Статья 12 📖 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

Artikolu 12 RĠPD (GDPR). Informazzjoni, komunikazzjoni u modalitajiet trasparenti għall-eżerċizzju tad-drittijiet tas-suġġett tad-data

1. Il-kontrollur għandu jieħu miżuri adatti biex jipprovdi kwalunkwe informazzjoni msemmija fl-Artikoli 13 u 14 u kwalunkwe komunikazzjoni skont l-Artikoli 15 sa 22 u 34 relatata mal-ipproċessar lis-suġġett tad-data f’forma konċiża, trasparenti, intelliġibbli u faċilment aċċessibbli, bl-użu ta’ lingwaġġ ċar u sempliċi, b’mod partikolari għal kwalunkwe informazzjoni indirizzata speċifikament lil minorenni. L-informazzjoni għandha tiġi pprovduta bil-miktub, jew b’mezzi oħra, inkluż, fejn xieraq, b’mezzi elettroniċi. Meta tintalab mis-suġġett tad-data, l-informazzjoni tista’ tingħata bil-fomm dment li tingħata prova tal-identità tas-suġġett tad-data b’mezzi oħra.

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Преамбулы

(58) Il-prinċipju tat-trasparenza jeħtieġ li kwalunkwe informazzjoni indirizzata lill-pubbliku jew lis-suġġett tad-data tkun konċiża, aċċessibbli faċilment u faċli li tinftiehem, u li jintuża lingwaġġ ċar u sempliċi u, barra minn hekk, fejn meħtieġ, tintuża l-viżwalizzazzjoni. Tali informazzjoni tista' tingħata f'forma elettronika, pereżempju, meta tiġi indirizzata lill-pubbliku, permezz ta' sit elettroniku. Dan huwa partikolarment rilevanti f'sitwazzjonijiet fejn il-proliferazzjoni ta' atturi u l-kumplessità teknoloġika tal-prattika jagħmluha diffiċli għas-suġġett tad-data li jkun jaf u jifhem jekk hijiex, minn min u għal liema għan qed tinġabar data personali dwaru, bħal fil-każ ta' reklamar online. Minħabba li t-tfal jistħoqqilhom protezzjoni speċifika, kwalunkwe informazzjoni u komunikazzjoni, fejn l-ipproċessar huwa indirizzat lil xi minorenni, għandha tkun f'lingwaġġ ċar u sempliċi li l-minorenni jista' jifhem faċilment.

Связанные статьи

Artikolu 13 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data

Artikolu 14 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn id-data personali ma tkunx inkisbet mis-suġġett tad-data

Artikolu 15 RĠPD (GDPR). Dritt ta' aċċess mis-suġġett tad-data

Artikolu 16 RĠPD (GDPR). Dritt għar-rettifika

Artikolu 17 RĠPD (GDPR). Dritt għal tħassir (“dritt li wieħed jintesa”)

Artikolu 18 RĠPD (GDPR). Dritt għal restrizzjoni tal-ipproċessar

Artikolu 19 RĠPD (GDPR). Obbligu ta' notifika rigward rettifika jew tħassir ta' data personali jew restrizzjoni tal-ipproċessar

Artikolu 20 RĠPD (GDPR). Dritt għall-portabbiltà tad-data

Artikolu 21 RĠPD (GDPR). Dritt ta' oġġezzjoni

Artikolu 22 RĠPD (GDPR). Teħid ta' deċiżjonijiet individwali awtomatizzati, inkluż tfassil ta' profili

Artikolu 34 RĠPD (GDPR). Komunikazzjoni ta' ksur ta' data personali lis-suġġett tad-data

2. Il-kontrollur għandu jiffaċilita l-eżerċizzju tad-drittijiet tas-suġġett tad-data skont l-Artikoli 15 sa 22. Fil-każijiet imsemmija fl-Artikolu 11(1), il-kontrollur ma għandux jirrifjuta li jieħu azzjoni fuq it-talba tas-suġġett tad-data biex jeżerċita d-drittijiet tiegħu skont l-Artikoli 15 sa 22, ħlief jekk il-kontrollur juri li huwa ma jkunx f’pożizzjoni li jidentifika s-suġġett tad-data.

ISO 27701 Руководство и прецедентное право Преамбулы Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 12(2) GDPR:

7.3.1 Определение и выполнение обязательств перед субъектами ПИИ

Средство управления

Организация должна определить и задокументировать свои юридические, нормативные и коммерческие обязательства перед субъектами ПИИ, связанные с обработкой их ПИИ, и предоставить средства для выполнения этих обязательств.

…

Войти
для доступа к полному тексту

Руководство и прецедентное право

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Преамбулы

(59) Għandhom jiġu pprovduti modalitajiet biex jiffaċilitaw l-eżerċizzju mis-suġġett tad-data tad-drittijiet tiegħu taħt dan ir-Regolament, inklużi mekkaniżmi sabiex jintalab u jekk applikabbli, jinkiseb, bla ħlas, b'mod partikolari, l-aċċess għal u r-rettifika jew it-tħassir ta' data personali u l-eżerċizzju tad-dritt li joġġezzjona. Il-kontrollur għandu jipprovdi wkoll l-mezzi biex isiru talbiet b'mod elettroniku, speċjalment fejn id-data personali tiġi pproċessata b'mezzi elettroniċi. Il-kontrollur għandu jkun obbligat iwieġeb għal talbiet mis-suġġett tad-data mingħajr dewmien żejjed u fi żmien mhux aktar minn xahar u jagħti raġunijiet fejn il-kontrollur ma jkollux l-intenzjoni li jikkonforma ma' kwalunkwe tali talba.

(64) Il-kontrollur għandu juża l-miżuri kollha raġonevoli sabiex jivverifika l-identità ta' suġġett tad-data li jitlob aċċess, b'mod partikolari fil-kuntest ta' servizzi online u identifikaturi online. Il-kontrollur m'għandux iżomm id-data personali għall-għan uniku li jkun jista' jirreaġixxi għal talbiet potenzjali.

Связанные статьи

Artikolu 15 RĠPD (GDPR). Dritt ta' aċċess mis-suġġett tad-data

Artikolu 16 RĠPD (GDPR). Dritt għar-rettifika

Artikolu 17 RĠPD (GDPR). Dritt għal tħassir (“dritt li wieħed jintesa”)

Artikolu 18 RĠPD (GDPR). Dritt għal restrizzjoni tal-ipproċessar

Artikolu 19 RĠPD (GDPR). Obbligu ta' notifika rigward rettifika jew tħassir ta' data personali jew restrizzjoni tal-ipproċessar

Artikolu 20 RĠPD (GDPR). Dritt għall-portabbiltà tad-data

Artikolu 21 RĠPD (GDPR). Dritt ta' oġġezzjoni

Artikolu 22 RĠPD (GDPR). Teħid ta' deċiżjonijiet individwali awtomatizzati, inkluż tfassil ta' profili

Artikolu 11 RĠPD (GDPR). Ipproċessar li ma jeħtieġx identifikazzjoni

[…]

2. Fejn, fil-każijiet imsemmija fil-paragrafu 1 ta’ dan l-Artikolu, il-kontrollur ikun jista’ juri li mhuwiex f’pożizzjoni li jidentifika s-suġġett tad-data, il-kontrollur għandu jinforma lis-suġġett tad-data b’dan, jekk possibbli. F’tali każijiet, l-Artikoli 15 sa 20 ma japplikawx għajr fejn is-suġġett tad-data, għall-fini li jeżerċita d-drittijiet tiegħu taħt dawk l-Artikoli, jipprovdi informazzjoni addizzjonali li tippermetti li huwa jiġi identifikat.

3. Il-kontrollur għandu jipprovdi informazzjoni dwar l-azzjoni meħuda fuq talba skont l-Artikoli 15 sa 22 lis-suġġett tad-data mingħajr dewmien żejjed u fi kwalunkwe każ, fi żmien xahar minn meta jirċievi t-talba. Dak il-perijodu jista’ jiġi estiż b’ xahrejn oħra fejn meħtieġ, b’kont dovut tal-kumplessità u n-numru ta’ talbiet. Il-kontrollur għandu jinforma s-suġġett tad-data dwar kwalunkwe estensjoni fi żmien xahar minn meta jirċievi t-talba, flimkien mar-raġunijiet għad-dewmien. Fejn is-suġġett tad-data jagħmel it-talba b’mezzi f’forma elettronika, l-informazzjoni għandha tiġi pprovduta b’mezzi elettroniċi, fejn ikun possibbli, sakemm ma jkunx mitlub mod ieħor mis-suġġett tad-data.

Связанные статьи

Artikolu 15 RĠPD (GDPR). Dritt ta' aċċess mis-suġġett tad-data

Artikolu 16 RĠPD (GDPR). Dritt għar-rettifika

Artikolu 17 RĠPD (GDPR). Dritt għal tħassir (“dritt li wieħed jintesa”)

Artikolu 18 RĠPD (GDPR). Dritt għal restrizzjoni tal-ipproċessar

Artikolu 19 RĠPD (GDPR). Obbligu ta' notifika rigward rettifika jew tħassir ta' data personali jew restrizzjoni tal-ipproċessar

Artikolu 20 RĠPD (GDPR). Dritt għall-portabbiltà tad-data

Artikolu 21 RĠPD (GDPR). Dritt ta' oġġezzjoni

Artikolu 22 RĠPD (GDPR). Teħid ta' deċiżjonijiet individwali awtomatizzati, inkluż tfassil ta' profili

4. Jekk il-kontrollur ma jiħux azzjoni fuq it-talba tas-suġġett tad-data, il-kontrollur għandu jinforma lis-suġġett tad-data mingħajr dewmien u mhux aktar tard minn xahar minn meta jirċievi t-talba bir-raġunijiet għalfejn ma jkunx ħa azzjoni u dwar il-possibbiltà li jitressaq ilment quddiem awtorità superviżorja u li jitfittex rimedju ġudizzjarju.

5. L-informazzjoni pprovduta skont l-Artikoli 13 u 14 u kwalunkwe komunikazzjoni u kwalunkwe azzjoni skont l-Artikoli 15 sa 22 u 34 għandhom jingħataw mingħajr ħlas. Fejn it-talbiet minn suġġett tad-data jkunu manifestament bla bażi jew eċċessivi, b’mod partikolari minħabba n-natura ripetittiva tagħhom, il-kontrollur jista’ jew:

Связанные статьи

Artikolu 13 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data

Artikolu 14 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn id-data personali ma tkunx inkisbet mis-suġġett tad-data

Artikolu 15 RĠPD (GDPR). Dritt ta' aċċess mis-suġġett tad-data

Artikolu 16 RĠPD (GDPR). Dritt għar-rettifika

Artikolu 17 RĠPD (GDPR). Dritt għal tħassir (“dritt li wieħed jintesa”)

Artikolu 18 RĠPD (GDPR). Dritt għal restrizzjoni tal-ipproċessar

Artikolu 19 RĠPD (GDPR). Obbligu ta' notifika rigward rettifika jew tħassir ta' data personali jew restrizzjoni tal-ipproċessar

Artikolu 20 RĠPD (GDPR). Dritt għall-portabbiltà tad-data

Artikolu 21 RĠPD (GDPR). Dritt ta' oġġezzjoni

Artikolu 22 RĠPD (GDPR). Teħid ta' deċiżjonijiet individwali awtomatizzati, inkluż tfassil ta' profili

(a) jimponi ħlas raġonevoli waqt li jqis l-ispejjeż amministrattivi talli jipprovdi l-informazzjoni jew il-komunikazzjoni jew talli jieħu l-azzjoni mitluba; jew

(b) jirrifjuta li jieħu azzjoni fuq it-talba.

Il-kontrollur għandu jerfa’ r-responsabbiltà li juri n-natura manifestament mingħajr bażi jew eċċessiva tat-talba.

6. Mingħajr preġudizzju għall-Artikolu 11, fejn il-kontrollur ikollu dubji raġonevoli dwar l-identità tal-persuna fiżika li tagħmel it-talba msemmija fl-Artikoli 15 sa 21, il-kontrollur jista’ jitlob li tiġi pprovduta informazzjoni addizzjonali meħtieġa biex tiġi kkonfermata l-identità tas-suġġett tad-data.

Связанные статьи

Artikolu 11 RĠPD (GDPR). Ipproċessar li ma jeħtieġx identifikazzjoni

Artikolu 15 RĠPD (GDPR). Dritt ta' aċċess mis-suġġett tad-data

Artikolu 16 RĠPD (GDPR). Dritt għar-rettifika

Artikolu 17 RĠPD (GDPR). Dritt għal tħassir (“dritt li wieħed jintesa”)

Artikolu 18 RĠPD (GDPR). Dritt għal restrizzjoni tal-ipproċessar

Artikolu 19 RĠPD (GDPR). Obbligu ta' notifika rigward rettifika jew tħassir ta' data personali jew restrizzjoni tal-ipproċessar

Artikolu 20 RĠPD (GDPR). Dritt għall-portabbiltà tad-data

Artikolu 21 RĠPD (GDPR). Dritt ta' oġġezzjoni

7. L-informazzjoni li għandha tiġi pprovduta lis-suġġetti tad-data skont l-Artikolu 13 u 14 tista’ tingħata flimkien ma’ ikoni standardizzati sabiex tingħata ħarsa ġenerali lejn l-ipproċessar intenzjonat b’mod li jidher faċilment, li jinftiehem u li jinqara sew. Fejn l-ikoni jkunu ppreżentati b’mod elettroniku, dawn għandhom ikunu jistgħu jinqraw minn magna.

Связанные статьи

Artikolu 13 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data

Artikolu 14 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn id-data personali ma tkunx inkisbet mis-suġġett tad-data

8. Il-Kummissjoni hija mogħtija s-setgħa li tadotta atti delegati f’konformità mal-Artikolu 92 għall-finijiet li tiddetermina l-informazzjoni li għandha tiġi ppreżentata permezz tal-ikoni u l-proċeduri għall-għoti ta’ ikoni standardizzati.

Связанные статьи

Artikolu 92 RĠPD (GDPR). Eżerċizzju tad-delega

Regolament Ġenerali dwar il-Protezzjoni tad-Data (RĠPD, GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.

В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.

Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».

Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.

Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.

Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».

Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).

Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.

Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.

Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).

Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).

Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.

В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.

Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.

Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.

Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.

На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.

Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 12 GDPR:

7.3.3 Предоставление информации субъектам ПИИ

Средство управления

Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.

Руководство по внедрению

Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.

…

Войти
для доступа к полному тексту

Преамбулы