RODO не предусматривает конкретного способа, с помощью которого должно осуществляться информационное обязательство. Постановление указывает лишь на то, что администратор обязан принять «надлежащие меры» для полноценного информирования субъекта, которому эти данные принадлежат.
Кроме того, постановление требует чтобы информация была:
- краткой, прозрачной, понятной и легкодоступной,
- выраженной ясным и простым языком,
- представлена в письменном виде (в том числе в электронном виде) или устно (по желанию субъекта персональных данных),
- бесплатной.
Статья 12 постановления 1 RODO
Администратор принимает соответствующие меры для предоставления краткой, прозрачной, понятной и легкодоступной информации, выраженной простым и ясным языком. Информация должна предоставляться в письменном виде, или электронном виде. Если владелец личных данных того пожелает, то информация может быть предоставлена в устной форме, когда личность владельца данных подтвердится.
Ниже представлен краткий обзор каждого из требований RODO:
«Надлежащие меры»
Такая общая формулировка означает, что при принятии решения о форме и способе выполнения информационного обязательства администратор данных должен учитывать все обстоятельства сбора и обработки информации (например, тип используемого устройства или тип взаимодействия пользователя с администратором).
«Краткая, прозрачная, понятная и легкодоступная»
Требование о том, чтобы информация, предоставляемая субъекту данных, была краткой и прозрачной, означает, что администратор должен предоставить ее таким образом чтобы избежать информационного переутомления. Кроме того, эта информация должна быть четко отделена визуально от другой информации, не связанной с защитой персональных данных (например, от условий контракта).
Из этого следует, что требование о «понятности информации» означает, что она должна восприниматься среднестатистическим потребителем так, чтобы он мог определить степень обработки его персональных данных.
Формулировка «легкодоступная» обязует, чтобы субъект персональных данных не был вынужден искать или запрашивать информацию касающуюся ее обработки. Другими словами, ему должно быть очевидно, где он может получить доступ к этой информации. К примеру, администратор веб-сайта должен опубликовать информацию о защите персональных данных на своем веб-ресурсе и ссылка на эту информацию должна быть помещена на каждую страницу сайта (информация может быть размещена в разделе “политика конфиденциальности”, а ссылка на нее указана на каждой странице сноской).
«Выраженная простым и ясным языком»
Данное требование означает, что информация не должна вызывать сомнения. Она должна быть доступна для понимания и излагаться в самой простой форме, без использования юридической или технической терминологии или сложных лингвистических оборотов. Информация должна быть конкретной и исчерпывающей, не оставляющей возможности для свободы в интерпретации.
“Информация должна предоставляться в письменном виде (также в электронном виде), либо устно, если владелец персональных данных того пожелает”
RODO выдвигает основное требование — предоставлять информацию субъекту персональных данных в письменном виде, допуская при этом возможность предоставления информации в электронном виде, если обстоятельства обработки данных в данном конкретном случае это подразумевают (например, если администратор интернет-ресурса получил доступ к персональным данным именно посредством этого интернет-ресурса).
RODO допускает альтернативу в форме предоставления устной информации на запрос субъекта персональных данных. Устное предоставление информации может выражаться не только в передаче информации от одного лица другому, но также в автоматическом ее предоставлении. Примером, оправдывающим использование устной формы предоставления информации может быть, например, ситуация, когда человек с нарушениями зрения использует услуги информационного общества. Следует также помнить о соблюдении правил подотчетности — администратор должен иметь возможность подтвердить тот факт, то, что субъект данных запросил предоставление информации в устном виде, подав при этом соответствующее заявление, и что информация ему была передана фактически.
«Бесплатная»
Данная формулировка касается двух аспектов.
Во-первых, администратор не имеет права взымать оплату с субъекта данных за предоставление информации в рамках выполнения своих информационных обязательств. Во-вторых, эта информация не может зависеть от финансовых операций. Так, например, если персональные данные обрабатываются в связи с покупкой клиентом товара в интернет-магазине, то информация должна быть предоставлена этому клиенту до совершения сделки, в тот самый момент, когда эта информация собирается фактически, но не после окончания транзакции.
RODO не ограничивает способы предоставления информации только до языковой коммуникации, оставляя возможность использование инструментов визуализации для этих целей. В постановлении, как пример таких инструментов, указываются графические знаки, а также знак качества и маркировка защиты данных (например, норма ISO/IEC 27001).
Конкретный способ выполнения информационного обязательства всегда будет зависеть от специфики конкретной компании и обстоятельств обработки персональных данных. Ниже приведены примеры выполнения требований, в зависимости от способа обработки данных:
- В цифровом виде
Хороший пример выполнения требований RODO, который может быть использовано на веб-ресурсах:
Размещение информации о приватности под формой контактов на сайте таким образом, чтобы были видны первые несколько слов об обработке персональных данных и чтобы посетитель, кликнув по этой строке, мог развернуть полную информацию.
Другим примером выполнения информационного обязательства в цифровом виде является размещение информации в разделе “Политика конфиденциальности” (или аналогичном ему), на которую ведет ссылка с каждой подстраницы, или же в рамках конкретного действия пользователя, например, под формуляром, который он заполняет для доставки товара.
Следующим примером является всплывающее окно, содержащее сведения о конкретном человеке. Например, если пользователь, приобретая товар в виртуальном магазине, предоставляет свой телефонный номер, то появляющаяся рядом табличка может уведомить о том, что данный контакт будет использован исключительно для связи с клиентом с целью обработки его заказа.
Этот способ носит скорей дополнительный характер и стоит его расширить, к примеру, ссылкой на “политику конфиденциальности”.
Однако, данный способ позволяет разделить объемную информацию на части, на легко усваиваемые фрагменты, что эффективно предотвращает “информационное переутомление”.
- В документальном виде
Хорошим вариантом для выполнения требований постановления RODO в документальном виде является внедрение дополнительного документа к заключаемому договору. Данный документ может включать необходимую информацию об информационном обязательстве и быть представленным в виде инфографики и схем, объясняющих цели и условия обработки данных.
Эта информация также может быть размещена в самом договоре, но визуально должна быть четко отделена от основного содержания документа. Внедрение же дополнительного документа к заключаемому договору позволяет безусловное выполнение требований RODO.
- В телефонном режиме
В тех случаях, когда обработка персональных данных производится посредством телефонного контакта, информация может быть передана субъекту либо реальным лицом, либо автоматической записью. Важно помнить о необходимости соблюдения правил подотчетности — администратор должен располагать записью, подтверждающей факт передачи требуемой информации.
Ознакомиться с польским источником
Comments are closed.