DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Права субъектов данных (часть 1)

 

 

В первой части нашей статьи расскажем о следующих правах субъектов данных по GDPR:

  • Право на доступ.
  • Право на уточнение информации.
  • Право быть забытым.
  • Право на ограничение обработки.

 

Право на доступ

 

Согласно 15 статье Регламента субъект должен иметь возможность воспользоваться правом на доступ, чтобы узнать, какая информация о нём есть у компании. Вплоть до сведений о том, какой механизм трансграничной передачи данных используется организацией. 

Это значит, что компания обязана предоставить субъекту копию его персональных данных в человеко-читабельной форме: электронной или бумажной. 

Как правило, если субъект обратился в электронной форме (через электронную почту или сервис обратной связи), персональные данные предоставляются в электронном формате. И, наоборот, при обращении субъекта в бумажной форме (например, через заказное письмо), данные направляются в бумажном виде. При этом, если объемы данных велики или копия запрашивается повторно, может взиматься разумная плата.

Интересный кейс произошёл у британского издания. Газета провела эксперимент: журналистка запросила у компании, которая владеет приложением для знакомств Tinder, все свои персональные данные за период пользования сервисом в бумажном виде. Итог: получив почти полтысячи страниц, девушка сильно удивилась, почему так много. 

Дело в том, что Tinder собирает не только личные данные из аккаунта субъекта, но и геолокации, тексты переписок и историю свайпов при взаимодействии с другими пользователями. 

При этом, право на доступ к данным не должно оказывать негативное влияние на права и свободы других лиц.

Что это значит? Например, вы работаете в компании, где действует система оценки персонала “360 градусов”. Каждого из работников, в том числе и вас, оценивают по критериям коллеги. Получается, что собранная о сотруднике информация, — это его персональные данные. В отчете содержатся идентификаторы, по которым можно сделать выводы о вашей профессиональной пригодности и человеческих качествах. Однако, если попытаться потребовать доступ к этим данным, ничего не выйдет. Информация о том, как к вам относится начальник или подчиненный может негативно сказаться на отношениях в трудовом коллективе. В принципе, можно принять меры по анонимизации данных, но это будет очень сложно, так как всё равно останется высокий риск, что определённые слова или ситуации помогут идентифицировать владельца отзыва. Тем более, что круг людей ограничен рабочим коллективом, анонимизация данных практически невозможна. И это тот случай, когда отказ в предоставлении копии персональных данных, разумен. 

 

Право на уточнение данных

 

Согласно 16 статье Регламента субъект вправе потребовать уточнить или дополнить имеющиеся у компании данные о нём. Важно проверять личность того, кто направляет данный запрос, производить чекинг изменяемой информации и попросить указать цели и причины. 

Таким образом, если субъекта зовут Ваня Иванов, он не может написать в банк, где взял кредит: “Добрый день! Поменяйте, пожалуйста, мое имя и фамилию на Арнольд Шварценеггер. И, кстати, теперь это он будет выплачивать вам 150 000 евро”.

Например, субъект может уточнить данные, когда сменил фамилию, переехал, сделал новый паспорт (по сути, информация должна быть проверяемой).

 

Право быть забытым

 

Его называют по-разному: право на удаление данных (“right to erasure”) или право на забвение (“right to be forgotten”). Согласно 17 статье GDPR субъект вправе требовать незамедлительного удаления его персональных данных, если они более не требуются для первоначально указанных целей.

Предположим, 22-летний Иван вспомнил, что 8 лет назад он был активным пользователем интернета. Регистрировался на различных игровых сайтах и оставлял там не самые цензурные комментарии и отзывы. В настоящее время Иван не пользуется этими сервисами, поэтому Иван может требовать удалить все персональные данные, оставленные им ранее.

Но, если цели, для которых собирались данные, уже выполнены, то согласно правилам Регламента должно происходить автоматическое удаление. 

Кроме того, согласно 17 статье GDPR, субъект может отозвать свое согласие на обработку данных, если его данные не используются для других целей.  

При этом, если данные обрабатываются несколькими процессорами в интересах одного контролера, субъект может выбрать, кому предъявить требование о забвении. Ему не нужно уведомлять всю цепочку компаний, собирающих и обрабатывающих его данные. Достаточно направить запрос любому из процессоров, обязанностью которого будет оповестить контролёра. 

Приводим пример, когда это работает. Субъект данных проживает в мусульманской стране, и информация о том, что он покупает свинину, представляет для него серьезный социальный риск. Субъект обращается в компанию с требованием удалить персональные данные, относящиеся к нему. В данном случае, риск субъекта перевешивает легитимный интерес компании, которая продает свинину, поэтому его данные подлежат бесспорному удалению даже несмотря на то, что собирались и обрабатывались полностью законно.

Воспользоваться правом на удаление можно и в ситуации, когда обработка происходит незаконно. Например, данные с камер видеонаблюдения должны храниться в течение 6 месяцев, после чего автоматически стираться. Если компания, нарушая закон, продолжает хранить записи с камер после истечения полугода, значит субъект имеет право потребовать удалить данные.

Персональные данные также подлежат удалению, если собирались для предоставления услуг информационного общества. Звучит сложно, не так ли? Это касается прав детей. Для того, чтобы завести личный аккаунт в социальных сетях, необходимо достигнуть определенного возраста. Представим, что ребенок активно пользовался Facebook, не достигнув этого возраста: подписывался на группы, оставлял комментарии, выкладывал личные фото. Родители имеют право требовать удаления всех данных о ребенке, а Facebook, в свою очередь, не может отказать, ссылаясь на легитимный интерес в обработке. Несовершеннолетний не всегда отдает отчет о всех своих действиях: то, что он пишет, какие фотографии выкладывает, последствия для взрослой жизни. Право быть забытым для детей реализуется без исключений. Причем, это действует даже в случае, если Васе уже 25 (только тогда обращаются уже не родители, а он сам).

Есть несколько ограничений насчет права быть забытым. Первое касается права на свободу выражения мнения и свободу информации. Право быть забытым в этом случае работать не будет. 

Например, человек совершил преступление и был приговорен к наказанию. Газета освещала ход судебного процесса, рассказывала об обстоятельствах преступления, упоминала имя человека, дату рождения, факты из биографии преступника. Общество вправе знать о преступлении и о человеке, совершившем его. Цензурировать газету ради забвения имени преступника и деталей преступления никто не будет. Если человек попытается потребовать удаления его имени, ему откажут.

Второе ограничение по праву быть забытым связано с государственным интересом. К примеру, государство в целях эпидемиологической защиты населения может сохранять медицинские карты заболевших коронавирусом. В случае повторной эпидемии медицинские учреждения смогут оперативно получить информацию о возможных донорах крови, содержащих антитела. Соответственно, требовать удаления персональных данных из медицинских карт нельзя, поскольку это противоречит интересам государства.

Третье ограничение — экономическое. Смоделируем ситуацию. Человек заключил с компанией, предоставляющей услуги мобильной связи, договор на один год. Контракт прекратил свое действие, но за человеком остался долг в размере 50 евро за последние 2 месяца. Компания намерена взыскать образовавшуюся задолженность, поэтому имеет право не удалять данные клиента до тех пор, пока не получит причитающиеся ей деньги. Таким образом, никакие требования об удалении данных по причине истечения контракта в данном случае не сработают. 

 

Право на ограничение обработки

 

В данном случае “ограничение” трактуется, как “заморозка”. Суть проста: если основания для обработки данных временно не актуальны , уже собранные персональные данные остаются у контролера, но никаких действий, помимо хранения данных, контролёр предпринимать не вправе.

Когда это может понадобится? Во-первых, когда данные не точны. Например, банк присылает своему клиенту выписки со счетов по его старому адресу. Клиент просит: “Перестаньте присылать мне выписки, пока не уточните мой адрес. Не хочу, чтобы мой бывший домовладелец получал мою банковскую информацию”.

Во-вторых, когда обработка является незаконной. Например, клиент хочет подать в суд, но не хочет, чтобы банк продолжал обрабатывать его данные уже сейчас. Клиент может сказать или написать: “Перестаньте обрабатывать мои данные, но оставьте их у себя в системе, чтобы я мог их использовать как доказательства в суде”.

За контролером остается право принятия решения. В каждом отдельном случае необходимо анализировать, перевешивает ли требование субъекта легитимный интерес компании. Если права субъекта перевешивают легитимный интерес, то обработку нужно остановить, а данные временно заморозить. В противном случае, можно отказать субъекту и не замораживать собранные персональные данные.

А о таких правах субъекта, как право на переносимость данных, право на возражение против обработки, право не быть объектом автоматического принятия решений, право подать жалобу в надзорный орган и право на компенсацию, мы рассказали во второй части публикации. 

Расписание курсов загружается, подожди несколько секунд