Статья 12 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных
Article 12 GDPR. Transparent information, communication and modalities for the exercise of the rights of the data subject
1.Контролёр принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка, — особенно, когда информация адресована ребенку. Информация должна быть представлена в письменной форме, или с помощью других средств, в том числе, в случае необходимости, электронными средствами. По просьбе субъекта данных, информация может быть предоставлена устно, при условии, что личность субъекта данных подтверждена при помощи других средств.
1. The controller shall take appropriate measures to provide any information referred to in Articles 13 and 14 and any communication under Articles 15 to 22 and 34 relating to processing to the data subject in a concise, transparent, intelligible and easily accessible form, using clear and plain language, in particular for any information addressed specifically to a child. The information shall be provided in writing, or by other means, including, where appropriate, by electronic means. When requested by the data subject, the information may be provided orally, provided that the identity of the data subject is proven by other means.
(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.
(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.
Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Article 22 GDPR. Automated individual decision-making, including profiling
Статья 34 GDPR. Уведомление субъекта данных о нарушении безопасности персональных данных
Article 34 GDPR. Communication of a personal data breach to the data subject
2.Контролёр должен содействовать субъекту данных в осуществлении прав, наделенных ему в соответствии со статьями 15 до 22. В случаях, указанных в статье 11(2), контролёр не должен отказывать запросу субъекта данных в реализации своих прав в соответствии со статьями 15-22 кроме тех случаев, когда контролёр докажет, что он не в состоянии идентифицировать субъекта данных.
2. The controller shall facilitate the exercise of data subject rights under Articles 15 to 22. In the cases referred to in Article 11(2), the controller shall not refuse to act on the request of the data subject for exercising his or her rights under Articles 15 to 22, unless the controller demonstrates that it is not in a position to identify the data subject.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 12(2) GDPR:
7.3.1 Determining and fulfilling obligations to PII principals
Control
The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.
Implementation guidance
Obligations to PII principals and the means to support them vary from one jurisdiction to another.
The organization should ensure that they provide the appropriate means to meet the obligations to PII principals in an accessible and timely manner. Clear documentation should be provided to the PII principal describing the extent to which the obligations to them are fulfilled and how, along with an up- to-date contact point where they can address their requests.
The contact point should be provided in a similar way to that used to collect PII and consent (e.g. if PII are collected by email or a website, the contact point should be by email or the website, not an alternative such as phone or fax).
(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.
(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.
(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.
(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.
Article 11 GDPR. Processing which does not require identification
[…]
[…]
2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.
2. Where, in cases referred to in paragraph 1 of this Article, the controller is able to demonstrate that it is not in a position to identify the data subject, the controller shall inform the data subject accordingly, if possible. In such cases, Articles 15 to 20 shall not apply except where the data subject, for the purpose of exercising his or her rights under those articles, provides additional information enabling his or her identification.
3.Контролёр без неоправданной задержки — и в любом случае в течение одного месяца с момента получения запроса – представляет субъекту персональных данных информацию о мерах, принятых в связи с запросом на основании ст. 15-22. В случае необходимости этот срок может быть продлен еще на два месяца ввиду сложного характера запроса или количества запросов. В течение одного месяца с момента получения запроса контролёр должен сообщить субъекту данных о таком продлении срока, с указанием причин задержки. Если субъект данных направил свой запрос в электронном виде, насколько это возможно, информация также предоставляется в электронном виде, если субъект данных не запросил иную форму.
3. The controller shall provide information on action taken on a request under Articles 15 to 22 to the data subject without undue delay and in any event within one month of receipt of the request. That period may be extended by two further months where necessary, taking into account the complexity and number of the requests. The controller shall inform the data subject of any such extension within one month of receipt of the request, together with the reasons for the delay. Where the data subject makes the request by electronic form means, the information shall be provided by electronic means where possible, unless otherwise requested by the data subject.
Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Article 22 GDPR. Automated individual decision-making, including profiling
4. Если контролёр не предпринимает никаких действий по просьбе субъекта персональных данных, он обязан без задержки и не позднее одного месяца с момента получения запроса сообщить субъекту персональных данных о причинах непринятия мер и о возможности подать жалобу в надзорный орган органу и воспользоваться средствами судебной защиты.
4. If the controller does not take action on the request of the data subject, the controller shall inform the data subject without delay and at the latest within one month of receipt of the request of the reasons for not taking action and on the possibility of lodging a complaint with a supervisory authority and seeking a judicial remedy.
5. Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно. Если запросы субъекта данных являются явно необоснованными или чрезмерными, в частности, из-за их повторяющегося характера, контролёр может:
5. Information provided under Articles 13 and 14 and any communication and any actions taken under Articles 15 to 22 and 34 shall be provided free of charge. Where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character, the controller may either:
Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Article 22 GDPR. Automated individual decision-making, including profiling
a) взимать разумную плату, с учетом административных расходов на предоставление информации, ведения коммуникации или реализации запрашиваемых действий; или
(a) charge a reasonable fee taking into account the administrative costs of providing the information or communication or taking the action requested; or
b) отказываться от реализации действий в связи с запросом.
(b) refuse to act on the request.
Бремя доказательства, что просьба является явно необоснованной или носит чрезмерный характер, возлагается на контролёра.
The controller shall bear the burden of demonstrating the manifestly unfounded or excessive character of the request.
6. Не умаляя положений статьи 11, если контролёр имеет обоснованные сомнения в личности физического лица, делающего запрос, указанный в статьях 15-21, контролёр может запросить дополнительную информацию, необходимую для подтверждения личности субъекта данных.
6. Without prejudice to Article 11, where the controller has reasonable doubts concerning the identity of the natural person making the request referred to in Articles 15 to 21, the controller may request the provision of additional information necessary to confirm the identity of the data subject.
7. Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми.
7. The information to be provided to data subjects pursuant to Articles 13 and 14 may be provided in combination with standardised icons in order to give in an easily visible, intelligible and clearly legible manner a meaningful overview of the intended processing. Where the icons are presented electronically they shall be machine-readable.
Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных
Article 13 GDPR. Information to be provided where personal data are collected from the data subject
Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных
Article 14 GDPR. Information to be provided where personal data have not been obtained from the data subject
8. Комиссия имеет право принимать делегированные акты в соответствии со статьей 92, чтобы определить информацию, которая будет представляться с помощью пиктограмм, и установить процедуры их введения.
8. The Commission shall be empowered to adopt delegated acts in accordance with Article 92 for the purpose of determining the information to be presented by the icons and the procedures for providing standardised icons.
Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.
В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.
Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».
Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.
Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.
Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».
Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).
Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.
Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.
Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).
Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).
Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.
В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.
Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.
Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.
Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.
На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.
Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraphs to article 12 GDPR:
7.3.3 Providing information to PII principals
Control
The organization should provide PII principals with clear and easily accessible information identifying the PII controller and describing the processing of their PII.
Implementation guidance
The organization should provide the information detailed in 7.3.2 to PII principals in a timely, concise, complete, transparent, intelligible and easily accessible form, using clear and plain language, as appropriate to the target audience.
Where appropriate, the information should be given at the time of PII collection. It should also be permanently accessible.
NOTE Icons and images can be helpful to the PII principal by giving a visual overview of the intended processing.
7.3.9 Handling requests
Control
The organization should define and document policies and procedures for handling and responding to legitimate requests from PII principals.
Implementation guidance
Legitimate requests can include requests for a copy of PII processed, or requests to lodge a complaint.
Some jurisdictions allow the organization to charge a fee in certain cases (e.g. excessive or repetitive requests).
Requests should be handled within the appropriate defined response times.
Some jurisdictions define response times, depending on the complexity and number of the requests, as well as requirements to inform PII principals of any delay. The appropriate response times should be defined in the privacy policy.
(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.
(58) The principle of transparency requires that any information addressed to the public or to the data subject be concise, easily accessible and easy to understand, and that clear and plain language and, additionally, where appropriate, visualisation be used. Such information could be provided in electronic form, for example, when addressed to the public, through a website. This is of particular relevance in situations where the proliferation of actors and the technological complexity of practice make it difficult for the data subject to know and understand whether, by whom and for what purpose personal data relating to him or her are being collected, such as in the case of online advertising. Given that children merit specific protection, any information and communication, where processing is addressed to a child, should be in such a clear and plain language that the child can easily understand.
(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.
(59) Modalities should be provided for facilitating the exercise of the data subject's rights under this Regulation, including mechanisms to request and, if applicable, obtain, free of charge, in particular, access to and rectification or erasure of personal data and the exercise of the right to object. The controller should also provide means for requests to be made electronically, especially where personal data are processed by electronic means. The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests.
(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.
(64) The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests.
(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.
Here is the relevant paragraph to article 12(2) GDPR:
7.3.1 Determining and fulfilling obligations to PII principals
Control
The organization should determine and document their legal, regulatory and business obligations to PII principals related to the processing of their PII and provide the means to meet these obligations.
Implementation guidance
Obligations to PII principals and the means to support them vary from one jurisdiction to another.
The organization should ensure that they provide the appropriate means to meet the obligations to PII principals in an accessible and timely manner. Clear documentation should be provided to the PII principal describing the extent to which the obligations to them are fulfilled and how, along with an up- to-date contact point where they can address their requests.
The contact point should be provided in a similar way to that used to collect PII and consent (e.g. if PII are collected by email or a website, the contact point should be by email or the website, not an alternative such as phone or fax).