DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Права субъектов данных (часть 2)

В первой части статьи мы уже рассказали о праве на доступ, праве на уточнение информации, праве быть забытым, праве на ограничение обработки. Сейчас же время открыть завесу таких прав субъектов персональных данных, как: 

  1. Право на переносимость данных;
  2. Право на возражение против обработки;
  3. Право не быть объектом автоматического принятия решений;
  4. Право подать жалобу в надзорный орган и право на компенсацию.

Право на переносимость данных

Введено относительно недавно, поэтому нигде не реализовано на 100%. Субъект может рассчитывать на получение своих персональных данных с целью передачи их от одного контролёра к другому (если это возможно с технической точки зрения). Показалось, что право на переносимость схоже с правом на доступ? Рассказываем, как минимум, о двух существенных различиях.

Право на переносимость используется только тогда, когда данные:

  • обрабатываются на основе согласия или договора (право на доступ применимо ко всем правовым основаниям);
  • обработка данных должна быть автоматизированной.

Механизм действия права на переносимость данных следующий. По требованию субъекта компания формирует все его персональные данные в один файл. После чего документ передается либо субъекту лично, либо новому контролёру (в случае, когда он указан субъектом). При этом, формат файла должен быть не человеко-читабельным, а машино-читабельным, чтобы импортировать персональные данные в систему другого контролёра.

Кроме того, право на переносимость может сопровождаться и запросом на удаление данных у первоначального контролёра, но не влечет за собой автоматического удаления персональных данных.

Подразумевается, что в каждой сфере бизнеса компании должны договориться о едином стандарте переноса данных, включая механизм, формат, разметку.

Например, социальная сеть Вконтакте — объект регулирования GDPR, поскольку предлагает товары и услуги находящимся на территории Евросоюза лицам и имеет несколько языковых версий (английском, французском, польском и др.).

Следовательно, пользователи ВКонтакте — субъекты персональных данных, которые могут воспользоваться правом на переносимость данных. В этом случае ВК должен предоставить пользователю в машино-читабельно виде его фотографии, переписки, данные персонального профиля для импортирования этой информации в Facebook.

Для ВК разумнее было бы передать данные напрямую Facebook, чтобы исключить риск утери данных субъектом. Но проблема в том, сейчас право на переносимость реализовано слабо, потому что между социальными сетями отсутствует единый стандарт, в каком виде и какие данные можно экспортировать. Получается, что технические сотрудники вынуждены принимать индивидуальные решения по каждому из случаев.  

Вероятно, вы вспомнили, что Facebook добавил возможность для пользователей скачать свои персональные данные? Да, верно, однако это касается реализации права на доступ, а не права на переносимость. Почему? Вы можете получить персональные данные в человеко-читабельном, а не машино-читабельном формате.

Право на возражение

Субъект имеет право возразить против обработки своих персональных данных, если считает, что его ситуация не попадает под легитимный интерес контролёра. То есть, право на возражение может быть реализовано лишь тогда, когда обработка основана на легитимном или публичном интересе контролёра. Также данным правом можно воспользоваться, когда субъект решает отозвать свое согласие на обработку данных.

Контролер имеет право рассмотреть возражения субъекта и принять одно из двух решений: либо отклонить возражения и продолжить обработку, либо принять возражения и прекратить обрабатывать персональные данные.

Важно! Право на возражение не подразумевает автоматического удовлетворения требований субъекта данных, а последнее слово остается за контроллером. В каждом конкретном случае необходимо рассмотреть возражение, проанализировать ситуацию и принять решение, необходима ли данная обработка для жизненно важных интересов компании или общественности.

У данного правила есть одно исключение. Возражение субъекта против обработки должно быть удовлетворено автоматически, если персональные данные обрабатывались для целей прямого маркетинга.

Например, у компании сформирован пул клиентов, персональные данные которых были собраны для продажи своих товаров. Организация же делает email-рассылку, где рассказывает продуктах партнёра. Клиент вправе возразить против обработки персональных данных, а контролёр, в свою очередь, не будет иметь оснований на отказ. 

В политике приватности рекомендуется подробно прописать легитимный интерес компании для обработки данных. Почему? Как мы уже сказали, субъект имеет право возражать только против обработок, основанных на легитимном интересе. 

Право не быть объектом автоматизированного решения

Согласно статье 22 Регламента это решение, которое базируется на автоматизированном процессе. Проще говоря, ситуации, когда робот решает судьбу человека.

Стоит обратить внимание на два момента. Во-первых, если в компании используются автоматизированные решения, то это обязательно необходимо указывать в политике приватности. Во-вторых, указать надо и то, как будет реализовываться право субъекта на доступ к своим персональным данным.

Разберемся на примере. Раньше страховые премии для клиентов рассчитывал алгоритм по заданной формуле. Нет, это не значит, что теперь, когда действуют правила Регламента, нужно нанять сотрудника, который будет считать всё вручную. Достаточно назначить ответственного, чтобы он мог отслеживать, насколько релевантное принято решение и, если нужно, корректировал. 

К сожалению, Регламент не содержит указаний на то, в какой мере автоматизация может сохраниться, поэтому нужно быть готовым, что вскоре могут быть внесены уточнения.

Право на компенсацию

Помимо штрафа за нарушение правил GDPR, компания также обязана выплатить субъекту данных компенсацию, если он того потребует. Это право на компенсацию моральных и материальных потерь для субъектов предусмотрено статьей 82 Регламента.

Кроме того, у субъектов есть право на защиту в групповом иске. Например, в результате нарушения правил обработки пострадало 5 миллионов человек, каждый понес ущерб в размере 100 евро. Специально созданные для защиты прав субъектов неправительственные ассоциации и некоммерческие организации могут представлять этих субъектов в суде и подавать коллективные иски в суд с целью взыскания компенсаций.

На одном из конгрессов по защите персональных данных в Брюсселе представители одной британской юридической компании поделись своим опытом. Компания учредила некоммерческую организацию, чтобы подавать групповые иски о взыскании компенсаций. По словам юристов нормы GDPR создали “идеальный шторм” для объединения в ассоциации. Сегодня у европейских правозащитных организаций есть и материальный интерес становится на защиту прав субъектов: чем больше сумма коллективного иска, тем существеннее гонорар за оказанные юридические услуги.

Право на подачу жалобы в надзорный орган

Статья 77 Регламента говорит о том, что у субъекта есть право обратиться за защитой в надзорный орган. Это право может быть реализовано по месту жительства, работы или локации нарушения.

Например, субъект живет в Австрии, ездит на работу в Германию, а компания, нарушившая его права, находится во Франции, а значит он может сам выбрать страну для обращения. При этом, у надзорных органов есть возможность совместно расследовать одну жалобу.

У субъектов данных из постсоветского пространства также имеется право на обращение в надзорные органы, если европейские компании нарушают их права. Однако такое право может быть реализовано только по месту нарушения правил. Например, если вы находитесь в Москве, а правила нарушила компания, располагающаяся в Германии, то подать жалобу необходимо в немецкий надзорный орган.

Если же решение надзорного органа не удовлетворяет субъекта, то он имеет право обжаловать его в суде.

 

Расписание курсов загружается, подожди несколько секунд