.[50] WP29 will be issuing guidelines on certification mechanisms in due course

[50] См. отсылку в преамбуле 100

[50] See the reference in Recital 100

Осуществление прав субъектов данных

Exercise of data subjects’ rights

Прозрачность накладывает тройное обязательство на контролеров данных, если речь идет о правах субъектов данных в рамках GDPR, поскольку они должны: [51] • предоставлять информацию субъектам данных об их правах[52] (в соответствии с требованиями статей 13.2 (b) и 14.2 (c)); • соблюдать принцип прозрачности (т. е. в отношении качества коммуникации, как изложено в статье 12.1) при коммуникации с субъектами данных в отношении их прав в соответствии со статьями 15–22 и 34; и • содействовать осуществлению прав субъектов данных в соответствии со статьями 15-22.

Transparency places a triple obligation upon data controllers insofar as the rights of data subjects under the GDPR are concerned, as they must:[51] • provide information to data subjects on their rights[52] (as required under Articles 13.2(b) and 14.2(c)); • comply with the principle of transparency (i.e. relating to the quality of the communications as set out in Article 12.1) when communicating with data subjects in relation to their rights under Articles 15 to 22 and 34; and • facilitate the exercise of data subjects’ rights under Articles 15 to 22.

[51] Раздел “Прозрачность и режим осуществления прав” GDPR о Правах субъектов данных (раздел 1, глава III, статья 12)

[51] Under the Transparency and Modalities section of the GDPR on Data Subject Rights (Section 1, Chapter III, namely Article 12)

[52] Доступ, исправление, удаление, ограничение обработки, возражение на обработку, переносимость

[52] Access, rectification, erasure, restriction on processing, object to processing, portability

Требования GDPR в отношении реализации этих прав и характера требуемой информации предназначены для осмысленного позиционирования субъектов данных, с тем чтобы они могли отстаивать свои права и привлекать контролеров данных к ответственности за обработку своих персональных данных. Преамбула 59 подчеркивает, что «должны быть предусмотрены условия содействия субъекту данных в осуществлении прав» и что контролер данных «также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом». Режим, предоставляемый контролером данных для субъектов данных для осуществления их прав, должен соответствовать контексту и природе отношений и взаимодействий между контролером и субъектом данных. С этой целью контролер данных может пожелать предоставить один или несколько различных режимов для осуществления прав, которые отражают различные способы взаимодействия субъектов данных с этим контролером данных.

The GDPR requirements in relation to the exercise of these rights and the nature of the information required are designed to meaningfully position data subjects so that they can vindicate their rights and hold data controllers accountable for the processing of their personal data. Recital 59 emphasises that “modalities should be provided for facilitating the exercise of the data subject’s rights” and that the data controller should “also provide means for requests to be made electronically, especially where personal data are processed by electronic means”. The modality provided by a data controller for data subjects to exercise their rights should be appropriate to the context and the nature of the relationship and interactions between the controller and a data subject. To this end, a data controller may wish to provide one or more different modalities for the exercise of rights that are reflective of the different ways in which data subjects interact with that data controller.

Пример Поставщик медицинских услуг использует электронную форму на своем веб-сайте и бумажные формы в приемных своих клиник, чтобы упростить подачу запросов на доступ к персональным данным как онлайн, так и лично. Несмотря на то, что он предоставляет такие режимы, служба здравоохранения по-прежнему принимает запросы на доступ, представленные другими способами (например, письмом или по электронной почте), и предоставляет выделенный пункт связи (в который можно обратиться по электронной почте и по телефону), чтобы помочь субъектам данных осуществлять свои права.

Example A health service provider uses an electronic form on its website, and paper forms in the receptions of its health clinics, to facilitate the submission of access requests for personal data both online and in person. While it provides these modalities, the health service still accepts access requests submitted in other ways (such as by letter and by email) and provides a dedicated point of contact (which can be accessed by email and by telephone) to help data subjects with the exercise of their rights.

Исключения из обязательства предоставлять информацию

Exceptions to the obligation to provide information

Исключения по статье 13

Article 13 exceptions

Единственное исключение из обязательств контролера данных, собирающего персональные данные непосредственно от субъекта данных, в соответствии со статьей 13 возникает «поскольку и если субъект данных уже располагает соответствующей информацией»[53]. Принцип ответственности требует, чтобы контролеры данных демонстрировали (и документировали), какой информацией субъект данных уже обладает, как и когда он получил ее, и что с тех пор не произошло никаких изменений в этой информации, которая сделала бы ее устаревшей. Кроме того, использование фразы «поскольку» в статье 13.4 проясняет, что даже если субъекту данных ранее были предоставлены определенные категории из перечня информации, изложенной в статье 13, на контролере данных все еще остается обязательство дополнить эту информацию, чтобы гарантировать, что субъект данных в данный момент имеет полный комплект информации, перечисленной в статьях 13.1 и 13.2. Ниже приведен пример рекомендуемой практики, касающийся ограниченного способа толкования исключения из статьи 13.4.

The only exception to a data controller’s Article 13 obligations where it has collected personal data directly from a data subject occurs “where and insofar as, the data subject already has the information”.[53] The principle of accountability requires that data controllers demonstrate (and document) what information the data subject already has, how and when they received it and that no changes have since occurred to that information that would render it out of date. Further, the use of the phrase “insofar as” in Article 13.4 makes it clear that even if the data subject has previously been provided with certain categories from the inventory of information set out in Article 13, there is still an obligation on the data controller to supplement that information in order to ensure that the data subject now has a complete set of the information listed in Articles 13.1 and 13.2. The following is a best practice example concerning the limited manner in which the Article 13.4 exception should be construed.

Пример Человек регистрируется в онлайн-сервисе электронной почты и получает всю необходимую информацию по статьям 13.1 и 13.2 в момент регистрации. Через шесть месяцев субъект данных активирует подключенную функцию мгновенных сообщений через поставщика услуг электронной почты и предоставляет для этого свой номер мобильного телефона. Поставщик услуг предоставляет субъекту данных определенную информацию по статье 13.1 и 13.2 об обработке телефонного номера (например, цели и правовое основание для обработки, получатели, срок хранения), но не предоставляет другую информацию, которой человек уже обладает на протяжении 6 месяцев и которая не менялась с того времени (например, личность и контактные данные контролера и инспектора по защите персональных данных, информация о правах субъекта данных и праве на подачу жалобы в соответствующий надзорный орган). В качестве рекомендуемой практики, субъекту данных следует снова предоставить полный набор информации, но субъект данных также должен иметь возможность легко определить, какая информация среди прочей является новой. Новая обработка для целей оказания услуги мгновенных сообщений может повлиять на субъекта данных таким образом, который побудит его попытаться воспользоваться правом, о котором он, возможно, забыл, будучи уведомленным за шесть месяцев до этого. Повторное предоставление всей информации помогает гарантировать, что субъект данных остается полностью информированным о том, как используются его данные и их права.

Example An individual signs up to an online email service and receives all of the required Article 13.1 and 13.2 information at the point of sign-up. Six months later the data subject activates a connected instant message functionality through the email service provider and provides their mobile telephone number to do so. The service provider gives the data subject certain Article 13.1 and 13.2 information about the processing of the telephone number (e.g. purposes and legal basis for processing, recipients, retention period) but does not provide other information that the individual already has from 6 months ago and which has not since changed (e.g. the identity and contact details of the controller and the data protection officer, information on data subject rights and the right to complain to the relevant supervisory authority). As a matter of best practice however, the complete suite of information should be provided to the data subject again but the data subject also should be able to easily tell what information amongst it is new. The new processing for the purposes of the instant messaging service may affect the data subject in a way which would prompt them to seek to exercise a right they may have forgotten about, having been informed six months prior. Providing all the information again helps to ensure the data subject remains well informed about how their data is being used and their rights.

[53] Статья 13.4

[53] Article 13.4

Исключения по статье 14

Article 14 exceptions

Статья 14 предусматривает гораздо более широкий ряд исключений из информационного обязательства, которое возлагается на контролера данных, когда персональные данные получаются не от субъекта данных. Эти исключения, как правило, должны толковаться и применяться узко. В дополнение к обстоятельствам, когда субъект данных уже обладает соответствующей информацией (статья 14.5(а)), статья 14.5 также допускает следующие исключения: • Предоставление указанной информации оказывается невозможным или требует непропорционального усилия, в частности, для обработки в целях архивирования в публичных интересах, в целях научных или исторических исследований или в статистических целях, или там, где это может сделать невозможным или негативно отразиться на достижении целей указанной обработки; • Контролер данных подпадает под действие требований национального законодательства или законодательства ЕС в отношении получения или раскрытия персональных данных и того, что закон обеспечивает надлежащую защиту легитимных интересов субъекта данных; • Обязательство о профессиональной тайне (включая обязательство о секретности), которое регулируется национальным законодательством или законодательством ЕС, означает, что персональные данные должны оставаться конфиденциальными.

Article 14 carves out a much broader set of exceptions to the information obligation on a data controller where personal data has not been obtained from the data subject. These exceptions should, as a general rule, be interpreted and applied narrowly. In addition to the circumstances where the data subject already has the information in question (Article 14.5(a)), Article 14.5 also allows for the following exceptions: • The provision of such information is impossible or would involve a disproportionate effort, in particular for processing for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, or where it would make the achievement of the objectives of the processing impossible or seriously impair them; • The data controller is subject to a national law or EU law requirement to obtain or disclose the personal data and that the law provides appropriate protections for the data subject’s legitimate interests ; or • An obligation of professional secrecy (including a statutory obligation of secrecy) which is regulated by national or EU law means the personal data must remain confidential.

Доказательства невозможности, непропорционального усилия и серьезного искажения целей

Proves impossible, disproportionate effort and serious impairment of objectives

Статья 14.5 (b) допускает 3 отдельных ситуации, когда обязательство предоставлять информацию, изложенную в статьях 14.1, 14.2 и 14.4, отменяется: (i) Если это оказывается невозможным (в частности, для архивирования, научных/ исторических исследований или статистических целей); (ii) Если это потребует непропорциональных усилий (в частности, для архивирования, научных/исторических исследований или статистических целей); (iii) Если предоставление информации, требуемой по статье 14.1, сделает невозможным достижение целей обработки или негативно отразится на них.

Article 14.5(b) allows for 3 separate situations where the obligation to provide the information set out in Articles 14.1, 14.2 and 14.4 is lifted: (i) Where it proves impossible (in particular for archiving, scientific/ historical research or statistical purposes); (ii) Where it would involve a disproportionate effort (in particular for archiving, scientific/ historical research or statistical purposes); or (iii) Where providing the information required under Article 14.1 would make the achievement of the objectives of the processing impossible or seriously impair them.

“Оказывается невозможным”

“Proves impossible”

Ситуация, когда в соответствии со статьей 14.5(b) «оказывается невозможным» предоставить информацию, представляет собой ситуацию «все или ничего», так как что-то либо невозможно, либо нет; нет степеней невозможности. Таким образом, если контролер данных пытается полагаться на это исключение, он должен продемонстрировать факторы, которые фактически мешают ему предоставлять соответствующую информацию субъектам данных. Если по истечении определенного периода времени факторы, вызвавшие «невозможность», больше не существуют и становится возможным предоставлять информацию субъектам данных, то контролер данных должен немедленно сделать это. На практике существует очень мало ситуаций, в которых контролер данных может продемонстрировать, что фактически невозможно предоставить информацию субъектам данных. Следующий пример демонстрирует это.

The situation where it “proves impossible” under Article 14.5(b) to provide the information is an all or nothing situation because something is either impossible or it is not; there are no degrees of impossibility. Thus if a data controller seeks to rely on this exemption it must demonstrate the factors that actually prevent it from providing the information in question to data subjects. If, after a certain period of time, the factors that caused the “impossibility” no longer exist and it becomes possible to provide the information to data subjects then the data controller should immediately do so. In practice, there will be very few situations in which a data controller can demonstrate that it is actually impossible to provide the information to data subjects. The following example demonstrates this.

Пример Субъект данных регистрируется в службе онлайн-подписки с оплатой по факту. После регистрации контролер данных собирает данные о кредитоспособности субъекта данных с помощью кредитно-отчетного агентства, чтобы решить, следует ли предоставлять услугу. Протокол контролера должен информировать субъекта данных о сборе этих кредитных данных в течение трех дней после сбора в соответствии со статьей 14.3(а). Однако адрес и номер телефона субъекта данных не зарегистрированы в государственных реестрах (субъект данных фактически проживает за границей). Субъект данных не оставил адрес электронной почты при регистрации в службе или адрес электронной почты является недействительным. Контролер обнаруживает, что у него нет средств для непосредственного контакта с субъектом данных. В этом случае, контролер может предоставить информацию о сборе данных кредитной отчетности на своем веб-сайте до регистрации. В этом случае было бы невозможно предоставить информацию в соответствии со статьей 14.

Example A data subject registers for a post-paid online subscription service. After registration, the data controller collects credit data from a credit-reporting agency on the data subject in order to decide whether to provide the service. The controller’s protocol is to inform data subjects of the collection of this credit data within three days of collection, pursuant to Article 14.3(a). However, the data subject’s address and phone number is not registered in public registries (the data subject is in fact living abroad). The data subject did not leave an email address when registering for the service or the email address is invalid. The controller finds that it has no means to directly contact the data subject. In this case, however, the controller may give information about collection of credit reporting data on its website, prior to registration. In this case, it would not be impossible to provide information pursuant to Article 14.

Невозможность предоставления источника данных

Impossibility of providing the source of the data

Преамбула 61 гласит, что «если информация о происхождении персональных данных не может быть предоставлена субъекту данных вследствие использования разнообразных ресурсов, должна быть предоставлена общая информация». Отмена требования предоставлять субъектам данных информацию об источнике их персональных данных применяется только в тех случаях, когда предоставление невозможно, поскольку разные части персональных данных, относящиеся к одному и тому же субъекту данных, не могут быть отнесены к конкретному источнику. Например, сам факт того, что база данных, содержащая персональные данные нескольких субъектов данных, была составлена ​​контролером данных с использованием более чем одного источника, недостаточна для того, чтобы отменить это требование, если возможно (даже если это отнимает много времени или обременительно) идентифицировать источник, из которого получены персональные данные отдельных субъектов. Принимая во внимание требования спроектированной защиты персональных данных и по умолчанию, механизмы прозрачности должны быть встроены в системы обработки с нуля, чтобы все источники персональных данных, полученных организацией, могли быть отслежены и была возможность отследить их обратно до источника в любой точке жизненного цикл обработки данных (см. пункт 43 выше).

Recital 61 states that “where the origin of the personal data cannot be provided to the data subject because various sources have been used, general information should be provided”. The lifting of the requirement to provide data subjects with information on the source of their personal data applies only where this is not possible because different pieces of personal data relating to the same data subject cannot be attributed to a particular source. For example, the mere fact that a database comprising the personal data of multiple data subjects has been compiled by a data controller using more than one source is not enough to lift this requirement if it is possible (although time consuming or burdensome) to identify the source from which the personal data of individual data subjects derived. Given the requirements of data protection by design and by default, transparency mechanisms should be built into processing systems from the ground up so that all sources of personal data received into an organisation can be tracked and traced back to their source at any point in the data processing life cycle (see paragraph 43 above).

“Непропорциональное усилие”

“Disproportionate effort”

В соответствии со статьей 14.5(b), как и в ситуации «оказывается невозможным», «непропорциональные усилия» могут также применяться, в частности, для обработки «в целях архивирования в интересах общества, в целях научных или исторических исследований или в статистических целях, с учетом гарантий, указанных в статье 89(1) ». Преамбула 62 также ссылается на эти цели как на случаи, когда предоставление информации субъекту данных потребует непропорциональных усилий, и заявляет, что в этом отношении следует учитывать количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности. С учетом того, что в Преамбуле 62 и статье 14.5(b) делается упор на архивацию, исследования и статистические цели в отношении применения этого исключения, позиция WP29 заключается в том, что на это исключение не должны регулярно полагаться контролеры данных, которые не обрабатывают личные данные для цели архивирования в общественных интересах, для научных или исторических исследовательских или статистических целей. WP29 подчеркивает тот факт, что в тех случаях, когда эти цели преследуются, условия, изложенные в статье 89.1, все равно должны соблюдаться, и предоставление информации должно представлять собой непропорциональное усилие.

Under Article 14.5(b), as with the “proves impossible” situation, “disproportionate effort” may also apply, in particular, for processing “for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes, subject to the safeguards referred to in Article 89(1)”. Recital 62 also references these objectives as cases where the provision of information to the data subject would involve a disproportionate effort and states that in this regard, the number of data subjects, the age of the data and any appropriate safeguards adopted should be taken into consideration. Given the emphasis in Recital 62 and Article 14.5(b) on archiving, research and statistical purposes with regard to the application of this exemption, WP29’s position is that this exception should not be routinely relied upon by data controllers who are not processing personal data for the purposes of archiving in the public interest, for scientific or historical research purposes or statistical purposes. WP29 emphasises the fact that where these are the purposes pursued, the conditions set out in Article 89.1 must still be complied with and the provision of the information must constitute a disproportionate effort.

При определении того, что может представлять собой либо невозможность, либо непропорциональные усилия в соответствии со статьей 14.5(b), важно, чтобы не было сопоставимых исключений в соответствии со статьей 13 (когда персональные данные собираются от субъекта данных). Единственная разница между статьей 13 и ситуацией по статье 14 заключается в том, что в последнем случае персональные данные не собираются от субъекта данных. Отсюда следует, что невозможность или непропорциональные усилия обычно возникают в силу обстоятельств, которые не применяются, если персональные данные собираются от субъекта данных. Другими словами, невозможность или непропорциональные усилия должны быть напрямую связаны с тем фактом, что персональные данные были получены не от субъекта данных.

In determining what may constitute either impossibility or disproportionate effort under Article 14.5(b), it is relevant that there are no comparable exemptions under Article 13 (where personal data is collected from a data subject). The only difference between an Article 13 and an Article 14 situation is that in the latter, the personal data is not collected from the data subject. It therefore follows that impossibility or disproportionate effort typically arises by virtue of circumstances which do not apply if the personal data is collected from the data subject. In other words, the impossibility or disproportionate effort must be directly connected to the fact that the personal data was obtained other than from the data subject.

Пример Большая городская больница требует, чтобы все пациенты для дневных процедур, более длительных госпитализаций и назначений заполняли Информационную Форму Пациента, в которой запрашиваются сведения о двух ближайших родственниках (субъектах данных). Учитывая очень большой объем пациентов, ежедневно проходящих через больницу, это потребует непропорциональных усилий со стороны больницы, чтобы обеспечить всех лиц, которые были указаны в качестве ближайших родственников в формах, заполняемых пациентами каждый день, информацией, требуемой согласно статье 14.

Example A large metropolitan hospital requires all patients for day procedures, longer-term admissions and appointments to fill in a Patient Information Form which seeks the details of two next-of-kin (data subjects). Given the very large volume of patients passing through the hospital on a daily basis, it would involve disproportionate effort on the part of the hospital to provide all persons who have been listed as next-of-kin on forms filled in by patients each day with the information required under Article 14.

Факторы, упомянутые выше в Преамбуле 62 (количество субъектов данных, возраст данных и любые соответствующие принятые меры предосторожности), могут указывать на типы проблем, которые способствуют тому, что контролеру данных приходится использовать непропорциональные усилия для уведомления субъекта данных об информации, соответствующей статье 14.

The factors referred to above in Recital 62 (number of data subjects, the age of the data and any appropriate safeguards adopted) may be indicative of the types of issues that contribute to a data controller having to use disproportionate effort to notify a data subject of the relevant Article 14 information.

Пример Исторические исследователи, стремящиеся отследить происхождение, основанное на фамилиях, косвенно получают большой набор данных, относящийся к 20 000 субъектам данных. Однако набор данных был собран 50 лет назад, и с тех пор не обновлялся, и не содержит контактных данных. Учитывая размер базы данных и, в частности, возраст данных, исследователям потребуется приложить непропорциональные усилия, чтобы попытаться отследить субъекты данных индивидуально, чтобы предоставить им информацию по статье 14.

Example Historical researchers seeking to trace lineage based on surnames indirectly obtain a large dataset relating to 20,000 data subjects. However, the dataset was collected 50 years ago, has not been updated since, and does not contain any contact details. Given the size of the database and more particularly, the age of the data, it would involve disproportionate effort for the researchers to try to trace the data subjects individually in order to provide them with Article 14 information.

В тех случаях, когда контролер данных стремится полагаться на исключение в статье 14.5(b) на том основании, что предоставление информации потребует непропорциональных усилий, ему следует выполнить балансировку для оценки усилий, прилагаемых к контролеру данных для предоставления информации субъекту данных о воздействии и эффекте на субъект данных, если ему или ей не была предоставлена информация. Эта оценка должна быть задокументирована контролером данных в соответствии с его обязательствами по подотчетности. В таком случае статья 14.5(b) указывает, что контролер должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных. Это в равной степени относится и к случаям, когда контролер определяет, что предоставление информации оказывается невозможным или, скорее всего, сделает невозможным или нанесет серьезный ущерб достижению целей обработки. Одна соответствующая мера, как указано в статье 14.5(b), которую контролеры должны всегда принимать, состоит в том, чтобы сделать информацию общедоступной. Контролер может сделать это несколькими способами, например, разместив информацию на своем веб-сайте или заблаговременно разместив информацию в газете или на своих постерах. Другие надлежащие меры, помимо обеспечения доступности информации для общественности, будут зависеть от обстоятельств обработки, но могут включать: проведение оценки воздействия на защиту данных; применение методов псевдонимизации к данным; минимизация собранных данных и срока хранения; и реализация технических и организационных мер для обеспечения высокого уровня безопасности. Кроме того, могут быть ситуации, когда контролер данных обрабатывает персональные данные, которые не требуют идентификации субъекта данных (например, с псевдонимными данными). В таких случаях статья 11.1 также может также соответствовать ситуации, поскольку в ней говорится, что контролер данных не обязан хранить, получать или обрабатывать дополнительную информацию, чтобы идентифицировать субъект данных для единственных целей соблюдения GDPR.

Where a data controller seeks to rely on the exception in Article 14.5(b) on the basis that provision of the information would involve a disproportionate effort, it should carry out a balancing exercise to assess the effort involved for the data controller to provide the information to the data subject against the impact and effects on the data subject if he or she was not provided with the information. This assessment should be documented by the data controller in accordance with its accountability obligations. In such a case, Article 14.5(b) specifies that the controller must take appropriate measures to protect the data subject’s rights, freedoms and legitimate interests. This applies equally where a controller determines that the provision of the information proves impossible, or would likely render impossible or seriously impair the achievement of the objectives of the processing. One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR.

Серьезное искажение целей

Serious impairment of objectives

Последняя ситуация, описанная в статье 14.5(b), заключается в том, что предоставление контролером данных информации субъекту данных в соответствии со статьей 14.1 может сделать невозможным или серьезно помешать достижению целей обработки. Чтобы полагаться на это исключение, контролеры данных должны продемонстрировать, что предоставление информации, изложенной только в статье 14.1, сведет на нет цели обработки. Примечательно, что опора на этот аспект статьи 14.5(b) предполагает, что обработка данных удовлетворяет всем принципам, изложенным в статье 5, и, что наиболее важно, при любых обстоятельствах обработка персональных данных является справедливой и что она имеет правовое основание.

The final situation covered by Article 14.5(b) is where a data controller’s provision of the information to a data subject under Article 14.1 is likely to make impossible or seriously impair the achievement of the processing objectives. To rely on this exception, data controllers must demonstrate that the provision of the information set out in Article 14.1 alone would nullify the objectives of the processing. Notably, reliance on this aspect of Article 14.5(b) presupposes that the data processing satisfies all of the principles set out in Article 5 and that most importantly, in all of the circumstances, the processing of the personal data is fair and that it has a legal basis.

Пример В соответствии с законодательством о борьбе с отмыванием денег, Банк А должен сообщать о подозрительной деятельности, связанной с его счетами, в соответствующий финансовый правоохранительный орган. Банк A получает информацию от Банка Б (в другом государстве-члене) о том, что владелец счета поручил ему перевести деньги на другой счет в Банке A, что выглядит подозрительно. Банк А передает эти данные относительно владельца своего счета и подозрительных действий в соответствующий финансовый правоохранительный орган. Законодательство о борьбе с отмыванием денег признает это преступлением для банка, представляющего отчетность, чтобы «оповестить» владельцев счетов о том, что они могут быть предметом нормативных расследований. В этой ситуации применяется статья 14.5(b), поскольку предоставление субъекту данных (владельцу счета в Банке A) информации по статье 14 об обработке персональных данных владельца счета, полученных от Банка Б, может серьезно подорвать цели законодательства, которое включает предотвращение «наводок». Однако при открытии счета всем владельцам счетов в Банке А должна предоставляться общая информация о том, что их личные данные могут обрабатываться в целях борьбы с отмыванием денег.

Example Bank A is subject to a mandatory requirement under anti-money laundering legislation to report suspicious activity relating to accounts held with it to the relevant financial law enforcement authority. Bank A receives information from Bank B (in another Member State) that an account holder has instructed it to transfer money to another account held with Bank A which appears suspicious. Bank A passes this data concerning its account holder and the suspicious activities to the relevant financial law enforcement authority. The anti-money laundering legislation in question makes it a criminal offence for a reporting bank to “tip off” the account holder that they may be subject to regulatory investigations. In this situation, Article 14.5(b) applies because providing the data subject (the account holder with Bank A) with Article 14 information on the processing of account holder’s personal data received from Bank B would seriously impair the objectives of the legislation, which includes the prevention of “tip-offs”. However, general information should be provided to all account holders with Bank A when an account is opened that their personal data may be processed for anti-money laundering purposes

Получение или раскрытие прямо изложено в законе

Obtaining or disclosing is expressly laid down in law

Статья 14.5(c) допускает отмену требований к информации в статьях 14.1, 14.2 и 14.4, поскольку получение или раскрытие персональных данных «прямо предусмотрено законодательством Европейского Союза или государства-члена, которому подчиняется контролер». Это исключение обусловлено соответствующим законом, предусматривающим «надлежащие меры для защиты легитимных интересов субъекта данных». Такой закон должен непосредственно касаться контролера данных, и получение или раскрытие данных должно быть обязательным для контролера данных. Соответственно, контролер данных должен быть в состоянии продемонстрировать, как к ним применяется соответствующий закон и требует от них либо получения, либо раскрытия соответствующих персональных данных. Хотя закон Европейского Союза или государства-члена должен определять закон таким образом, чтобы он предусматривал «надлежащие меры для защиты легитимных интересов субъекта данных», контролер данных должен обеспечить (и иметь возможность продемонстрировать), что его получение или раскрытие персональных данных соответствует с этими мерами. Кроме того, контролер данных должен дать понять субъектам данных, что он получает или раскрывает персональные данные в соответствии с рассматриваемым законом, если только не существует юридического запрета, запрещающего контролеру данных делать это. Это согласуется с преамбулой 41 GDPR, в котором говорится, что правовое основание или законодательная мера должны быть четкими и точными, и их применение должно быть предсказуемым для лиц, на которых распространяется действие закона, в соответствии с прецедентным правом Суда ЕС и Европейского Суда по правам человека. Вместе с тем, статья 14.5(c) не будет применяться, если контролер данных обязан получать данные непосредственно от субъекта данных, когда будет применяться статья 13. В этом случае единственное исключение в рамках GDPR, освобождающее контролера от предоставления субъекту данных информации об обработке, будет заключаться в соответствии со статьей 13.4 (т.е. где и поскольку субъект данных уже имеет информацию). Однако, как указано ниже в пункте 68, на национальном уровне государства-члены могут также издавать законы, в соответствии со статьей 23, в отношении дополнительных конкретных ограничений права на прозрачность в соответствии со статьей 12 и информации в соответствии со статьями 13 и 14.

Article 14.5(c) allows for a lifting of the information requirements in Articles 14.1, 14.2 and 14.4 insofar as the obtaining or disclosure of personal data “is expressly laid down by Union or Member State law to which the controller is subject”. This exemption is conditional upon the law in question providing “appropriate measures to protect the data subject’s legitimate interests”. Such a law must directly address the data controller and the obtaining or disclosure in question should be mandatory upon the data controller. Accordingly, the data controller must be able to demonstrate how the law in question applies to them and requires them to either obtain or disclose the personal data in question. While it is for Union or Member State law to frame the law such that it provides “appropriate measures to protect the data subject’s legitimate interests”, the data controller should ensure (and be able to demonstrate) that its obtaining or disclosure of personal data complies with those measures. Furthermore, the data controller should make it clear to data subjects that it obtains or discloses personal data in accordance with the law in question, unless there is a legal prohibition preventing the data controller from doing so. This is in line with Recital 41 of the GDPR, which states that a legal basis or legislative measure should be clear and precise, and its application should be foreseeable to persons subject to it, in accordance with the case law of the Court of Justice of the EU and the European Court of Human Rights. However, Article 14.5(c) will not apply where the data controller is under an obligation to obtain data directly from a data subject, in which case Article 13 will apply. In that case, the only exemption under the GDPR exempting the controller from providing the data subject with information on the processing will be that under Article 13.4 (i.e. where and insofar as the data subject already has the information). However, as referred to below at paragraph 68, at a national level, Member States may also legislate, in accordance with Article 23, for further specific restrictions to the right to transparency under Article 12 and to information under Articles 13 and 14.

Пример Налоговый орган в обязательном порядке по национальному законодательству должен выяснять сведения о заработной плате работников от их нанимателей. Персональные данные получены не от субъектов данных, и поэтому налоговый орган подпадает под требования статьи 14. Поскольку получение персональных данных налоговым органом от нанимателей прямо предусмотрено законом, требования к информации по статье 14 не применяются к налоговому органу в данном случае.

Example A tax authority is subject to a mandatory requirement under national law to obtain the details of employees’ salaries from their employers. The personal data is not obtained from the data subjects and therefore the tax authority is subject to the requirements of Article 14. As the obtaining of the personal data by the tax authority from employers is expressly laid down by law,the information requirements in Article 14 do not apply to the tax authority in this instance.

Конфиденциальность в силу обязательства секретности

Confidentiality by virtue of a secrecy obligation

Статья 14.5(d) предусматривает освобождение от требования к информации для контролеров данных, когда персональные данные «должны оставаться конфиденциальными при условии соблюдения обязательства о профессиональной тайне, регулируемого законодательством Союза или государства-члена, в том числе обязательного соблюдения секретности». Если контролер данных стремится использовать это исключение, он должен иметь возможность продемонстрировать, что он надлежащим образом идентифицировал такое исключение, и показать, как обязательство по профессиональной тайне непосредственно относится к контролеру данных, так что оно запрещает контролеру данных предоставлять субъекту данных всю информацию, указанную в статьях 14.1, 14.2 и 14.4.

Article 14.5(d) provides for an exemption to the information requirement upon data controllers where the personal data “must remain confidential subject to an obligation of professional secrecy regulated by Union or Member State law, including a statutory obligation of secrecy”. Where a data controller seeks to rely on this exemption, it must be able to demonstrate that it has appropriately identified such an exemption and to show how the professional secrecy obligation directly addresses the data controller such that it prohibits the data controller from providing all of the information set out in Articles 14.1, 14.2 and 14.4 to the data subject.

Пример Медицинский работник (контролер данных) несет обязательство хранить профессиональную тайну в отношении медицинской информации своих пациентов. Пациентка (в отношении которой действует обязательство о профессиональной тайне) предоставляет врачу информацию о ее здоровье, касающемся генетического заболевания, которое также имеется у ряда ее близких родственников. Пациентка также предоставляет врачу определенные персональные данные своих родственников (субъектов данных), которые имеют такое же заболевание. Врач не обязан предоставлять этим родственникам информацию по статье 14, поскольку применяется исключение по статье 14.5(d). Если практикующий врач предоставит родственникам информацию по статье 14, то обязательство сохранения профессиональной тайны, которое он несёт в отношении своего пациента, будет нарушено.

Example A medical practitioner (data controller) is under a professional obligation of secrecy in relation to his patients’ medical information. A patient (in respect of whom the obligation of professional secrecy applies) provides the medical practitioner with information about her health relating to a genetic condition, which a number of her close relatives also have. The patient also provides the medical practitioner with certain personal data of her relatives (data subjects) who have the same condition. The medical practitioner is not required to provide those relatives with Article 14 information as the exemption in Article 14.5(d) applies. If the medical practitioner were to provide the Article 14 information to the relatives, the obligation of professional secrecy, which he owes to his patient, would be violated.

Ограничения прав субъекта данных

Restrictions on data subject rights

Статья 23 предоставляет возможность государствам-члены (или ЕС) принимать законодательные меры для дополнительных ограничений объема прав субъекта данных в отношении прозрачности и основных прав субъекта данных, если такие меры уважают сущность основных прав и свобод и необходимы и пропорциональны для защиты одной или нескольких из десяти целей, изложенных в статье 23.1 от (a) до (j). Если такие национальные меры уменьшают либо права конкретного субъекта данных, либо общие обязательства по прозрачности, которые в противном случае применяются к контролерам данных в рамках GDPR, контролер данных должен быть в состоянии продемонстрировать, как к нему применяется национальное положение. Как указано в статье 23.2(h), законодательная мера должна содержать положение о праве субъекта данных быть информированным об ограничении их прав, если только такое информирование не может навредить достижению цели данного ограничения. В соответствии с этим и с принципом справедливости контролер данных должен также информировать субъекты данных о том, на что они полагаются (или будут полагаться в случае осуществления права конкретного субъекта данных), на такое национальное законодательное ограничении в отношении осуществление прав субъекта данных или обязательства по прозрачности, если только это не нанесет ущерба цели законодательного ограничения. Таким образом, прозрачность требует от контролеров данных предоставления адекватной предварительной информации субъектам данных об их правах и любых конкретных оговорках к тем правам, на которые может рассчитывать контролер, чтобы субъект данных не был застигнут врасплох предполагаемым ограничением, особенно когда они позже пытаются применить его против контролера. Что касается псевдонимизации и минимизации данных и поскольку контролеры данных могут ссылаться на статью 11 GDPR, WP29 ранее подтвердил в Мнении 3/2017, что статью 11 GDPR следует интерпретировать как способ обеспечения минимизации подлинных данных не препятствуя осуществлению прав субъекта данных, и что осуществление прав субъекта данных должно быть возможным с помощью дополнительной информации, предоставляемой субъектом данных.

Article 23 provides for Member States (or the EU) to legislate for further restrictions on the scope of the data subject rights in relation to transparency and the substantive data subject rights where such measures respect the essence of the fundamental rights and freedoms and are necessary and proportionate to safeguard one or more of the ten objectives set out in Article 23.1(a) to (j). Where such national measures lessen either the specific data subject rights or the general transparency obligations, which would otherwise apply to data controllers under the GDPR, the data controller should be able to demonstrate how the national provision applies to them. As set out in Article 23.2(h), the legislative measure must contain a provision as to the right of the data subject to be informed about a restriction on their rights, unless so informing them may be prejudicial to the purpose of the restriction. Consistent with this, and in line with principle of fairness, the data controller should also inform data subjects that they are relying on (or will rely on, in the event of a particular data subject right being exercised) such a national legislative restriction to the exercise of data subject rights, or to the transparency obligation, unless doing so would be prejudicial to the purpose of the legislative restriction. As such, transparency requires data controllers to provide adequate upfront information to data subjects about their rights and any particular caveats to those rights which the controller may seek to rely on, so that the data subject is not taken by surprise at a purported restriction of a particular right when they later attempt to exercise it against the controller. In relation to pseudonymisation and data minimisation, and insofar as data controllers may purport to rely on Article 11 of the GDPR, WP29 has previously confirmed in Opinion 3/ 2017 that Article 11 of the GDPR should be interpreted as a way of enforcing genuine data minimisation without hindering the exercise of data subject rights, and that the exercise of data subject rights must be made possible with the help of additional information provided by the data subject.

Кроме того, статья 85 требует, чтобы государства-члены по закону согласовывали защиту персональных данных с правом на свободу выражения мнения и информации. Для этого, в частности, требуется, чтобы государства-члены предусматривали соответствующие исключения или отступления от определенных положений GDPR (в том числе от требований прозрачности в соответствии со статьями 12-14) для обработки, выполняемой в журналистских, академических, художественных или литературных целях, если они необходимы для согласования этих двух прав.

Additionally, Article 85 requires Member States, by law, to reconcile data protection with the right to freedom of expression and information. This requires, amongst other things, that Member States provide for appropriate exemptions or derogations from certain provisions of the GDPR (including from the transparency requirements under Articles 12 — 14) for processing carried out for journalistic, academic, artistic or literary expression purposes, if they are necessary to reconcile the two rights.

Прозрачность и утечка данных

Transparency and data breaches

WP29 разработала отдельное Руководство по нарушению безопасности персональных данных[57], но для целей настоящего руководства обязательства контролера данных в отношении сообщения об утечке данных субъекту данных должны полностью учитывать требования прозрачности, изложенные в статье 12.[58] Передача утечки данных должна отвечать тем же требованиям, подробно изложенным выше (в частности, для использования ясного и понятного языка), которые применяются к любой другой коммуникации с субъектом данных в отношении их прав или в связи с передачей информации в соответствии со статьями 13 и 14.

WP29 has produced separate Guidelines on Data Breaches[57] but for the purposes of these guidelines, a data controller’s obligations in relation to communication of data breaches to a data subject must take full account of the transparency requirements set out in Article 12.[58] The communication of a data breach must satisfy the same requirements, detailed above (in particular for the use of clear and plain language), that apply to any other communication with a data subject in relation to their rights or in connection with conveying information under Articles 13 and 14.

[57] Руководство по уведомлению о нарушении безопасности персональных данных согласно Регламенту 2016/679, WP 250

[57] Guidelines on Personal data breach notification under Regulation 2016/679, WP 250

[58] Об этом ясно говорится в статье 12.1, которая конкретно отсылает к «…коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 …» [выделение добавлено].

[58] This is made clear by Article 12.1 which specifically refers to “…any communication under Articles 15 to 22 and 34 relating to processing to the data subject…” [emphasis added].