“Три кита” права доступа субъекта персональных данных

Право доступа субъекта персональных данных закреплено в ст. 15 GDPR. Оно предусматривает возможность для субъекта персональных данных, во-первых, уточнить, обрабатывает ли контролер или процессор его персональные данные; во-вторых, какие именно данные обрабатываются, и в-третьих, как они обрабатываются (для каких целей, в течение какого срока и т.д.). Таким образом, в праве доступа субъекта персональных данных можно выделить три компонента, каждый из которых стоит рассмотреть отдельно.

Содержание

“Обрабатываете ли вы мои данные?”

Первый компонент права доступа – это предоставление контролером информации о том, обрабатывает ли последний персональные данные субъекта.

Если данные такого человека не обрабатываются, необходимо сообщить ему об этом (оставлять запрос без ответа нельзя). Если же контролер обрабатывает данные субъекта, следует подтвердить факт обработки данных. Такое подтверждение можно направить как отдельно, так и вместе с данными как таковыми. Подтверждение направляется отдельно от данных, в основном, когда предоставление этих данных требует некоторого времени и усилий. В этом случае контролер подтверждает факт обработки персональных данных как можно скорее после получения запроса, после чего в течение, например, недели собирает все обрабатываемые данные и отправляет их субъекту.

В соответствии со ст. 4(2) GDPR хранение персональных данных также является их обработкой. Это значит, что компания, хранящая персональные данные без какой-либо определенной цели, “на всякий случай”, также обрабатывает такие данные – и обязана сообщить об этом субъекту, получив соответствующий запрос.

“Какие именно данные обо мне вы обрабатываете?”

Второй компонент права субъекта на доступ – это предоставление непосредственно персональных данных об этом субъекте.

Важно, что по умолчанию контролер обязан предоставить субъекту все обрабатываемые персональные данных. Тем не менее, контролер вправе уточнить у субъекта, действительно ли его интересуют все данные либо что-то определенное (например, информация о совершенных платежах и т.д.). На практике, чем меньше информации запрашивает субъект, тем быстрее контролер может удовлетворить такой запрос. Однако если субъект настаивает на том, чтобы получить все данные, контролер обязан их предоставить. 

Словосочетание “все обрабатываемые данные”необходимо понимать буквально. Во-первых, контролер обязан предоставить субъекту именно персональные данные как таковые, а не описание обрабатываемых данных или перечисление их категорий. Во-вторых, субъекту необходимо предоставить даже те данные, которые он сам передал контролеру (например, при заполнении анкеты). Кроме того, некоторые данные нуждаются в дополнительных пояснениях. Так, например, если ранее контролер обрабатывал ошибочные данные, которые в дальнейшем были исправлены, необходимо сделать об этом соответствующую отметку.

Подкаст "Про Приватность"

Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности. 

Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave

подкасты про приватность

“Как именно обрабатываются мои персональные данные?”

Помимо собственно персональных данных, контролер обязан сообщить субъекту некоторые дополнительные сведения, а именно:

Частая ошибка контролеров заключается в том, что вместо этих сведения они предоставляют субъекту ссылку на свою политику приватности (политику конфиденциальности, privacy policy). Однако задача контролера состоит в том, чтобы предоставить субъекту конкретные сведения об обработке тех персональных данных, к которым субъект попросил доступ.

Например, субъект данных попросил предоставить ему информацию обо всех комментариях, оставленных на Интернет-форуме. Контролер – владелец форума – владеет большим объемом персональных данных, и комментарии пользователя – только часть из них. Вместе с текстом комментариев контролер обязан указать также дополнительные сведения, перечисленные в пунктах 1-9 выше, однако исключительно в отношении запрашиваемых данных. То есть, если в целом персональные данные пользователей обрабатываются для тридцати целей, но данные о комментариях – только для трех, необходимо предоставить сведения лишь об этих трех целях. Сведения о сроке хранения данных, получателях данных и т.д. также следует предоставить исключительно в контексте запрашиваемой информации.

Рекомендуется также для каждой цели указать соответствующее правовое основание, поскольку реализация субъектом других прав (например, права на удаление данных, права на ограничение обработки) зависит от правового основания обработки.

Таким образом, отвечая на запрос субъекта персональных данных о доступе к ним, не забудьте, что задача контролера – не просто отправить субъекту копию его персональных данных, но и дать сопутствующую информацию о том, как именно обрабатываются те самые данные, которые запросил субъект.

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.