(60) Il-prinċipji ta' pproċessar ġust u trasparenti jeħtieġu li s-suġġett tad-data jkun informat bl-eżistenza tal-attività tal-ipproċessar u l-għanijiet tagħha. Il-kontrollur għandu jipprovdi lis-suġġett tad-data bi kwalunkwe informazzjoni ulterjuri li tkun meħtieġa biex jiġi żgurat ipproċessar ġust u trasparenti b'kont meħud taċ-ċirkostanzi speċifiċi u l-kuntest li fih tiġi pproċessata d-data personali. Barra minn hekk, is-suġġett tad-data għandu jkun informat bl-eżistenza tat-tfassil tal-profil, u l-konsegwenzi ta' dan it-tfassil tal-profil. Fejn id-data personali tinġabar mis-suġġett tad-data, is-suġġett tad-data għandu jiġi infurmat ukoll dwar jekk hux obbligat jipprovdi d-data personali u dwar il-konsegwenzi, fejn huwa ma jipprovdix tali data. Dik l-informazzjoni tista' tingħata flimkien ma' ikoni standardizzati sabiex tingħata ħarsa ġenerali lejn l-ipproċessar intenzjonat b'mod li jidher faċilment, li jinftiehem u li jinqara sew. Fejn l-ikoni jkunu ppreżentati b'mod elettroniku, dawn għandhom ikunu jistgħu jinqraw minn magna.
Artikolu 13 RĠPD (GDPR). Informazzjoni li għandha tiġi pprovduta fejn tinġabar data personali mis-suġġett tad-data
1. Fejn data personali relatata ma’ suġġett tad-data tinġabar mingħand is-suġġett tad-data, il-kontrollur għandu, fil-ħin li tinkiseb id-data personali, jipprovdi l-informazzjoni kollha li ġejja lis-suġġett tad-data:
(a) l-identità u d-dettalji ta’ kuntatt tal-kontrollur u, fejn applikabbli, tar-rappreżentant tal-kontrollur;
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):
This information should allow for easy identification of the controller and preferably allow for different forms of communications with the data controller (e.g. phone number, email, postal address etc.).
(EN) Article 29 Working Party, Guidelines on Data Protection Officers (DPOs) (2017):
The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (a postal address, a dedicated telephone number, and/or a dedicated e-mail address). When appropriate, for purposes of communications with the public, other means of communications could also be provided, for example, a dedicated hotline, or a dedicated contact form addressed to the DPO on the organisation’s website.
Article 37(7) does not require that the published contact details should include the name of the DPO. Whilst it may be a good practice to do so, it is for the controller or the processor and the DPO to decide whether this is necessary or helpful in the particular circumstances.
[…]
As a matter of good practice, the WP29 also recommends that an organisation informs its employees of the name and contact details of the DPO. For example, the name and contact details of the DPO could be published internally on organisation’s intranet, internal telephone directory, and organisational charts.
(c) l-għanijiet tal-ipproċessar li għalihom hija maħsuba d-data personali kif ukoll il-bażi legali għall-ipproċessar;
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018):
In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified. Where, pursuant to Article 10, personal data relating to criminal convictions and offences or related security measures based on Article 6.1 is processed, where applicable the relevant Union or Member State law under which the processing is carried out should be specified.
(d) fejn l-ipproċessar ikun ibbażat fuq il-punt (f) tal-Artikolu 6(1), l-interessi leġittimi segwiti mill-kontrollur jew minn parti terza;
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
The specific interest in question must be identified for the benefit of the data subject. As a matter of best practice, the controller can also provide the data subject with the information from the balancing test, which must be carried out to allow reliance on Article 6.1(f) as a lawful basis for processing, in advance of any collection of data subjects’ personal data. To avoid information fatigue, this can be included within a layered privacy statement/ notice (see paragraph 35). In any case, the WP29 position is that information to the data subject should make it clear that they can obtain information on the balancing test upon request. This is essential for effective transparency where data subjects have doubts as to whether the balancing test has been carried out fairly or they wish to file a complaint with a supervisory authority.
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
The term “recipient” is defined in Article 4.9 as “a natural or legal person, public authority, agency or another body, to which the personal data are disclosed, whether a third party or not” [emphasis added]. As such, a recipient does not have to be a third party. Therefore, other data controllers, joint controllers and processors to whom data is transferred or disclosed are covered by the term “recipient” and information on such recipients should be provided in addition to information on third party recipients. The actual (named) recipients of the personal data, or the categories of recipients, must be provided. In accordance with the principle of fairness, controllers must provide information on the recipients that is most meaningful for data subjects. In practice, this will generally be the named recipients, so that data subjects know exactly who has their personal data. If controllers opt to provide the categories of recipients, the information should be as specific as possible by indicating the type of recipient (i.e. by reference to the activities it carries out), the industry, sector and sub-sector and the location of the recipients.
(f) fejn applikabbli, il-fatt li l-kontrollur għandu l-ħsieb li jittrasferixxi data personali lejn pajjiż terz jew organizzazzjoni internazzjonali u l-eżistenza jew l-assenza ta’ deċiżjoni ta’ adegwatezza mill-Kummissjoni, jew fil-każ ta’ trasferimenti msemmija fl-Artikolu 46 jew 47, jew it-tieni subparagrafu tal-Artikolu 49(1), referenza għas-salvagwardji xierqa jew adatti u l-mezzi li bihom tinkiseb kopja tagħhom jew fejn dawn ikunu saru disponibbli.
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
The relevant GDPR article permitting the transfer and the corresponding mechanism (e.g. adequacy decision under Article 45/ binding corporate rules under Article 47/ standard data protection clauses under Article 46.2/ derogations and safeguards under Article 49 etc.) should be specified. Information on where and how the relevant document may be accessed or obtained should also be provided e.g. by providing a link to the mechanism used. In accordance with the principle of fairness, the information provided on transfers to third countries should be as meaningful as possible to data subjects; this will generally mean that the third countries be named.
2. Minbarra l-informazzjoni msemmija fil-paragrafu 1, il-kontrollur għandu, meta tinkiseb id-data personali, jipprovdi lis-suġġett tad-data l-informazzjoni ulterjuri li ġejja meħtieġa biex jiġi żgurat ipproċessar ġust u trasparenti:
(61) L-informazzjoni fir-rigward tal-ipproċessar ta' data personali relatata mas-suġġett tad-data għandha tingħatalu meta tinġabar mis-suġġett tad-data, jew, fejn id-data personali tinkiseb minn sors ieħor, f'perijodu ta' żmien raġonevoli, skont iċ-ċirkostanzi tal-każ. Fejn id-data personali tista' tkun żvelata b'mod leġittimu lil riċevitur ieħor, is-suġġett tad-data għandu jkun informat meta d-data personali tkun żvelata għall-ewwel darba lir-riċevitur. Fejn il-kontrollur jkollu l-intenzjoni li jipproċessa d-data personali għal fini differenti minn dak li għalih tkun inġabret, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b'informazzjoni dwar dak il-fini l-ieħor u informazzjoni meħtieġa oħra. Fejn il-oriġini tad-data personali ma setgħetx tingħata lis-suġġett tad-data peress li jkunu intużaw diversi sorsi, għandha tingħata informazzjoni ġenerali.
(a) il-perijodu li matulu d-data personali tkun ser tinħażen, jew jekk dak ma jkunx possibbli, il-kriterji użati biex jiġi ddeterminat dak il-perijodu;
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
This is linked to the data minimisation requirement in Article 5.1(c) and storage limitation requirement in Article 5.1(e). The storage period (or criteria to determine it) may be dictated by factors such as statutory requirements or industry guidelines but should be phrased in a way that allows the data subject to assess, on the basis of his or her own situation, what the retention period will be for specific data/ purposes. It is not sufficient for the data controller to generically state that personal data will be kept as long as necessary for the legitimate purposes of the processing. Where relevant, the different storage periods should be stipulated for different categories of personal data and/or different processing purposes, including where appropriate, archiving periods.
EDPB, Guidelines on the use of location data and contact tracing tools in the context of the COVID-19 outbreak (2020):
Storage limitation should consider the true needs and the medical relevance (this may include epidemiology-motivated considerations like the incubation period,etc.) and personal data should be kept only for the duration of the COVID-19 crisis. Afterwards,as a general rule,all personal data should be erased or anonymised.
(b) l-eżistenza tad-dritt li jitlob mingħand il-kontrollur aċċess jew rettifika jew tħassir ta’ data personali jew restrizzjoni tal-ipproċessar rigward is-suġġett tad-data jew li joġġezzjona għall-ipproċessar kif ukoll id-dritt għall-portabbiltà tad-data;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(b) GDPR:
7.3.5 Предоставление механизма для возражения против обработки ПИИ
Средство управления
Организация должна предоставить механизм, позволяющий субъектам ПИИ возражать против обработки их ПИИ.
Руководство по внедрению
Некоторые юрисдикции предоставляют субъектам ПИИ право возражать против обработки их ПИИ. Организации, на которые распространяется законодательство и / или нормативные акты таких юрисдикций, должны обеспечить принятие соответствующих мер, позволяющих субъектам ПИИ реализовать это право.
…
Войти
для доступа к полному тексту
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
This information should be specific to the processing scenario and include a summary of what the right involves and how the data subject can take steps to exercise it and any limitations on the right. […] In particular, the right to object to processing must be explicitly brought to the data subject’s attention at the latest at the time of first communication with the data subject and must be presented clearly and separately from any other information.64 In relation to the right to portability, see WP29 Guidelines on the right to data portability.
(c) fejn l-ipproċessar ikun ibbażat fuq il-punt (a) tal-Artikolu 6(1) jew il-punt (a) tal-Artikolu 9(2), l-eżistenza tad-dritt li jiġi irtirat il-kunsens fi kwalunkwe ħin, mingħajr ma tiġi affettwata l-legalità tal-ipproċessar abbażi ta’ kunsens qabel l-irtirar tiegħu;
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(c) GDPR:
7.3.4 Предоставление механизма для изменения или отзыва согласия
Средство управления
Организация должна предоставить механизм для субъектов ПИИ для изменения или отзыва своего согласия.
Руководство по внедрению
Организация должна в любое время проинформировать субъектов ПИИ об их правах, связанных с отзывом согласия (которое может варьироваться в зависимости от юрисдикции), и предоставить механизм для этого.
…
Войти
для доступа к полному тексту
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
This information should include how consent may be withdrawn, taking into account that it should be as easy for a data subject to withdraw consent as to give it.
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
This information should explain that, in accordance with Article 77, a data subject has the right to lodge a complaint with a supervisory authority, in particular in the Member State of his or her habitual residence, place of work or of an alleged infringement of the GDPR.
(e) jekk il-forniment ta’ data personali huwiex rekwiżit statutorju jew kuntrattwali, jew rekwiżit meħtieġ biex wieħed jidħol f’kuntratt, kif ukoll jekk is-suġġett tad-data huwiex obbligat jipprovdi d-data personali u l-konsegwenzi possibbli meta wieħed jonqos milli jipprovdi tali data;
(EN) Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2016):
For example in an employment context, it may be a contractual requirement to provide certain information to a current or prospective employer. Online forms should clearly identify which fields are “required”, which are not, and what will be the consequences of not filling in the required fields.
(f) l-eżistenza ta’ teħid awtomatizzat ta’ deċiżjonijiet inkluż it-tfassil ta’ profili msemmi fl-Artikolu 22(1) u (4) u għall-inqas f’dawk il-każijiet, l-informazzjoni importanti dwar il-loġika involuta, kif ukoll is-sinifikat u l-konsegwenzi previsti ta’ tali pproċessar għas-suġġett tad-data.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(f) GDPR:
7.3.10 Автоматизированное принятие решений
Средство управления
Организация должна определить и рассмотреть обязательства, в том числе юридические обязательства, перед субъектами ПИИ, возникающие из-за решений, основанных исключительно на автоматизированной обработке ПИИ, принятых организацией в отношении субъекта ПИИ.
…
Войти
для доступа к полному тексту
(EN) Article 29 Working Party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (wp251rev.01) (2018):
Given the core principle of transparency underpinning the GDPR, controllers must ensure they explain clearly and simply to individuals how the profiling or automated decision-making process works.
In particular, where the processing involves profiling-based decision making (irrespective of whether it is caught by Article 22 provisions), then the fact that the processing is for the purposes of both (a) profiling and (b) making a decision based on the profile generated, must be made clear to the data subject.Recital 60 states that giving information about profiling is part of the controller’s transparency obligations under Article 5(1) (a). The data subject has a right to be informed by the controller about and, in certain circumstances, a right to object to ‘profiling’, regardless of whether solely automated individual decision-making based on profiling takes place.
EDPB, Guidelines 8/2020 on the targeting of social media users (2020).
3. Fejn il-kontrollur ikollu l-intenzjoni li jipproċessa d-data personali ulterjorment għal fini differenti minn dak li għalih tkun inġabret id-data personali, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b’informazzjoni dwar dak il-fini l-ieħor u kwalunkwe informazzjoni ulterjuri rilevanti kif imsemmi fil-paragrafu 2.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(3) GDPR:
7.3.3 Предоставление информации субъектам ПИИ
Средство управления
Организация должна предоставить субъектам ПИИ четкую и легкодоступную информацию, идентифицирующую контролера ПИИ и описывающую обработку их ПИИ.
Руководство по внедрению
Организация должна предоставлять информацию, детализированную в 7.3.2, субъектам ПИИ в своевременной, краткой, полной, прозрачной, понятной и легкодоступной форме, используя ясные и понятные формулировки в зависимости от целевой аудитории.
…
Войти
для доступа к полному тексту
Чтобы облегчить работу наших консультантов, мы собрали все требования и сведения, обязательные к указанию, и свели их в удобный чек-лист. Рядом с каждым пунктом мы разместили ссылки на конкретные статьи GDPR и Руководства. Всю информацию мы сгруппировали в 7 разделов:
- Данные о контролере
- Цели и правовые основания
- Персональные данные
- Трансграничная передача
- Права
- Изменения (в политике приватности)
- Форма (подачи информации)
Выглядит он следующим образом:
…
Войти
для доступа к полному тексту
(EN)
Data Subject Request Letter Sample
Concern: Request of information regarding my personal data
Dear Madam, Dear Sir,
I have a right to be informed, under Article 13 of the General Data Protection Regulation (GDPR), about personal data concerning me that you are processing…
…
Войти
для доступа к полному тексту
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 11(2) GDPR:
7.3.2 Определение информации для субъектов ПИИ
Средство управления
Организация должна определить и документировать информацию, которая должна быть предоставлена субъектам ПИИ, относительно обработки их ПИИ и сроков её предоставления.
Руководство по внедрению
Организация должна определить юридические, нормативные и/или коммерческие требования в отношении того, когда информация должна предоставляться субъекту ПИИ (например, до обработки, в течение определенного времени с момента её запроса и т.д.), а также для типа информации, которую следует предоставить.
…
Войти
для доступа к полному тексту
(61) L-informazzjoni fir-rigward tal-ipproċessar ta' data personali relatata mas-suġġett tad-data għandha tingħatalu meta tinġabar mis-suġġett tad-data, jew, fejn id-data personali tinkiseb minn sors ieħor, f'perijodu ta' żmien raġonevoli, skont iċ-ċirkostanzi tal-każ. Fejn id-data personali tista' tkun żvelata b'mod leġittimu lil riċevitur ieħor, is-suġġett tad-data għandu jkun informat meta d-data personali tkun żvelata għall-ewwel darba lir-riċevitur. Fejn il-kontrollur jkollu l-intenzjoni li jipproċessa d-data personali għal fini differenti minn dak li għalih tkun inġabret, il-kontrollur għandu jipprovdi lis-suġġett tad-data, qabel dak l-ipproċessar ulterjuri, b'informazzjoni dwar dak il-fini l-ieħor u informazzjoni meħtieġa oħra. Fejn il-oriġini tad-data personali ma setgħetx tingħata lis-suġġett tad-data peress li jkunu intużaw diversi sorsi, għandha tingħata informazzjoni ġenerali.
(62) Madankollu, mhuwiex meħtieġ li l-obbligu li tiġi provduta informazzjoni jiġi impost fejn is-suġġett tad-data diġà jkollu l-informazzjoni, fejn ir-reġistrazzjoni jew l-iżvelar tad-data personali tkun espressament stabbilita bil-liġi, jew fejn l-għoti tal-informazzjoni lis-suġġett tad-data tirriżulta impossibbli jew tinvolvi sforz sproporzjonat. Dan tal-aħħar jista' jkun il-każ partikolarment fejn l-ipproċessar isir għal finijiet ta' arkivjar fl-interess pubbliku, għal finijiet ta' riċerka xjentifika jew storika jew għal finijiet ta' statistika. F'dak ir-rigward, għandhom jiġu kkunsidrati l-għadd ta' suġġetti tad-data, l-età tad-data, u kwalunkwe salvagwardja adatta adottati.
(63) Suġġett tad-data għandu jkollu d-dritt ta' aċċess għal data li tkun inġabret dwaru, u li jeżerċita dak id-dritt faċilment u f'intervalli raġonevoli, sabiex ikun jaf dwar, u jivverifika, il-legalità tal-ipproċessar. Dan jinkludi d-dritt tas-suġġetti tad-data li jkollhom aċċess għad-data dwar saħħithom, pereżempju d-data fir-reġistri mediċi tagħhom li jkun fihom informazzjoni bħal dijanjosi, riżultati ta' eżamijiet, valutazzjonijiet mit-tobba li qed jittrattawhom u kwalunkwe kura jew intervent ipprovdut. Kull suġġett tad-data għandu għalhekk ikollu d-dritt li jkun jaf u jikseb komunikazzjoni b'mod partikolari fir-rigward tal-għanijiet li għalihom tkun qiegħda tiġi pproċessata d-data personali, fejn possibbli il-perijodu li għalih id-data personali tiġi pproċessata, ir-riċevituri tad-data personali, il-loġika involuta fi kwalunkwe pproċessar awtomatiku tad-data personali u, għallinqas meta bbażata fuq it-tfassil ta' profili, il-konsegwenzi ta' dan l-ipproċessar. Fejn possibbli, il-kontrollur għandu jkun jista' jipprovdi aċċess mill-bogħod għal sistema sikura li tipprovdi lis-suġġett tad-data b'aċċess dirett għad-data personali tiegħu. Dak id-dritt ma għandux jaffettwa negattivament id-drittijiet jew il-libertajiet ta' persuni oħrajn, inklużi sigrieti tan-negozju jew proprjetà intellettwali u b'mod partikolari d-dritt tal-awtur li jipproteġi s-software. Madankollu, ir-riżultat ta' dawn il-kunsiderazzjonijiet m'għandux ikun rifjut li tiġi provduta l-informazzjoni kollha lis-suġġett tad-data. Fejn il-kontrollur jipproċessa kwantità kbira ta' informazzjoni rigward is-suġġett tad-data, il-kontrollur għandu jkun jista' jitlob li qabel ma tingħata din l-informazzjoni, is-suġġett tad-data jispeċifika l-informazzjoni jew l-attivitajiet ta' pproċessar li għalihom tkun tirreferi t-talba.
(EN)
Document
Article 29 Working Party, Guidelines on transparency under Regulation 2016/679, WP260 rev.01 (2018)
EDPB, Guidelines 3/2019 on Processing of Personal Data through Video Devices (2020).
European Commission, Guidance on Apps supporting the fight against COVID 19 pandemic in relation to data protection Brussels (2020).
EDPB, Guidelines 02/2021 on Virtual Voice Assistants (2021).
Case Law
CJEU, College van burgemeester en wethouders van Rotterdam/Rijkeboer, C-553/07 (2009).
CJEU, YS/Minister voor Immigratie, Integratie en Asiel, C-141/12 and C-372/12 (2014).
CJEU, ClientEarth/European Food Safety Authority, C‑615/13 P (2015).
CJEU, Nowak/Data Protection Commissioner, C-434/16 (2017).
ECHR, López Ribalda v. Spain, nos 1874/13 and 8567/13 (2019).
Belgian DPA Fines Belgian Telecommunications Provider for Several Data Protection Infringements (2020). Brief description in English.
ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).
Приводим соответствующий параграф к статье 13(2)(a) GDPR:
7.4.7 Хранение
Средство управления
Организация должна хранить ПИИ не дольше, чем это необходимо для целей, для которых ПИИ обрабатывается.
Руководство по внедрению
Организация должна разработать и поддерживать графики хранения информации, которую она хранит, принимая во внимание требование сохранять ПИИ не дольше, чем это необходимо.
…
Войти
для доступа к полному тексту