©2023 ALG Legal
Права субъекта данных
Legal services for your business in Poland
16.11.2022
Субъект данных (data subject) обладает рядом прав в связи с обработкой своих персональных данных. Контроллер, в свою очередь, должен объяснить субъекту данных, какими именно правами последний обладает и как их реализовать. Контроллер также обязан способствовать осуществлению субъектом своих прав.
Право быть информированным/right to be informed
Заключается в том, что субъекту данных должна быть предоставлена информация, касающаяся обработки его персональных данных. GDPR устанавливает довольно широкий перечень предоставляемых сведений, который отличается в зависимости от того, получены данные непосредственно от субъекта данных или из других источников (ст. 13 и ст. 14 GDPR).
Контроллеры обязаны предоставить информацию, определенную в ст. 13 GDPR, при сборе персональных данных. Если данные получаются не от субъекта, то информация предоставляется контроллером в течение разумного периода времени, но не позднее 1 месяца с момента получения данных, либо в определенных обстоятельствах во время первого обращения к субъекту данных или не позже первого раскрытия данных иному получателю (п. 3 ст. 14 GDPR).
Информация должна предоставляться кратко, в доступной форме с использованием ясного и понятного языка (п. 1 ст. 12 GDPR).
Следует учитывать, что при возникновении споров обязанность доказать то, что субъекту данных была предоставлена требуемая информация, лежит на контроллере.
Право на доступ к данным/right of access
Право на доступ позволяет субъекту данных понять, какие данные о нем обрабатываются и каким образом. Субъект данных может спросить у контроллера, обрабатывает ли он его персональные данные, и если да, то запросить доступ к данным, а также получить информацию, касающуюся обработки данных (ст. 15 GDPR). Контроллер также должен предоставить субъекту копию обрабатываемых персональных данных.
Eсли право быть информированным представляет собой предоставление информации контроллером субъекту до начала обработки данных, то право на доступ — это право на получение информации об обработке данных и их копии по запросу субъекта данных в то время, когда обработка уже осуществляется.
Право на исправление/right to rectification
Cубъект данных вправе требовать, чтобы контроллер данных исправил, обновил или изменил данные, если они являются неверными или неполными. Неточные личные данные должны быть исправлены без чрезмерной задержки (ст. 16 GDPR).
Право на удаление (право быть забытым)/right to erasure (right to be forgotten)
Субъект данных имеет право на удаление неточных, ложных или незаконно обработанных данных. Право на удаление предоставляет субъекту данных возможность при определенных условиях требовать удаления его личных данных и прекращения их дальнейшего распространения.
Право на удаление не является абсолютным, поэтому при обработке запроса контроллеру необходимо учитывать исключительные случаи, когда субъект данных не может воспользоваться данным правом (п. 3 ст. 17 GDPR).
Право на ограничение обработки/right to restriction of processing
Субъект данных имеет право запросить ограничение, или блокирование, обработки персональных данных при определенных обстоятельствах (п. 1 ст. 18 GDPR).
Субъект данных может попросить контроллера «заморозить» использование данных, например, на время рассмотрения контроллером запроса об исправлении данных, то есть контроллер не сможет использовать данные, но будет обязан их хранить. Субъект также может запросить блокировку данных, если контроллер хочет их удалить, а субъекту необходимо сохранить данные для защиты своих интересов.
Право на переносимость данных/right to data portability
Право на переносимость данных означает, что субъект данных может требовать от контроллера получения, а также передачи своих персональных данных другому контроллеру. Данным правом субъект данных обладает только в случае, когда обработка осуществляется автоматизированными средствами на основании согласия или для исполнения договора.
Право на возражение/right to object
Субъект данных может заявить, что он не хочет, чтобы осуществлялась или продолжалась обработка персональных данных, которая основана на п. 1(e) (публичном интересе) или 1(f) (законном интересе контроллера или третьих лиц) ст. 6 GDPR. Контроллер не может отказать в прекращении обработки, если она осуществляется в целях прямого маркетинга.
Право не быть объектом решения, основанного на автоматизированной обработке
Субъект данных имеет право не быть объектом решения, принимаемого на основании исключительно автоматической обработки персональных данных, то есть решения, которое принимается без вмешательства человека и которое производит правовые или иные значимые последствия для субъекта данных. Данное право подразумевает возможность оспаривания таких решений и любых неточностей личных данных, используемых контроллером.
Принятие автоматизированных решений среди прочего допускается, если это необходимо для исполнения (заключения) договора с субъектом данных или если субъект предоставил свое осознанное согласие на это (п. 2 ст. 22 GDPR).
Запросы субъекта данных /data subject requests (DSRs)
Субъект данных может реализовать свои права посредством направления контроллеру соответствующего запроса в письменной, устной или электронной форме.
При получении запроса компании необходимо определить, какую роль она выполняет при обработке персональных данных субъекта, направившего запрос.
Обязанность ответа на запрос субъекта данных лежит на контроллере. При этом и процессоры могут иметь определенные обязанности в связи с осуществлением прав субъекта данных. Если организация является контроллером, то ей в первую очередь необходимо проверить личность субъекта данных.
Ответ на запрос субъекта должен быть дан в течение 1 месяца, но без необоснованной задержки (п. 3 ст. 12 GDPR). Ввиду ограниченности срока для ответа рекомендуем вести реестр обработок данных для оперативной реализации прав субъекта данных.
Для упрощения обработки запросов субъектов данных контроллер также может предусмотреть предпочитаемые средства коммуникации для принятия таких запросов, а также формы для них, которые сообщаются субъектам, например, в политике конфиденциальности (privacy policy/notice).
При этом необходимо быть готовым к получению запросов и по иным каналам связи. Сотрудники компании, в том числе напрямую взаимодействующие с субъектами данных, должны знать порядок своих действий при получении запроса тем или иным способом.
Право быть информированным/right to be informed
Заключается в том, что субъекту данных должна быть предоставлена информация, касающаяся обработки его персональных данных. GDPR устанавливает довольно широкий перечень предоставляемых сведений, который отличается в зависимости от того, получены данные непосредственно от субъекта данных или из других источников (ст. 13 и ст. 14 GDPR).
Контроллеры обязаны предоставить информацию, определенную в ст. 13 GDPR, при сборе персональных данных. Если данные получаются не от субъекта, то информация предоставляется контроллером в течение разумного периода времени, но не позднее 1 месяца с момента получения данных, либо в определенных обстоятельствах во время первого обращения к субъекту данных или не позже первого раскрытия данных иному получателю (п. 3 ст. 14 GDPR).
Информация должна предоставляться кратко, в доступной форме с использованием ясного и понятного языка (п. 1 ст. 12 GDPR).
Следует учитывать, что при возникновении споров обязанность доказать то, что субъекту данных была предоставлена требуемая информация, лежит на контроллере.
Право на доступ к данным/right of access
Право на доступ позволяет субъекту данных понять, какие данные о нем обрабатываются и каким образом. Субъект данных может спросить у контроллера, обрабатывает ли он его персональные данные, и если да, то запросить доступ к данным, а также получить информацию, касающуюся обработки данных (ст. 15 GDPR). Контроллер также должен предоставить субъекту копию обрабатываемых персональных данных.
Eсли право быть информированным представляет собой предоставление информации контроллером субъекту до начала обработки данных, то право на доступ — это право на получение информации об обработке данных и их копии по запросу субъекта данных в то время, когда обработка уже осуществляется.
Право на исправление/right to rectification
Cубъект данных вправе требовать, чтобы контроллер данных исправил, обновил или изменил данные, если они являются неверными или неполными. Неточные личные данные должны быть исправлены без чрезмерной задержки (ст. 16 GDPR).
Право на удаление (право быть забытым)/right to erasure (right to be forgotten)
Субъект данных имеет право на удаление неточных, ложных или незаконно обработанных данных. Право на удаление предоставляет субъекту данных возможность при определенных условиях требовать удаления его личных данных и прекращения их дальнейшего распространения.
Право на удаление не является абсолютным, поэтому при обработке запроса контроллеру необходимо учитывать исключительные случаи, когда субъект данных не может воспользоваться данным правом (п. 3 ст. 17 GDPR).
Право на ограничение обработки/right to restriction of processing
Субъект данных имеет право запросить ограничение, или блокирование, обработки персональных данных при определенных обстоятельствах (п. 1 ст. 18 GDPR).
Субъект данных может попросить контроллера «заморозить» использование данных, например, на время рассмотрения контроллером запроса об исправлении данных, то есть контроллер не сможет использовать данные, но будет обязан их хранить. Субъект также может запросить блокировку данных, если контроллер хочет их удалить, а субъекту необходимо сохранить данные для защиты своих интересов.
Право на переносимость данных/right to data portability
Право на переносимость данных означает, что субъект данных может требовать от контроллера получения, а также передачи своих персональных данных другому контроллеру. Данным правом субъект данных обладает только в случае, когда обработка осуществляется автоматизированными средствами на основании согласия или для исполнения договора.
Право на возражение/right to object
Субъект данных может заявить, что он не хочет, чтобы осуществлялась или продолжалась обработка персональных данных, которая основана на п. 1(e) (публичном интересе) или 1(f) (законном интересе контроллера или третьих лиц) ст. 6 GDPR. Контроллер не может отказать в прекращении обработки, если она осуществляется в целях прямого маркетинга.
Право не быть объектом решения, основанного на автоматизированной обработке
Субъект данных имеет право не быть объектом решения, принимаемого на основании исключительно автоматической обработки персональных данных, то есть решения, которое принимается без вмешательства человека и которое производит правовые или иные значимые последствия для субъекта данных. Данное право подразумевает возможность оспаривания таких решений и любых неточностей личных данных, используемых контроллером.
Принятие автоматизированных решений среди прочего допускается, если это необходимо для исполнения (заключения) договора с субъектом данных или если субъект предоставил свое осознанное согласие на это (п. 2 ст. 22 GDPR).
Запросы субъекта данных /data subject requests (DSRs)
Субъект данных может реализовать свои права посредством направления контроллеру соответствующего запроса в письменной, устной или электронной форме.
При получении запроса компании необходимо определить, какую роль она выполняет при обработке персональных данных субъекта, направившего запрос.
Обязанность ответа на запрос субъекта данных лежит на контроллере. При этом и процессоры могут иметь определенные обязанности в связи с осуществлением прав субъекта данных. Если организация является контроллером, то ей в первую очередь необходимо проверить личность субъекта данных.
Ответ на запрос субъекта должен быть дан в течение 1 месяца, но без необоснованной задержки (п. 3 ст. 12 GDPR). Ввиду ограниченности срока для ответа рекомендуем вести реестр обработок данных для оперативной реализации прав субъекта данных.
Для упрощения обработки запросов субъектов данных контроллер также может предусмотреть предпочитаемые средства коммуникации для принятия таких запросов, а также формы для них, которые сообщаются субъектам, например, в политике конфиденциальности (privacy policy/notice).
При этом необходимо быть готовым к получению запросов и по иным каналам связи. Сотрудники компании, в том числе напрямую взаимодействующие с субъектами данных, должны знать порядок своих действий при получении запроса тем или иным способом.
Что мы предлагаем?
Компания ALG Legal готова дать консультации по порядку действий в случае получения запроса от субъекта данных в зависимости от статуса вашей компании в осуществляемой обработке, помочь в разработке политики конфиденциальности, положения о порядке реагирования на запросы субъекта данных, форм для запросов субъектов и форм ответов на них.
Подписывайтесь на наш канал в Telegram!
Здесь вы найдете много полезной информации о юридических и налоговых аспектах ведения бизнеса в Польше
