Статья 12 📖 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

Статья 12 GDPR. Прозрачное информирование и коммуникация, а также режим осуществления прав субъекта данных

1. Контролёр принимает соответствующие меры для предоставления субъекту данных любой информации, указанной в статьях 13 и 14, и для осуществления коммуникации с субъектом касательно обработки данных в соответствии со статьями 15-22 и 34 в краткой, прозрачной, понятной и легко доступной форме, с использованием ясного и простого языка, — особенно, когда информация адресована ребенку. Информация должна быть представлена в письменной форме, или с помощью других средств, в том числе, в случае необходимости, электронными средствами. По просьбе субъекта данных, информация может быть предоставлена устно, при условии, что личность субъекта данных подтверждена при помощи других средств.

Руководство и прецедентное право Преамбулы Связанные статьи

Руководство и прецедентное право

(EN)

Documents

Article 29 Working Party, Opinion 2/2010 on behavioural advertising (2010):

The obligation to provide the necessary information and obtain data subjects’ consent ultimately lies with the entity that sends and reads the cookie. In most cases, this is the ad network provider. When publishers are joint-controllers, for example in those cases where they transfer directly identifiable information to ad network providers, they are also bound by the obligation to provide information to data subjects about the data processing.

Преамбулы

(58) Принцип прозрачности требует, чтобы любая информация, адресованная общественности или субъекту данных, была краткой, понятной и в легко доступной форме, с использованием ясного и простого языка, а также, в случаях необходимости, с использованием визуальных элементов. Эта информация может предоставляться в электронной форме, например, если она адресована общественности, на интернет-сайте. Это имеет существенное значение в ситуациях, когда вследствие большого количества участников и сложности необходимой техники, субъекты данных не могут узнать и понять, кем и для каких целей относящиеся к ним персональные данные собираются, например, в случае рекламы в интернете. Учитывая, что дети требуют особой защиты, любая информация и сообщения, адресованные ребёнку, должны быть составлены на ясном, простом и понятном ребёнку языке.

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Статья 15 GDPR. Право доступа субъекта данных

Статья 16 GDPR. Право на уточнение данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Статья 18 GDPR. Право на ограничение обработки

Статья 19 GDPR. Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработки

Статья 20 GDPR. Право на переносимость данных

Статья 21 GDPR. Право на возражение

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Статья 34 GDPR. Уведомление субъекта данных о нарушении безопасности персональных данных

Руководство по 25 статье GDPR (Защита персональных данных: проектируемая и по умолчанию) в соответствии с Регламентом 2016/679

3.1 Прозрачность [24]

_{[24] Более подробно о том, как понимать концепцию прозрачности, можно прочитать в документе Рабочей группы по статье 29 «Руководящие принципы прозрачности согласно Регламенту 2016/679». WP 260 rev.01, 11 апреля 2018 года: ec.europa.eu/newsroom/article29/document.cfm?action=display&doc_id=51025 — одобрено EDPB}

65. Контроллер должен быть ясным и открытым для субъектов данных в отношении того, как он будет собирать, использовать и распространять персональные данные. Прозрачность — это то, что позволяет субъектам данных понять и, если необходимо, использовать их права, закрепленные в статьях 15-22. Этот принцип закреплен в статьях 12, 13, 14 и 34 GDPR. Следует также принять меры и гарантии в поддержку принципа прозрачности для поддержания осуществления положений этих статей

65. Ключевые элементы спроектированной приватности по умолчанию в соответствии с принципом прозрачности могут включать в себя:

•Ясность – информация должна быть изложена ясным и понятным языком, должна быть краткой и понятной.

•Семантика – коммуникация должна быть понятной для аудитории.

•Доступность – информация должна быть легкодоступной для субъекта данных.

•Контекстуальная – информация должна предоставляться в соответствующее время и в надлежащее форме.

•Релевантность– информация должна быть релевантной и применимой к конкретному субъекту данных.

•Универсальная конструкция – информация должна быть доступна для всех субъектов данных, включая использование машиночитаемой информации для облегчения и автоматизации чтения и ясности.

•Понятность – субъекты данных должны иметь разумное понимание того, что они могут ожидать от обработки их персональных данных, особенно в тех случаях, когда субъекты данных являются детьми или другими уязвимыми группами населения.

•Многоканальность – информация должна предоставляться в различных каналах и средствах массовой информации, помимо текстовой, чтобы увеличить вероятность того, что информация эффективно достигнет субъекта данных.

• Многоуровневая — Информация должна быть многоуровневой, чтобы устранить противоречие между целостностью и пониманием, учитывая при этом обоснованные ожидания субъектов данных.

Руководство о прозрачности в соответствии с Регламентом 2016/679 Рабочей группы 29-й статьи

«Кратко, прозрачно, понятно и легкодоступно»

Требование того, чтобы предоставление информации субъектам данных и коммуникация с ними осуществлялось «кратко и прозрачно», означает, что контролеры данных должны предоставлять информацию/сообщения эффективно и лаконично, чтобы избежать информационной усталости. Эту информацию следует четко отличать от другой информации, не связанной с приватностью, такой как условия договора или общие условия использования. В режиме онлайн использование многоуровневой политика приватности позволит субъекту данных перейти к определенному разделу политики приватности, к которому он хочет получить немедленный доступ, вместо того, чтобы просматривать большие объемы текста в поисках конкретных проблемы.

«Легкодоступный» элемент означает, что субъект данных не должен искать информацию; им должно быть сразу понятно, где и как можно получить доступ к этой информации, например, предоставляя ее непосредственно им, связывая их с ней, четко обозначая ее или как ответ на вопрос на родном языке (например, в расположенной онлайн многоуровневой политике приватности, в часто задаваемых вопросах, посредством контекстных всплывающих окон, которые активируются, когда субъект данных заполняет онлайн-форму, или в интерактивном цифровом контексте через интерфейс чат-бота и т. д. Эти механизмы более подробно рассматриваются ниже, в том числе при пункты с 33 по 40).

“Ясный и простой язык”

При наличии письменной информации (а также в тех случаях, когда письменная информация предоставляется в устной форме или аудио-/визуальными методами, в том числе для лиц с нарушениями зрения) следует придерживаться рекомендуемой практики ясной манеры письма. Аналогичное языковое требование (“простого, понятного языка”) ранее использовалось законодателем ЕС, а также прямо упоминается в контексте согласия в Преамбуле 42 GDPR. Требование ясного и простого языка означает, что информация должна быть изложена в как можно более простой манере, избегая сложных фраз и языковых структур. Информация должна быть конкретной и окончательной; она не должен быть сформулирована абстрактно или двусмысленно или оставлять возможность различных толкований. В частности, должны быть ясны цели и правовое основание обработки персональных данных.

«В текстовом виде или другими способами»

Разумеется, использование цифровых многоуровневых политик приватности не является единственными текстовым электронным средством, которым могут воспользоваться контролеры. К другим электронным средствам относятся контекстные всплывающие «точно в срок» уведомления, уведомления в формате 3D touch или hover-over, а также панели приватности. Электронные средства в нетекстовой форме, которые могут использоваться в дополнение к многоуровневой политике приватности могут включать в себя видео и голосовые оповещения со смартфонов или IoT.[25] В качестве «иных средств», которые не обязательно являются электронными, могут выступать, например, мультфильмы, инфографика или блок-схемы программ. В тех случаях, когда информация о прозрачности предназначена конкретно для детей, контролеры должны рассмотреть вопрос о том, какие виды средств могут быть в особенности доступны детям (например, среди прочего это могут быть комиксы/мультфильмы, графические изображения, анимации и т.д.).

2. Контролёр должен содействовать субъекту данных в осуществлении прав, наделенных ему в соответствии со статьями 15 до 22. В случаях, указанных в статье 11(2), контролёр не должен отказывать запросу субъекта данных в реализации своих прав в соответствии со статьями 15-22 кроме тех случаев, когда контролёр докажет, что он не в состоянии идентифицировать субъекта данных.

ISO 27701 Руководство и прецедентное право Преамбулы Связанные статьи

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 12(2) GDPR:

7.3.1 Определение и выполнение обязательств перед субъектами ПИИ

Средство управления

Организация должна определить и задокументировать свои юридические, нормативные и коммерческие обязательства перед субъектами ПИИ, связанные с обработкой их ПИИ, и предоставить средства для выполнения этих обязательств.

…

Войти
для доступа к полному тексту

Руководство и прецедентное право

(EN)

Documents

Spanish Data Protection Agency (AEPD), Guide on use of cookies (2021).

Преамбулы

(59) Должны быть предусмотрены условия содействия субъекту данных в осуществлении прав, наделенных ему в соответствии с настоящим Регламентом, включая процедуру запроса и, по возможности, бесплатного получения доступа к персональным данным, их исправления, удаления, а также осуществления права на возражение. Контролёр также должен предусмотреть средства для электронного запроса, особенно, если персональные данные обрабатываются электронным способом. На контролёра должна быть возложена обязанность, без неоправданной задержки и в течение одного месяца после получения запроса субъекта данных, ответить на него и указать причины, по которым контролёр не намерен удовлетворить такой запрос.

(64) Контролёр должен использовать все приемлемые способы для того, чтобы проверить и подтвердить личность субъекта данных, который запрашивает доступ, в частности, в контексте онлайновых служб и онлайновых идентификаторов. Контролёр не должен сохранять персональные данные только для реагирования на потенциальный запрос.

Связанные статьи

Статья 15 GDPR. Право доступа субъекта данных

Статья 16 GDPR. Право на уточнение данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Статья 18 GDPR. Право на ограничение обработки

Статья 20 GDPR. Право на переносимость данных

Статья 21 GDPR. Право на возражение

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

Статья 11 GDPR. Обработка, не требующая идентификации

[…]

2. Если в случаях, указанных в параграфе 1 настоящей Статьи, контролёр может продемонстрировать, что он не в состоянии идентифицировать субъекта данных, то он, если это возможно, должен проинформировать об этом субъекта данных. В данных ситуациях требования статей 15 — 20 не применяются, за исключением случаев, когда субъект данных для осуществления своих вытекающих из указанных статьей прав предоставляет дополнительную информацию, которая обеспечивает его или ее идентификацию.

3. Контролёр без неоправданной задержки — и в любом случае в течение одного месяца с момента получения запроса – представляет субъекту персональных данных информацию о мерах, принятых в связи с запросом на основании ст. 15-22. В случае необходимости этот срок может быть продлен еще на два месяца ввиду сложного характера запроса или количества запросов. В течение одного месяца с момента получения запроса контролёр должен сообщить субъекту данных о таком продлении срока, с указанием причин задержки. Если субъект данных направил свой запрос в электронном виде, насколько это возможно, информация также предоставляется в электронном виде, если субъект данных не запросил иную форму.

Связанные статьи

Статья 15 GDPR. Право доступа субъекта данных

Статья 16 GDPR. Право на уточнение данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Статья 18 GDPR. Право на ограничение обработки

Статья 20 GDPR. Право на переносимость данных

Статья 21 GDPR. Право на возражение

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

4. Если контролёр не предпринимает никаких действий по просьбе субъекта персональных данных, он обязан без задержки и не позднее одного месяца с момента получения запроса сообщить субъекту персональных данных о причинах непринятия мер и о возможности подать жалобу в надзорный орган органу и воспользоваться средствами судебной защиты.

5. Информация, представленная в соответствии со статьями 13 и 14, а также любая коммуникация и любые действия, принимаемые в соответствии со статьями 15-22 и 34 должны быть предоставлены бесплатно. Если запросы субъекта данных являются явно необоснованными или чрезмерными, в частности, из-за их повторяющегося характера, контролёр может:

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

Статья 15 GDPR. Право доступа субъекта данных

Статья 16 GDPR. Право на уточнение данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Статья 18 GDPR. Право на ограничение обработки

Статья 20 GDPR. Право на переносимость данных

Статья 21 GDPR. Право на возражение

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

a) взимать разумную плату, с учетом административных расходов на предоставление информации, ведения коммуникации или реализации запрашиваемых действий; или

b) отказываться от реализации действий в связи с запросом.

Бремя доказательства, что просьба является явно необоснованной или носит чрезмерный характер, возлагается на контролёра.

6. Не умаляя положений статьи 11, если контролёр имеет обоснованные сомнения в личности физического лица, делающего запрос, указанный в статьях 15-21, контролёр может запросить дополнительную информацию, необходимую для подтверждения личности субъекта данных.

Связанные статьи

Статья 11 GDPR. Обработка, не требующая идентификации

Статья 15 GDPR. Право доступа субъекта данных

Статья 16 GDPR. Право на уточнение данных

Статья 17 GDPR. Право на удаление данных ("право быть забытым")

Статья 18 GDPR. Право на ограничение обработки

Статья 20 GDPR. Право на переносимость данных

Статья 21 GDPR. Право на возражение

7. Информация, которая предоставляется субъектам данных в соответствии со статьями 13 и 14, может снабжаться стандартизированными пиктограммами для того, чтобы в легко понятной, ясной и удобочитаемой форме сделать обзор предполагаемой обработки. Если эти символы представлены в электронном виде, они должны быть машиночитаемыми.

Связанные статьи

Статья 13 GDPR. Информация, предоставляемая в случае сбора персональных данных от субъекта данных

Статья 14 GDPR. Информация, предоставляемая при получении персональных данных не от субъекта данных

8. Комиссия имеет право принимать делегированные акты в соответствии со статьей 92, чтобы определить информацию, которая будет представляться с помощью пиктограмм, и установить процедуры их введения.

Связанные статьи

Статья 92 GDPR. Реализация подзаконных актов

Общий регламент защиты персональных данных (GDPR) Европейского союза

Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

Различные положения Общего регламента защиты персональных данных (далее – GDPR) предусматривают обязательства информировать субъектов данных (юридический термин, обозначающий простых людей) об обработке их личной информации. Контролёры (лица, которые контролируют обработку персональных данных) должны соответствовать определенным требованиям в отношении того, как они предоставляют информацию субъектам данных, будь то в политике приватности, доступной для широкой аудитории, или когда они отвечают на индивидуальный запрос.

В статье 12 сначала рассматривается форма, в которой информация должна быть предоставлена. Она должна быть передана «в краткой, прозрачной, понятной и легкодоступной форме». Далее говорится, что контролёры должны использовать «ясный и простой язык» в своем общении. Все эти прилагательные кажутся не требующими пояснений, но они заслуживают более детального рассмотрения для того, чтобы уточнить их фактическое значение в контексте законов о защите персональных данных.

Краткость указывает на то, что информация должна быть представлена сжато, но в то же время всесторонне. Контролёры могут располагать большим объемом информации, которую можно предоставить человеку в зависимости от характера запроса, но, тем не менее, они должны представить её лаконично. Этот принцип может быть реализован таким образом, что информация физически представлена и структурирована (см. ниже). Исключение не относящейся к делу, избыточной или ненужной информации – это еще один способ сделать коммуникацию «краткой».

Прозрачность является одним из ключевых принципов GDPR [статья 5(1)(a), преамбула 39 и Руководство по прозрачности]. Данный принцип должен рассматриваться как общее обязательство, охватывающее открытость, честность и правдивость. Компания должна проактивно разглашать всю необходимую информацию о том, как она обрабатывает личные данные, или передавать ее по запросу. Она не должна скрывать информацию и пытаться скрыть важные детали. Информация должна быть доступна из первых рук или свободно передаваться по запросу.

Доступность означает, что информация о приватности должна быть понятной. Это понятие пересекается с другими принципами, но основная идея заключается в том, что информация должна быть проста для понимания (преамбулы 39 и 58) и представлена в форме, адаптированной для аудитории (взрослые, дети, специалисты, особый контекст и т.д.). Стиль написания должен быть простым, предпочтительны легкодоступные слова, сложные термины должны сопровождаться пояснениями. Передаваемая информация должна быть простой, избегать двусмысленности и не оставлять места для интерпретации.

Простота доступа подразумевает, что информация о защите данных должна быть легкодоступной. Способ предоставления информации должен быть адаптирован к контексту или платформе, где она представлена. Ссылка на политику приватности может быть размещена на видном месте внизу электронного письма или отображена там, где люди обычно ищут ее на веб-сайте, например, в нижнем колонтитуле. Она не должна быть скрыта в нелогичном меню в приложении, где пользователи никогда не додумаются ее искать. Согласно Руководству по прозрачности, информация о приватности в приложении никогда не должна быть «дальше двух нажатий».

Использование ясного и простого языка согласуется с принципом доступности. Используемый язык должен быть адаптирован к аудитории. Базовые и простые для понимания слова должны быть предпочтительными. Следует избегать сложной юридической терминологии, и при необходимости она должна объясняться. Предложения и параграфы должны быть короткими, а языковая структура максимально простой (Руководство по прозрачности). Особое внимание следует уделить тому моменту, когда контролёры обращаются к детям (преамбула 58). Используемый язык должен быть легко понятен ребенку (см. наш комментарий к статье 8).

Информация, соответствующая этим требованиям, должна передаваться «письменно» или любыми «иными способами». Выбранное значение зависит от целевой аудитории и включает в себя электронные формы, такие как приложения или веб-сайты (преамбула 58). Она может быть предоставлена, если она адаптирована к ситуации, с помощью мультфильмов, инфографики или блок-схем (Руководство по прозрачности). Другим средством предоставления информации является безопасная «система самообслуживания», которая предоставит индивидуальный доступ к данным (преамбула 63). Информация может передаваться даже в устной форме по запросу, при условии, что субъект данных подтверждает свою личность другими способами.

Форма и структура информации также рассматриваются в GDPR. Информация, относящаяся к приватности, должна быть четко отделена от другой юридической информации, такой как общие условия использования (Руководство по прозрачности). Ее можно разделить на разные логические абзацы, каждому из которых предшествует заголовок с указанием его фактического содержания. В европейской документации такой подход иногда называют «многоуровневым». Использование заголовков, маркеров или отступов для логической структуры документа, будь то политика приватности или ответ на запрос, является прагматическим ответом на юридическое обязательство.

Доступ к информации должен облегчаться контролёрами. Они должны поддерживать механизмы (преамбула 59), с помощью которых субъекты данных могут осуществлять свои права (статьи 15 – 22), получать информацию – где личные данные собираются от них (статья 13) или получены от третьих лиц (статья 14) – или получать информацию нарушений данных (статья 34). Информационное обязательство распространяется на ситуации, когда обмен данными происходит между двумя административными органами (CJEU, Smaranda Bara e.a./Președintele Casei Naiionale de Asigurări de Sănătate).

Облегчение доступа к информации может быть сделано путем обращения к стандартной форме. Это может упростить формулировку запроса субъектом данных, а также работу контролёра, который получит структурированное сообщение с необходимой информацией для обработки запроса. Следует отметить, что использование формы не может быть обязательным, поскольку любые другие формы запросов действительны (устно, по электронной почте, через письмо и т.д.).

Контролёры должны быстро реагировать на запросы субъектов данных. Статья 12 (3) предусматривает строгие сроки для предоставления запрошенной информации или информирования субъектов данных о действиях, предпринятых по их запросу. Общее правило заключается в том, что контролёры должны действовать «без неоправданной задержки», но GDPR не определяет это выражение. Его следует понимать как «как можно скорее», но не позднее, чем в течение календарного месяца после получения запроса.

В исключительных случаях срок может быть продлен еще на два месяца. Это возможно только в тех случаях, когда запрос сложный или имеется много запросов, на которые нужно ответить одновременно. Контролёр в таком случае должен сообщить субъекту данных в течение начального периода одного месяца о своем намерении продлить срок. Расчет срока начинается со дня получения запроса или, если применимо, после получения подтверждения личности лица, запрашивающего информацию или уплаты пошлины.

Существуют обстоятельства, когда контролёры могут отказать в ответе на запрос (преамбула 59). Если они отклоняют запрос, они должны сообщить субъекту данных в те же сроки, упомянутые выше, о причинах, по которым они отказываются действовать. Они также должны уведомить субъекта данных о возможности подачи жалобы в надзорный орган или обращения в суд.

Запрос может быть отклонен, если он является «явно необоснованным или чрезмерным» [статья 12 (5)]. Например, когда субъект данных делал повторяющиеся запросы в течение короткого периода времени. Это также может произойти в тех случаях, если человек делает запрос, просто чтобы получить что-то взамен от организации, или человек использует законы о защите персональных данных для притеснения организации. Прилагательное «явно», используемое в GDPR, означает, что запрос должен быть очевидно чрезмерным или необоснованным. Бремя доказывания того, что запрос является «явно» чрезмерным или необоснованным, ложится на плечи контролёра.

Лучше начать диалог с субъектом данных, чем отказываться действовать по запросу. Запрос может показаться чрезмерным или необоснованным просто потому, что он неправильно сформулирован или субъект данных не полностью понимает свои права. Контролёры могут обратиться за дополнительными сведениями, например, чтобы помочь найти запрошенную информацию. Отказ от действия должен использоваться в крайних случаях, чтобы убедиться, что контролёр не подвергает себя санкциям.

На каждый запрос необходимо отвечать бесплатно [статья 12 (5) и преамбула 59]. Разумная плата определяется исходя из административных расходов, необходимых для предоставления ответа и может взиматься только в тех случаях, когда требование считается чрезмерным. Запрос субъекта данных не будет считаться чрезмерным, если он/она хочет получить дополнительные копии уже предоставленной информации, но в этих обстоятельствах может взиматься плата. Субъект данных должен быть проинформирован о сумме, подлежащей выплате, и контролёр имеет право подождать, пока платеж будет осуществлен, прежде чем предоставлять информацию.

Если у контролёра есть «обоснованное сомнение» в отношении личности лица, делающего запрос, ему может потребоваться дополнительная информация для подтверждения того, что он/она отвечает нужному человеку. Запрашиваемая информация должна быть пропорциональна цели завершения идентификации лица и не выходить за рамки того, что необходимо для этого.

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

Приводим соответствующий параграф к статье 12 GDPR:

7.3.3 Предоставление информации субъектам ПИИ

Средство управления

Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.

Руководство по внедрению

Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.

…

Войти
для доступа к полному тексту

Преамбулы