... Пример Поставщик медицинских услуг использует электронную форму на своем веб-сайте и бумажные формы в приемных своих клиник, чтобы упростить подачу запросов на доступ к персональным данным как онлайн, так и лично. Несмотря на то, что он предоставляет такие режимы, служба здравоохранения по-прежнему принимает запросы на доступ, представленные другими способами (например, письмом или по электронной почте), и предоставляет выделенный пункт связи (в который можно обратиться по электронной почте и по телефону), чтобы помочь субъектам данных осуществлять свои права. ...
... Example A health service provider uses an electronic form on its website, and paper forms in the receptions of its health clinics, to facilitate the submission of access requests for personal data both online and in person. While it provides these modalities, the health service still accepts access requests submitted in other ways (such as by letter and by email) and provides a dedicated point of contact (which can be accessed by email and by telephone) to help data subjects with the exercise of their rights. ...
... Пример Субъект данных регистрируется в службе онлайн-подписки с оплатой по факту. После регистрации контролер данных собирает данные о кредитоспособности субъекта данных с помощью кредитно-отчетного агентства, чтобы решить, следует ли предоставлять услугу. Протокол контролера должен информировать субъекта данных о сборе этих кредитных данных в течение трех дней после сбора в соответствии со статьей 14.3(а). Однако адрес и номер телефона субъекта данных не зарегистрированы в государственных реестрах (субъект данных фактически проживает за границей). Субъект данных не оставил адрес электронной почты при регистрации в службе или адрес электронной почты является недействительным. Контролер обнаруживает, что у него нет средств для непосредственного контакта с субъектом данных. В этом случае, контролер может предоставить информацию о сборе данных кредитной отчетности на своем веб-сайте до регистрации. В этом случае было бы невозможно предоставить информацию в соответствии со статьей 14. ...
... Example A data subject registers for a post-paid online subscription service. After registration, the data controller collects credit data from a credit-reporting agency on the data subject in order to decide whether to provide the service. The controller’s protocol is to inform data subjects of the collection of this credit data within three days of collection, pursuant to Article 14.3(a). However, the data subject’s address and phone number is not registered in public registries (the data subject is in fact living abroad). The data subject did not leave an email address when registering for the service or the email address is invalid. The controller finds that it has no means to directly contact the data subject. In this case, however, the controller may give information about collection of credit reporting data on its website, prior to registration. In this case, it would not be impossible to provide information pursuant to Article 14. ...
... Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации. ...
... The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website. ...
... В тех случаях, когда контролер данных стремится полагаться на исключение в статье 14.5(b) на том основании, что предоставление информации потребует непропорциональных усилий, ему следует выполнить балансировку для оценки усилий, прилагаемых к контролеру данных для предоставления информации субъекту данных о воздействии и эффекте на субъект данных, если ему или ей не была предоставлена информация. Эта оценка должна быть задокументирована контролером данных в соответствии с его обязательствами по подотчетности. В таком случае статья 14.5(b) указывает, что контролер должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных. Это в равной степени относится и к случаям, когда контролер определяет, что предоставление информации оказывается невозможным или, скорее всего, сделает невозможным или нанесет серьезный ущерб достижению целей обработки. Одна соответствующая мера, как указано в статье 14.5(b), которую контролеры должны всегда принимать, состоит в том, чтобы сделать информацию общедоступной. Контролер может сделать это несколькими способами, например, разместив информацию на своем веб-сайте или заблаговременно разместив информацию в газете или на своих постерах. Другие надлежащие меры, помимо обеспечения доступности информации для общественности, будут зависеть от обстоятельств обработки, но могут включать: проведение оценки воздействия на защиту данных; применение методов псевдонимизации к данным; минимизация собранных данных и срока хранения; и реализация технических и организационных мер для обеспечения высокого уровня безопасности. Кроме того, могут быть ситуации, когда контролер данных обрабатывает персональные данные, которые не требуют идентификации субъекта данных (например, с псевдонимными данными). В таких случаях статья 11.1 также может также соответствовать ситуации, поскольку в ней говорится, что контролер данных не обязан хранить, получать или обрабатывать дополнительную информацию, чтобы идентифицировать субъект данных для единственных целей соблюдения GDPR. ...
... Where a data controller seeks to rely on the exception in Article 14.5(b) on the basis that provision of the information would involve a disproportionate effort, it should carry out a balancing exercise to assess the effort involved for the data controller to provide the information to the data subject against the impact and effects on the data subject if he or she was not provided with the information. This assessment should be documented by the data controller in accordance with its accountability obligations. In such a case, Article 14.5(b) specifies that the controller must take appropriate measures to protect the data subject’s rights, freedoms and legitimate interests. This applies equally where a controller determines that the provision of the information proves impossible, or would likely render impossible or seriously impair the achievement of the objectives of the processing. One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR. ...
... Однако важно напомнить, что пункт 23 декларативной части подтверждает, что простая доступность веб-сайта контролера, процессора или посредника в Союзе, упоминание на веб-сайте его адреса электронной почты или географического адреса, или его телефонного номера без международного кода само по себе не представляет достаточных доказательств, чтобы продемонстрировать намерение контролера или процессора предложить товары или услуги субъекту данных, расположенному в Союзе. В этом контексте EDPB напоминает, что когда товары или услуги непреднамеренно или случайно предоставляются лицу на территории Союза, соответствующая обработка персональных данных не попадает в территориальные рамки GDPR. ...
... It is however important to recall that Recital 23 confirms that the mere accessibility of the controller’s, processor’s or an intermediary’s website in the Union, the mention on the website of its e-mail or geographical address, or of its telephone number without an international code, does not, of itself, provide sufficient evidence to demonstrate the controller or processor’s intention to offer goods or a services to a data subject located in the Union. In this context, the EDPB recalls that when goods or services are inadvertently or incidentally provided to a person on the territory of the Union, the related processing of personal data would not fall within the territorial scope of the GDPR. ...
... Пример 14. Веб-сайт, расположенный и администрируемый в Турции, предлагает услуги по созданию, редактированию, печати и доставке персонализированных фотоальбомов семейных фотографий. Сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. ...
... Example 14: A website, based and managed in Turkey, offers services for the creation, editing, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros. The website indicates that photo albums can only be delivered by post mail in France, Benelux countries and Germany. ...
... Контролер разрабатывает политику конфиденциальности на своем веб-сайте для того, чтобы соответствовать требованиям прозрачности. Политика конфиденциальности не должна содержать большой объем информации, которая является сложной для восприятия среднестатистическим субъектом данных. Она должны быть написана простым и лаконичным языком, чтобы пользователь сайта понимал, как обрабатываются его персональные данные. Для этих целей контроллер предоставляет информацию в многоуровневом виде, где наиболее важные моменты выделяются. Более детальная информация легко доступна. Раскрывающиеся меню и ссылки на другие страницы предоставляются для дальнейшего разъяснения этих понятий в политике конфиденциальности. Контроллер также следит за тем, чтобы информация предоставлялась в многоканальном режиме, представляющем собой видеоклипы для объяснения наиболее важных моментов написанной информации. Связь между различными страницами крайне важна для того, чтобы многоуровневый подход не усиливал путаницу, а скорее уменьшал ее. ...
... A controller is designing a privacy policy on their website in order to comply with the requirements of transparency. The privacy policy should not contain a lengthy bulk of information that is difficult for the average data subject to penetrate and understand. It shall be written in clear and concise language and make it easy for the user of the website to understand how their personal data is processed. The controller therefore provides information in a layered manner, where the most important points are highlighted. More detailed information is made easily available. Drop-down menus and links to other pages are provided to further explain the various items, and concepts used in the policy. The controller also makes sure that the information is provided in a multi-channel manner, providing video clips to explain the most important points of the written information. Synergy between the various pages is vital to ensure that the layered approach does not heighten confusion, rather reduce it. ...
... В статьях 13 и 14 говорится об обязанности контролера данных "предоставлять субъекту данных все следующие сведения...". Ключевое слово здесь — "предоставлять". Это означает, что контролер данных должен предпринять активные действия для предоставления соответствующей информации субъекту данных или для активного направления данных субъекту в зависимости от его местонахождения (например, посредством прямой ссылки, использования QR-кода и т.д.). Субъект данных не должен активно искать информацию, о которой идет речь в этих статьях, среди другой информации (например, об условиях пользования веб-сайтом или приложением). Пример в пункте 11 демонстрирует этот момент. Как отмечалось выше в пункте 17, WP29 рекомендует, чтобы вся информация, адресованная субъектам данных, была также доступна им в одном месте или содержалась в одном полном документе (например, в цифровой форме на веб-сайте или в бумажном формате), к которому можно было легко получить доступ в том случае, если субъекты данных захотят ознакомиться со всей информацией. ...
... Both Articles 13 and 14 refer to the obligation on the data controller to “provide the data subject with all of the following information…” The operative word here is “provide”. This means that the data controller must take active steps to furnish the information in question to the data subject or to actively direct the data subject to the location of it (e.g. by way of a direct link, use of a QR code, etc.). The data subject must not have to actively search for information covered by these articles amongst other information, such as terms and conditions of use of a website or app. The example at paragraph 11 illustrates this point. As noted above at paragraph 17, WP29 recommends that the entirety of the information addressed to data subjects should also be available to them in one single place or one complete document (e.g. whether in a digital form on a website or in paper format) which can be easily accessed should they wish to consult the entirety of the information. ...
... 96. [Пример 17] Контроллер данных может также получить явное согласие посетителя на своем веб-сайте, предложив на экране отчетливое согласие, которое содержит флажки “Да” и “Нет”, при условии, что в тексте четко указано согласие, например “Я, настоящим подтверждением, даю согласие на обработку моих данных”, а не, например, “Мне ясно, что мои данные будут обработаны”. Само собой разумеется, что должны быть выполнены условия для информированного согласия, а также другие условия для получения действительного согласия. ...
... 96. [Example 17] A data controller may also obtain explicit consent from a visitor to its website by offering an explicit consent screen that contains Yes and No check boxes, provided that the text clearly indicates the consent, for instance “I, hereby, consent to the processing of my data”, and not for instance, “It is clear to me that my data will be processed”. It goes without saying that the conditions for informed consent as well as the other conditions for obtaining valid consent should be met. ...
... 18. [Пример 2] Местный муниципалитет планирует ремонтные работы. Поскольку дорожные работы могут нарушить движение на долгое время, муниципалитет предлагает гражданам подписаться на рассылку, чтобы получать обновления о ходе работ и ожидаемых задержках. Муниципалитет ясно дает понять, что данная возможность носит добровольный характер, и просит дать согласие на использование адресов электронной почты только для этой (исключительной) цели. Граждане, которые не дают согласие, не лишаются услуг, предлагаемые муниципалитетом или реализации какого-либо права, поэтому они могут свободно давать согласие или отказываться. Вся информация о дорожных работах также будет доступна на сайте муниципалитета. ...
... 18. [Example 2] A local municipality is planning road maintenance works. As the road works may disrupt traffic for a long time, the municipality offers its citizens the opportunity to subscribe to an email list to receive updates on the progress of the works and on expected delays. The municipality makes clear that there is no obligation to participate and asks for consent to use email addresses for this (exclusive) purpose. Citizens that do not consent will not miss out on any core service of the municipality or the exercise of any right, so they are able to give or refuse their consent to this use of data freely. All information on the road works will also be available on the municipality’s website. ...