Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.

В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.

Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».

Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.

Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.

Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».

Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).

Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.

Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.

Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).

Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).

Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.

В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.

Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.

Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.

Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.

На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.

Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.