(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.
(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.
Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных
Article 13 GDPR. Information to be provided where personal data are collected from the data subject
Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных
Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject
Статья 15 GDPR. Право доступа субъекта данных
Article 15 GDPR. Right of access by the data subject
Статья 16 GDPR. Право на уточнение данных
Article 16 GDPR. Right to rectification
Статья 17 GDPR. Право на удаление данных ("право быть забытым")
Article 17 GDPR. Right to erasure (‘right to be forgotten’)
Статья 18 GDPR. Право на ограничение обработки
Article 18 GDPR. Right to restriction of processing
Статья 19 GDPR. Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработки
Article 19 GDPR. Notification obligation regarding rectification or erasure of personal data or restriction of processing
Статья 20 GDPR. Право на переносимость данных
Article 20 GDPR. Right to data portability
Статья 21 GDPR. Право на возражение
Article 21 GDPR. Right to object
Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Article 22 GDPR. Automated individual decision-making, including profiling
Статья 34 GDPR. Уведомление субъекта данных о нарушении безопасности персональных данных
Article 34 GDPR. Communication of a personal data breach to the data subject
3.1 Прозрачность [24]
3.1 Transparency [24]
[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB
[24]Elaboration on how to understand the concept of transparency can be found in Article 29 Working Party. «Guidelines on transparency under Regulation 2016/679». WP 260 rev.01, 11 April 2018. ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — endorsed by the EDPB
65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей
65. The controller must be clear and open with the data subject about how they will collect, use and share personal data. Transparency is about enabling data subjects to understand, and if necessary, make use of their rights in Articles 15 to 22. The principle is embedded in Articles 12, 13, 14 and 34. Measures and safeguards put in place to support the principle of transparency should also support the implementation of these Articles.
65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:
66. Key design and default elements for the principle of transparency may include:
•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.
•Clarity – Information shall be in clear and plain language, concise and intelligible.
•Семантика – коммуникация должна быть понятной для аудитории.
•Semantics – Communication should have a clear meaning to the audience in question.
•Доступность – информация должна быть легкодоступной для субъекта данных.
•Accessibility — Information shall be easily accessible for the data subject.
•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.
•Contextual – Information should be provided at the relevant time and in the appropriate form.
•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.
•Relevance – Information should be relevant and applicable to the specific data subject.
•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.
•Universal design – Information shall be accessible to all data subjects, include use of machine readable languages to facilitate and automate readability and clarity.
•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.
•Comprehensible – Data subjects should have a fair understanding of what they can expect with regards to the processing of their personal data, particularly when the data subjects are children or other vulnerable groups.
•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.
• Multi-channel – Information should be provided in different channels and media, not only the textual, to increase the probability for the information to effectively reach the data subject.
• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.
• Layered – The information should be layered in a manner that resolves the tension between completeness and understanding, while accounting for data subjects’ reasonable expectations.
«Кратко, прозрачно, понятно и легкодоступно»
“Concise, transparent, intelligible and easily accessible”
Требование того, чтобы предоставление информации субъектам данных и коммуникация с ними осуществлялось «кратко и прозрачно», означает, что контролеры данных должны предоставлять информацию/сообщения эффективно и лаконично, чтобы избежать информационной усталости. Эту информацию следует четко отличать от другой информации, не связанной с приватностью, такой как условия договора или общие условия использования. В режиме онлайн использование многоуровневой политика приватности позволит субъекту данных перейти к определенному разделу политики приватности, к которому он хочет получить немедленный доступ, вместо того, чтобы просматривать большие объемы текста в поисках конкретных проблемы.
The requirement that the provision of information to, and communication with, data subjects is done in a “concise and transparent” manner means that data controllers should present the information/ communication efficiently and succinctly in order to avoid information fatigue. This information should be clearly differentiated from other non-privacy related information such as contractual provisions or general terms of use. In an online context, the use of a layered privacy statement/ notice will enable a data subject to navigate to the particular section of the privacy statement/ notice which they want to immediately access rather than having to scroll through large amounts of text searching for particular issues.
«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).
The “easily accessible” element means that the data subject should not have to seek out the information; it should be immediately apparent to them where and how this information can be accessed, for example by providing it directly to them, by linking them to it, by clearly signposting it or as an answer to a natural language question (for example in an online layered privacy statement/ notice, in FAQs, by way of contextual pop-ups which activate when a data subject fills in an online form, or in an interactive digital context through a chatbot interface, etc. These mechanisms are further considered below, including at paragraphs 33 to 40).
“Ясный и простой язык”
“Clear and plain language”
При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.
With written information (and where written information is delivered orally, or by audio/ audiovisual methods, including for vision-impaired data subjects), best practices for clear writing should be followed.11 A similar language requirement (for “plain, intelligible language”) has previously been used by the EU legislator12 and is also explicitly referred to in the context of consent in Recital 42 of the GDPR13. The requirement for clear and plain language means that information should be provided in as simple a manner as possible, avoiding complex sentence and language structures. The information should be concrete and definitive; it should not be phrased in abstract or ambivalent terms or leave room for different interpretations. In particular the purposes of, and legal basis for, processing the personal data should be clear.
«В текстовом виде или другими способами»
“In writing or by other means”
Разумеется, использование цифровых многоуровневых политик приватности не является единственными текстовым электронным средством, которым могут воспользоваться контролеры. К другим электронным средствам относятся контекстные всплывающие «точно в срок» уведомления, уведомления в формате 3D touch или hover-over, а также панели приватности. Электронные средства в нетекстовой форме, которые могут использоваться в дополнение к многоуровневой политике приватности могут включать в себя видео и голосовые оповещения со смартфонов или IoT.[25] В качестве «иных средств», которые не обязательно являются электронными, могут выступать, например, мультфильмы, инфографика или блок-схемы программ. В тех случаях, когда информация о прозрачности предназначена конкретно для детей, контролеры должны рассмотреть вопрос о том, какие виды средств могут быть в особенности доступны детям (например, среди прочего это могут быть комиксы/мультфильмы, графические изображения, анимации и т.д.).
Of course, the use of digital layered privacy statements/ notices is not the only written electronic means that can be deployed by controllers. Other electronic means include “justin-time” contextual pop-up notices, 3D touch or hover-over notices, and privacy dashboards. Non-written electronic means which may be used in addition to a layered privacy statement/ notice might include videos and smartphone or IoT voice alerts.[25] “Other means”, which are not necessarily electronic, might include, for example, cartoons, infographics or flowcharts. Where transparency information is directed at children specifically, controllers should consider what types of measures may be particularly accessible to children (e.g. these might be comics/ cartoons, pictograms, animations, etc. amongst other measures).
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 12(2) GDPR:
7.3.1 Определение и выполнение обязательств перед субъектами ПИИ
Средство управления
Организация должна определить и задокументировать свои юридические, нормативные и коммерческие обязательства перед субъектами ПИИ, связанные с обработкой их ПИИ, и предоставить средства для выполнения этих обязательств.
…
Войти
для доступа к полному тексту