... Пример Поставщик медицинских услуг использует электронную форму на своем веб-сайте и бумажные формы в приемных своих клиник, чтобы упростить подачу запросов на доступ к персональным данным как онлайн, так и лично. Несмотря на то, что он предоставляет такие режимы, служба здравоохранения по-прежнему принимает запросы на доступ, представленные другими способами (например, письмом или по электронной почте), и предоставляет выделенный пункт связи (в который можно обратиться по электронной почте и по телефону), чтобы помочь субъектам данных осуществлять свои права. ...
... Example A health service provider uses an electronic form on its website, and paper forms in the receptions of its health clinics, to facilitate the submission of access requests for personal data both online and in person. While it provides these modalities, the health service still accepts access requests submitted in other ways (such as by letter and by email) and provides a dedicated point of contact (which can be accessed by email and by telephone) to help data subjects with the exercise of their rights. ...
... Пример Субъект данных регистрируется в службе онлайн-подписки с оплатой по факту. После регистрации контролер данных собирает данные о кредитоспособности субъекта данных с помощью кредитно-отчетного агентства, чтобы решить, следует ли предоставлять услугу. Протокол контролера должен информировать субъекта данных о сборе этих кредитных данных в течение трех дней после сбора в соответствии со статьей 14.3(а). Однако адрес и номер телефона субъекта данных не зарегистрированы в государственных реестрах (субъект данных фактически проживает за границей). Субъект данных не оставил адрес электронной почты при регистрации в службе или адрес электронной почты является недействительным. Контролер обнаруживает, что у него нет средств для непосредственного контакта с субъектом данных. В этом случае, контролер может предоставить информацию о сборе данных кредитной отчетности на своем веб-сайте до регистрации. В этом случае было бы невозможно предоставить информацию в соответствии со статьей 14. ...
... Example A data subject registers for a post-paid online subscription service. After registration, the data controller collects credit data from a credit-reporting agency on the data subject in order to decide whether to provide the service. The controller’s protocol is to inform data subjects of the collection of this credit data within three days of collection, pursuant to Article 14.3(a). However, the data subject’s address and phone number is not registered in public registries (the data subject is in fact living abroad). The data subject did not leave an email address when registering for the service or the email address is invalid. The controller finds that it has no means to directly contact the data subject. In this case, however, the controller may give information about collection of credit reporting data on its website, prior to registration. In this case, it would not be impossible to provide information pursuant to Article 14. ...
... (a) обрабатываться законно, справедливо и прозрачно для субъекта данных ( "законность, справедливость и прозрачность"); ...
... (a) processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); ...
... - Контролер данных или процессор платят оператору поисковой системы за службу интернет-ссылок, чтобы облегчить доступ к сайту для потребителей в Союзе; или контролер или процессор начали маркетинговые и рекламные компании, направленные на аудиторию стран ЕС ...
... — The data controller or processor pays a search engine operator for an internet referencing service in order to facilitate access to its site by consumers in the Union; or the controller or processor has launched marketing and advertisement campaigns directed at an EU country audience ...
... В тех случаях, когда контролер данных стремится полагаться на исключение в статье 14.5(b) на том основании, что предоставление информации потребует непропорциональных усилий, ему следует выполнить балансировку для оценки усилий, прилагаемых к контролеру данных для предоставления информации субъекту данных о воздействии и эффекте на субъект данных, если ему или ей не была предоставлена информация. Эта оценка должна быть задокументирована контролером данных в соответствии с его обязательствами по подотчетности. В таком случае статья 14.5(b) указывает, что контролер должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных. Это в равной степени относится и к случаям, когда контролер определяет, что предоставление информации оказывается невозможным или, скорее всего, сделает невозможным или нанесет серьезный ущерб достижению целей обработки. Одна соответствующая мера, как указано в статье 14.5(b), которую контролеры должны всегда принимать, состоит в том, чтобы сделать информацию общедоступной. Контролер может сделать это несколькими способами, например, разместив информацию на своем веб-сайте или заблаговременно разместив информацию в газете или на своих постерах. Другие надлежащие меры, помимо обеспечения доступности информации для общественности, будут зависеть от обстоятельств обработки, но могут включать: проведение оценки воздействия на защиту данных; применение методов псевдонимизации к данным; минимизация собранных данных и срока хранения; и реализация технических и организационных мер для обеспечения высокого уровня безопасности. Кроме того, могут быть ситуации, когда контролер данных обрабатывает персональные данные, которые не требуют идентификации субъекта данных (например, с псевдонимными данными). В таких случаях статья 11.1 также может также соответствовать ситуации, поскольку в ней говорится, что контролер данных не обязан хранить, получать или обрабатывать дополнительную информацию, чтобы идентифицировать субъект данных для единственных целей соблюдения GDPR. ...
... Where a data controller seeks to rely on the exception in Article 14.5(b) on the basis that provision of the information would involve a disproportionate effort, it should carry out a balancing exercise to assess the effort involved for the data controller to provide the information to the data subject against the impact and effects on the data subject if he or she was not provided with the information. This assessment should be documented by the data controller in accordance with its accountability obligations. In such a case, Article 14.5(b) specifies that the controller must take appropriate measures to protect the data subject’s rights, freedoms and legitimate interests. This applies equally where a controller determines that the provision of the information proves impossible, or would likely render impossible or seriously impair the achievement of the objectives of the processing. One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR. ...
... [15] Например, если контролер управляет веб-сайтом на соответствующем языке и/или предлагает варианты для конкретной страны и/или облегчает оплату товаров или услуг в валюте конкретной страны-участницы, то это может свидетельствовать о том, что контролер данных ориентирован на субъектов данных конкретной страны-участницы. ...
... [15] For example, where the controller operates a website in the language in question and/or offers specific country options and/or facilitates the payment for goods or services in the currency of a particular member state then these may be indicative of a data controller targeting data subjects of a particular member state. ...
... 1. Если применяется пункт (a) Статьи 6(1) при предоставлении услуг информационного общества непосредственно ребенку, обработка персональных данных ребенка является законной только в случае, если ребенку исполнилось как минимум 16 лет. Если ребенок еще не достиг возраста 16 лет, такая обработка является законной, исключительно в случаях, когда согласие было дано лицом, обладающим родительскими правами в отношении ребенка, или было дано с его одобрения. ...
... 1. Where point (a) of Article 6(1) applies, in relation to the offer of information society services directly to a child, the processing of the personal data of a child shall be lawful where the child is at least 16 years old. Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child. ...
... Политика конфиденциальности не должна быть трудной для доступа субъектов данных. Таким образом составляемая Политика конфиденциальности должна быть доступной и видимой на всех внутренних веб-страницах рассматриваемого сайта так, чтобы субъект данных всегда находится всего в одном клике от доступа к информации. Предоставленная информация должна быть разработана в соответствии с лучшими практиками и стандартами спроектированной приватности, чтобы сделать ее доступной для всех. ...
... The privacy policy should not be difficult for data subjects to access. The privacy policy is thus made available and visible on all web-pages of the site in question, so that the data subject is always only one click away from accessing the information. The information provided is also designed in accordance with the best practices and standards of universal design to make it accessible to all. ...
... (c) обработка необходима для защиты жизненных интересов субъекта данных, либо другого физического лица, когда субъект данных физически или юридически не способен дать согласие; ...
... (c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; ...