... Контролер разрабатывает политику конфиденциальности на своем веб-сайте для того, чтобы соответствовать требованиям прозрачности. Политика конфиденциальности не должна содержать большой объем информации, которая является сложной для восприятия среднестатистическим субъектом данных. Она должны быть написана простым и лаконичным языком, чтобы пользователь сайта понимал, как обрабатываются его персональные данные. Для этих целей контроллер предоставляет информацию в многоуровневом виде, где наиболее важные моменты выделяются. Более детальная информация легко доступна. Раскрывающиеся меню и ссылки на другие страницы предоставляются для дальнейшего разъяснения этих понятий в политике конфиденциальности. Контроллер также следит за тем, чтобы информация предоставлялась в многоканальном режиме, представляющем собой видеоклипы для объяснения наиболее важных моментов написанной информации. Связь между различными страницами крайне важна для того, чтобы многоуровневый подход не усиливал путаницу, а скорее уменьшал ее. ...
... A controller is designing a privacy policy on their website in order to comply with the requirements of transparency. The privacy policy should not contain a lengthy bulk of information that is difficult for the average data subject to penetrate and understand. It shall be written in clear and concise language and make it easy for the user of the website to understand how their personal data is processed. The controller therefore provides information in a layered manner, where the most important points are highlighted. More detailed information is made easily available. Drop-down menus and links to other pages are provided to further explain the various items, and concepts used in the policy. The controller also makes sure that the information is provided in a multi-channel manner, providing video clips to explain the most important points of the written information. Synergy between the various pages is vital to ensure that the layered approach does not heighten confusion, rather reduce it. ...
... Пример 14. Веб-сайт, расположенный и администрируемый в Турции, предлагает услуги по созданию, редактированию, печати и доставке персонализированных фотоальбомов семейных фотографий. Сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. ...
... Example 14: A website, based and managed in Turkey, offers services for the creation, editing, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros. The website indicates that photo albums can only be delivered by post mail in France, Benelux countries and Germany. ...
... Пример Поставщик медицинских услуг использует электронную форму на своем веб-сайте и бумажные формы в приемных своих клиник, чтобы упростить подачу запросов на доступ к персональным данным как онлайн, так и лично. Несмотря на то, что он предоставляет такие режимы, служба здравоохранения по-прежнему принимает запросы на доступ, представленные другими способами (например, письмом или по электронной почте), и предоставляет выделенный пункт связи (в который можно обратиться по электронной почте и по телефону), чтобы помочь субъектам данных осуществлять свои права. ...
... Example A health service provider uses an electronic form on its website, and paper forms in the receptions of its health clinics, to facilitate the submission of access requests for personal data both online and in person. While it provides these modalities, the health service still accepts access requests submitted in other ways (such as by letter and by email) and provides a dedicated point of contact (which can be accessed by email and by telephone) to help data subjects with the exercise of their rights. ...
... В тех случаях, когда контролер данных стремится полагаться на исключение в статье 14.5(b) на том основании, что предоставление информации потребует непропорциональных усилий, ему следует выполнить балансировку для оценки усилий, прилагаемых к контролеру данных для предоставления информации субъекту данных о воздействии и эффекте на субъект данных, если ему или ей не была предоставлена информация. Эта оценка должна быть задокументирована контролером данных в соответствии с его обязательствами по подотчетности. В таком случае статья 14.5(b) указывает, что контролер должен принять соответствующие меры для защиты прав, свобод и легитимных интересов субъекта данных. Это в равной степени относится и к случаям, когда контролер определяет, что предоставление информации оказывается невозможным или, скорее всего, сделает невозможным или нанесет серьезный ущерб достижению целей обработки. Одна соответствующая мера, как указано в статье 14.5(b), которую контролеры должны всегда принимать, состоит в том, чтобы сделать информацию общедоступной. Контролер может сделать это несколькими способами, например, разместив информацию на своем веб-сайте или заблаговременно разместив информацию в газете или на своих постерах. Другие надлежащие меры, помимо обеспечения доступности информации для общественности, будут зависеть от обстоятельств обработки, но могут включать: проведение оценки воздействия на защиту данных; применение методов псевдонимизации к данным; минимизация собранных данных и срока хранения; и реализация технических и организационных мер для обеспечения высокого уровня безопасности. Кроме того, могут быть ситуации, когда контролер данных обрабатывает персональные данные, которые не требуют идентификации субъекта данных (например, с псевдонимными данными). В таких случаях статья 11.1 также может также соответствовать ситуации, поскольку в ней говорится, что контролер данных не обязан хранить, получать или обрабатывать дополнительную информацию, чтобы идентифицировать субъект данных для единственных целей соблюдения GDPR. ...
... Where a data controller seeks to rely on the exception in Article 14.5(b) on the basis that provision of the information would involve a disproportionate effort, it should carry out a balancing exercise to assess the effort involved for the data controller to provide the information to the data subject against the impact and effects on the data subject if he or she was not provided with the information. This assessment should be documented by the data controller in accordance with its accountability obligations. In such a case, Article 14.5(b) specifies that the controller must take appropriate measures to protect the data subject’s rights, freedoms and legitimate interests. This applies equally where a controller determines that the provision of the information proves impossible, or would likely render impossible or seriously impair the achievement of the objectives of the processing. One appropriate measure, as specified in Article 14.5(b), that controllers must always take is to make the information publicly available. A controller can do this in a number of ways, for instance by putting the information on its website, or by proactively advertising the information in a newspaper or on posters on its premises. Other appropriate measures, in addition to making the information publicly available, will depend on the circumstances of the processing, but may include: undertaking a data protection impact assessment; applying pseudonymisation techniques to the data; minimising the data collected and the storage period; and implementing technical and organisational measures to ensure a high level of security. Furthermore, there may be situations where a data controller is processing personal data which does not require the identification of a data subject (for example with pseudonymised data). In such cases, Article 11.1 may also be relevant as it states that a data controller shall not be obliged to maintain, acquire or process additional information in order to identify the data subject for the sole purposes of complying with the GDPR. ...
... Контактные данные DPO должны включать в себя информацию, позволяющую субъектам данных и надзорным органам связаться с DPO простым способом (почтовый адрес, специальный телефонный номер и (или) специальный адрес электронной почты). При необходимости, для целей связи с общественностью, также могут быть предусмотрены другие средства связи, например, специальная горячая линия или специальный контактный формуляр на имя DPO на веб-сайте организации. ...
... The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website. ...
... Пример Субъект данных регистрируется в службе онлайн-подписки с оплатой по факту. После регистрации контролер данных собирает данные о кредитоспособности субъекта данных с помощью кредитно-отчетного агентства, чтобы решить, следует ли предоставлять услугу. Протокол контролера должен информировать субъекта данных о сборе этих кредитных данных в течение трех дней после сбора в соответствии со статьей 14.3(а). Однако адрес и номер телефона субъекта данных не зарегистрированы в государственных реестрах (субъект данных фактически проживает за границей). Субъект данных не оставил адрес электронной почты при регистрации в службе или адрес электронной почты является недействительным. Контролер обнаруживает, что у него нет средств для непосредственного контакта с субъектом данных. В этом случае, контролер может предоставить информацию о сборе данных кредитной отчетности на своем веб-сайте до регистрации. В этом случае было бы невозможно предоставить информацию в соответствии со статьей 14. ...
... Example A data subject registers for a post-paid online subscription service. After registration, the data controller collects credit data from a credit-reporting agency on the data subject in order to decide whether to provide the service. The controller’s protocol is to inform data subjects of the collection of this credit data within three days of collection, pursuant to Article 14.3(a). However, the data subject’s address and phone number is not registered in public registries (the data subject is in fact living abroad). The data subject did not leave an email address when registering for the service or the email address is invalid. The controller finds that it has no means to directly contact the data subject. In this case, however, the controller may give information about collection of credit reporting data on its website, prior to registration. In this case, it would not be impossible to provide information pursuant to Article 14. ...
... [46] “Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете.” ...
... [46] “Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising.” ...
... 90. Когда операция по обработке, выполняемая контроллером или процессором, сертифицирована в соответствии со Статьей 42, элементами, которые способствуют демонстрации соблюдения требований Статьи 25(1) и (2), являются процессы проектирования, т.е. процесс определения средств обработки, управление и технические и организационные меры по реализации принципов защиты данных. Критерии сертификации по защите персональных данных определяются сертификационными органами или владельцами сертификационных схем и затем утверждаются компетентным надзорным органом или EDPB. Для получения дополнительной информации о механизмах сертификации мы обращаемся к Руководству по сертификации [42] EDPB и другим соответствующим руководствам, опубликованным на веб-сайте EDPB. ...
... 90. When a processing operation by a controller or processor is certified according to Article 42, the elements that contribute to demonstrating compliance with Article 25(1) and (2) are the design processes, i.e. the process of determining the means of processing, the governance and the technical and organizational measures to implement the data protection principles The data protection certification criteria are determined by the certification bodies or certification scheme owners and then approved by the competent supervisory authority or by the EDPB. For further information about certification mechanisms, we refer the reader to the EDPB Guideline on Certification[42] and other relevant guidance, as published on the EDPB website. ...
... Пример 24. Веб-сайт, упомянутый в примере 12, расположенные в Турции и управляемый оттуда, предлагает услуги по созданию, изданию, печати и доставке персонализированных семейных фотоальбомов. Веб-сайт доступен на английском, французском, голландском и немецком языках, а платежи могут быть сделаны в евро или стерлингах. На сайте указано, что фотоальбомы могут быть доставлены только по почте во Францию, страны Бенилюкса и Германию. Этот веб-сайт подпадает под действие GDPR согласно статье 3(2)(а), и как контролер данных должен назначить представителя в Союзе. ...
... Example 24: The website referred to in example 12, based and managed in Turkey, offers services for the creation, edition, printing and shipping of personalised family photo albums. The website is available in English, French, Dutch and German and payments can be made in Euros or Sterling. The website indicates that photo albums can only be delivered by post mail in the France, Benelux countries and Germany. This website being subject to the GDPR, as per its Article 3(2)(a), the data controller must designate a representative in the Union. ...
... Пример Каждая организация, поддерживающая веб-сайт, должна опубликовать политику приватности на веб-сайте. Прямая ссылка на данную политику приватности должна быть четко видна на каждой странице данного веб-сайта под общепринятым термином (таким как "Приватность", "Политика приватности" или "Уведомление о защите персональных данных"). Такое размещение или цветовое оформление, которые делают текст или ссылку менее заметной или труднодоступной на веб-странице, не могут считаться легкодоступными. Для приложений, необходимая информация также должна быть доступна в интернет-магазине до их загрузки. После установки приложения, информация должна продолжать оставаться легкодоступной в рамках приложения. Одним из способов выполнения этого требования является обеспечение того, чтобы информация являлась всегда доступной в пределе "двух нажатий" (например, путем включения опции "Приватность"/ "Защита персональных данных" в функциональные возможности меню приложения). Кроме того, рассматриваемая информация в отношении порядка использования персональных данных должна быть специфичной для конкретного приложения и не должна быть просто шаблонной политикой приватности компании, которая является владельцем приложения или делает его доступным для общественности. В качестве рекомендуемой практики WP29 предлагает, чтобы на момент сбора персональных данных в режиме онлайн предоставлялась ссылка на политику приватности или чтобы эта информация была доступна на той же странице, на которой собираются персональные данные. ...
... Example Every organisation that maintains a website should publish a privacy statement/ notice on the website. A direct link to this privacy statement/ notice should be clearly visible on each page of this website under a commonly used term (such as “Privacy”, “Privacy Policy” or “Data Protection Notice”). Positioning or colour schemes that make a text or link less noticeable, or hard to find on a webpage, are not considered easily accessible. For apps, the necessary information should also be made available from an online store prior to download. Once the app is installed, the information still needs to be easily accessible from within the app. One way to meet this requirement is to ensure that the information is never more than “two taps away” (e.g. by including a “Privacy”/ “Data Protection” option in the menu functionality of the app). Additionally, the privacy information in question should be specific to the particular app and should not merely be the generic privacy policy of the company that owns the app or makes it available to the public. WP29 recommends as a best practice that at the point of collection of the personal data in an online context a link to the privacy statement/ notice is provided or that this information is made available on the same page on which the personal data is collected. ...