Статья 12 📖 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

Članak 12. GDPR. Transparentne informacije, komunikacija i modaliteti za ostvarivanje prava ispitanika

1. Voditelj obrade poduzima odgovarajuće mjere kako bi se ispitaniku pružile sve informacije iz članaka 13. i 14. i sve komunikacije iz članaka od 15. do 22. i članka 34. u vezi s obradom u sažetom, transparentnom, razumljivom i lako dostupnom obliku, uz uporabu jasnog i jednostavnog jezika, osobito za svaku informaciju koja je posebno namijenjena djetetu. Informacije se pružaju u pisanom obliku ili drugim sredstvima, među ostalim, ako je prikladno, elektroničkim putem. Ako to zatraži ispitanik, informacije se mogu pružiti usmenim putem, pod uvjetom da je drugim sredstvima utvrđen identitet ispitanika.

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Преамбулы

(58) Načelom transparentnosti zahtijeva se da svaka informacija namijenjena javnosti ili ispitaniku bude sažeta, lako dostupna i razumljiva, da se upotrebljava jasan i jednostavan jezik te da se usto, prema potrebi, koristi vizualizacijom. Takva bi se informacija također mogla dati u elektroničkom obliku, na primjer na internetskim stranicama, kada je namijenjena javnosti. To je osobito bitno u situacijama u kojima zbog velikog broja sudionika i tehnološke složenosti prakse ispitaniku nije lako prepoznati i razumjeti prikupljaju li se osobni podaci o njemu, tko ih prikuplja i u koju svrhu, kao što je slučaj internetskog oglašavanja. Imajući u vidu da djeca zaslužuju posebnu zaštitu, svaka informacija i komunikacija, u slučaju da je obrada usmjerena prema djetetu, trebale bi biti na jasnom i jednostavnom jeziku koji dijete lako može razumjeti.

Связанные статьи

Članak 13. GDPR. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

Članak 14. GDPR. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

Članak 15. GDPR. Pravo ispitanika na pristup

Članak 16. GDPR. Pravo na ispravak

Članak 17. GDPR. Pravo na brisanje („pravo na zaborav”)

Članak 18. GDPR. Pravo na ograničenje obrade

Članak 19. GDPR. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Članak 20. GDPR. Pravo na prenosivost podataka

Članak 21. GDPR. Pravo na prigovor

Članak 22. GDPR. Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

Članak 34. GDPR. Obavješćivanje ispitanika o povredi osobnih podataka

2. Voditelj obrade olakšava ostvarivanje prava ispitanika iz članaka od 15. do 22. U slučajevima iz članka 11. stavka 1. voditelj obrade ne smije odbiti postupiti po zahtjevu ispitanika u svrhu ostvarivanja njegovih prava iz članaka od 15. do 22., osim ako voditelj obrade dokaže da nije u mogućnosti utvrditi identitet ispitanika.

ISO 27701 Руководство и прецедентное право Преамбулы Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 12(2) GDPR:

7.3.1 Определение и выполнение обязательств перед субъектами ПИИ

Средство управления

Организация должна определить и задокументировать свои юридические, нормативные и коммерческие обязательства перед субъектами ПИИ, связанные с обработкой их ПИИ, и предоставить средства для выполнения этих обязательств.

…

Войти
для доступа к полному тексту

Руководство и прецедентное право

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Преамбулы

(59) Trebalo bi predvidjeti modalitete kojima se olakšava ostvarivanje prava ispitanika iz ove Uredbe, uključujući mehanizme za podnošenje zahtjeva te, ako je primjenjivo, besplatno ostvarivanje, osobito zahtjeva za pristup osobnim podacima, njihovo ispravljanje ili brisanje i ostvarivanje prava na prigovor. Voditelj obrade trebao bi također pružiti sredstva za elektroničku predaju zahtjeva, osobito ako se osobni podaci obrađuju elektronički. Voditelj obrade trebao bi biti dužan odgovoriti na zahtjev ispitanika bez nepotrebnog odgađanja i najkasnije u roku od mjesec dana te iznijeti razloge ako voditelj obrade nema namjeru ispuniti bilo koji takav zahtjev.

(64) Voditelj obrade trebao bi se koristiti svim razumnim mjerama kako bi utvrdio identitet ispitanika koji traži pristup, a osobito u okviru internetskih usluga i mrežnih identifikatora. Voditelj obrade ne bi smio pohraniti osobne podatke samo zato da bi mogao odgovoriti na moguće zahtjeve.

Связанные статьи

Članak 15. GDPR. Pravo ispitanika na pristup

Članak 16. GDPR. Pravo na ispravak

Članak 17. GDPR. Pravo na brisanje („pravo na zaborav”)

Članak 18. GDPR. Pravo na ograničenje obrade

Članak 19. GDPR. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Članak 20. GDPR. Pravo na prenosivost podataka

Članak 21. GDPR. Pravo na prigovor

Članak 22. GDPR. Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

Članak 11. GDPR. Obrada koja ne zahtijeva identifikaciju

[…]

2. Ako u slučajevima iz stavka 1.ovog članka voditelj obrade može dokazati da nije u mogućnosti identificirati ispitanika, voditelj obrade o tome na odgovarajući način obavješćuje ispitanika, ako je to moguće. U takvim slučajevima ne primjenjuju se članci od 15. do 20., osim ako ispitanik u svrhu ostvarivanja svojih prava iz tih članaka pruži dodatne informacije koje omogućuju njegovu identifikaciju.

3. Voditelj obrade ispitaniku na zahtjev pruža informacije o poduzetim radnjama iz članaka od 15. do 22. bez nepotrebnog odgađanja i u svakom slučaju u roku od mjesec dana od zaprimanja zahtjeva. Taj se rok može prema potrebi produljiti za dodatna dva mjeseca, uzimajući u obzir složenost i broj zahtjevâ. Voditelj obrade obavješćuje ispitanika o svakom takvom produljenju u roku od mjesec dana od zaprimanja zahtjeva, zajedno s razlozima odgađanja. Ako ispitanik podnese zahtjev elektroničkim putem, informacije se pružaju elektroničkim putem ako je to moguće, osim ako ispitanik zatraži drugačije.

Связанные статьи

Članak 15. GDPR. Pravo ispitanika na pristup

Članak 16. GDPR. Pravo na ispravak

Članak 17. GDPR. Pravo na brisanje („pravo na zaborav”)

Članak 18. GDPR. Pravo na ograničenje obrade

Članak 19. GDPR. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Članak 20. GDPR. Pravo na prenosivost podataka

Članak 21. GDPR. Pravo na prigovor

Članak 22. GDPR. Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

4. Ako voditelj obrade ne postupi po zahtjevu ispitanika, voditelj obrade bez odgađanja i najkasnije jedan mjesec od primitka zahtjeva izvješćuje ispitanika o razlozima zbog kojih nije postupio i o mogućnosti podnošenja pritužbe nadzornom tijelu i traženja pravnog lijeka.

5. Informacije pružene u skladu s člancima 13. i 14. i sva komunikacija i djelovanja iz članaka od 15. do 22. i članka 34. pružaju se bez naknade. Ako su zahtjevi ispitanika očito neutemeljeni ili pretjerani, osobito zbog njihova učestalog ponavljanja, voditelj obrade može:

Связанные статьи

Članak 13. GDPR. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

Članak 14. GDPR. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

Članak 15. GDPR. Pravo ispitanika na pristup

Članak 16. GDPR. Pravo na ispravak

Članak 17. GDPR. Pravo na brisanje („pravo na zaborav”)

Članak 18. GDPR. Pravo na ograničenje obrade

Članak 19. GDPR. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Članak 20. GDPR. Pravo na prenosivost podataka

Članak 21. GDPR. Pravo na prigovor

Članak 22. GDPR. Automatizirano pojedinačno donošenje odluka, uključujući izradu profila

(a) naplatiti razumnu naknadu uzimajući u obzir administrativne troškove pružanja informacija ili obavijesti ili postupanje po zahtjevu; ili

(b) odbiti postupiti po zahtjevu.

Teret dokaza očigledne neutemeljenosti ili pretjeranosti zahtjeva jest na voditelju obrade.

6. Ne dovodeći u pitanje članak 11., ako voditelj obrade ima opravdane sumnje u pogledu identiteta pojedinca koji podnosi zahtjev iz članaka od 15. do 21., voditelj obrade može tražiti pružanje dodatnih informacija neophodnih za potvrđivanje identiteta ispitanika.

Связанные статьи

Članak 11. GDPR. Obrada koja ne zahtijeva identifikaciju

Članak 15. GDPR. Pravo ispitanika na pristup

Članak 16. GDPR. Pravo na ispravak

Članak 17. GDPR. Pravo na brisanje („pravo na zaborav”)

Članak 18. GDPR. Pravo na ograničenje obrade

Članak 19. GDPR. Obveza izvješćivanja u vezi s ispravkom ili brisanjem osobnih podataka ili ograničenjem obrade

Članak 20. GDPR. Pravo na prenosivost podataka

Članak 21. GDPR. Pravo na prigovor

7. Informacije koje treba pružiti ispitanicima u skladu s člancima 13. i 14. mogu se pružiti u kombinaciji sa standardiziranim ikonama kako bi se na lako vidljiv, razumljiv i jasno čitljiv način pružio smislen pregled namjeravane obrade. Ako su ikone prikazane elektroničkim putem, one moraju biti strojno čitljive.

Связанные статьи

Članak 13. GDPR. Informacije koje treba dostaviti ako se osobni podaci prikupljaju od ispitanika

Članak 14. GDPR. Informacije koje se trebaju pružiti ako osobni podaci nisu dobiveni od ispitanika

8. Komisija je ovlaštena donositi delegirane akte u skladu s člankom 92. u svrhu određivanja informacija koje se prikazuju ikonama te postupaka za utvrđivanje standardiziranih ikona.

Связанные статьи

Članak 92. GDPR. Izvršavanje delegiranja ovlasti

Opća uredba o zaštiti podataka (GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.

В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.

Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».

Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.

Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.

Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».

Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).

Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.

Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.

Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).

Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).

Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.

В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.

Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.

Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.

Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.

На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.

Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 12 GDPR:

7.3.3 Предоставление информации субъектам ПИИ

Средство управления

Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.

Руководство по внедрению

Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.

…

Войти
для доступа к полному тексту

Преамбулы