Право доступа субъекта персональных данных закреплено в ст. 15 GDPR. Оно предусматривает возможность для субъекта персональных данных, во-первых, уточнить, обрабатывает ли контролер или процессор его персональные данные; во-вторых, какие именно данные обрабатываются, и в-третьих, как они обрабатываются (для каких целей, в течение какого срока и т.д.). Таким образом, в праве доступа субъекта персональных данных можно выделить три компонента, каждый из которых стоит рассмотреть отдельно.
Love to work together
Поможем привести компанию к соответствию законам о защите персональных данных.
“Обрабатываете ли вы мои данные?”
Первый компонент права доступа – это предоставление контролером информации о том, обрабатывает ли последний персональные данные субъекта.
Если данные такого человека не обрабатываются, необходимо сообщить ему об этом (оставлять запрос без ответа нельзя). Если же контролер обрабатывает данные субъекта, следует подтвердить факт обработки данных. Такое подтверждение можно направить как отдельно, так и вместе с данными как таковыми. Подтверждение направляется отдельно от данных, в основном, когда предоставление этих данных требует некоторого времени и усилий. В этом случае контролер подтверждает факт обработки персональных данных как можно скорее после получения запроса, после чего в течение, например, недели собирает все обрабатываемые данные и отправляет их субъекту.
Важно!
В соответствии со ст. 4(2) GDPR хранение персональных данных также является их обработкой. Это значит, что компания, хранящая персональные данные без какой-либо определенной цели, “на всякий случай”, также обрабатывает такие данные – и обязана сообщить об этом субъекту, получив соответствующий запрос.
“Какие именно данные обо мне вы обрабатываете?”
Второй компонент права субъекта на доступ – это предоставление непосредственно персональных данных об этом субъекте.
Важно, что по умолчанию контролер обязан предоставить субъекту все обрабатываемые персональные данных. Тем не менее, контролер вправе уточнить у субъекта, действительно ли его интересуют все данные либо что-то определенное (например, информация о совершенных платежах и т.д.). На практике, чем меньше информации запрашивает субъект, тем быстрее контролер может удовлетворить такой запрос. Однако если субъект настаивает на том, чтобы получить все данные, контролер обязан их предоставить.
Словосочетание “все обрабатываемые данные” необходимо понимать буквально. Во-первых, контролер обязан предоставить субъекту именно персональные данные как таковые, а не описание обрабатываемых данных или перечисление их категорий. Во-вторых, субъекту необходимо предоставить даже те данные, которые он сам передал контролеру (например, при заполнении анкеты). Кроме того, некоторые данные нуждаются в дополнительных пояснениях. Так, например, если ранее контролер обрабатывал ошибочные данные, которые в дальнейшем были исправлены, необходимо сделать об этом соответствующую отметку.
“Как именно обрабатываются мои персональные данные?”
Помимо собственно персональных данных, контролер обязан сообщить субъекту некоторые дополнительные сведения, а именно:
- цели обработки;
- категории соответствующих персональных данных;
- сведения о получателях или категориях получателей, которым были или будут раскрыты персональные данные;
- предусмотренный срок хранения персональных данных, или критерии, используемые для определения указанного периода;
- существование права требовать от контролера исправления или удаления соответствующих персональных данных, или ограничения их обработки, или возражать против указанной обработки;
- право подачи жалобы в надзорный орган;
- сведения об источнике персональных данных, если персональные данные получены не от субъекта данных, если персональные данные получены не от субъекта данных, если они получены не от субъекта напрямую;
- наличие процесса автоматизированного принятия решения, включая профилирование согласно ст. 22(1) и (4) GDPR, и, как минимум в указанных случаях, сведения о соответствующей логике, а также о значимости и предполагаемых последствиях указанной обработки для субъекта данных;
- информацию о надлежащих средствах защиты согласно ст. 46 GDPR касательно передачи данных - если персональные данные передаются в третью страну или международную организацию.
Частая ошибка контролеров заключается в том, что вместо этих сведения они предоставляют субъекту ссылку на свою политику приватности (политику конфиденциальности, privacy policy). Однако задача контролера состоит в том, чтобы предоставить субъекту конкретные сведения об обработке тех персональных данных, к которым субъект попросил доступ.
Например, субъект данных попросил предоставить ему информацию обо всех комментариях, оставленных на Интернет-форуме. Контролер – владелец форума – владеет большим объемом персональных данных, и комментарии пользователя – только часть из них. Вместе с текстом комментариев контролер обязан указать также дополнительные сведения, перечисленные в пунктах 1-9 выше, однако исключительно в отношении запрашиваемых данных. То есть, если в целом персональные данные пользователей обрабатываются для тридцати целей, но данные о комментариях – только для трех, необходимо предоставить сведения лишь об этих трех целях. Сведения о сроке хранения данных, получателях данных и т.д. также следует предоставить исключительно в контексте запрашиваемой информации.
Важно!
Рекомендуется также для каждой цели указать соответствующее правовое основание, поскольку реализация субъектом других прав (например, права на удаление данных, права на ограничение обработки) зависит от правового основания обработки.
Таким образом, отвечая на запрос субъекта персональных данных о доступе к ним, не забудьте, что задача контролера – не просто отправить субъекту копию его персональных данных, но и дать сопутствующую информацию о том, как именно обрабатываются те самые данные, которые запросил субъект.
Забронируйте бесплатную консультацию прямо сейчас!
- Внедрение GDPR
- Обучение GDPR
- Выстраивание системы защиты персональных данных
- Минимальный комплаенс для выхода на новые рынки
- Индивидуальные решения по вашим запросам