В данной статье будут освещены основные права, которые гарантируются Регламентом. Статья будет полезна для собственников бизнеса, чья деятельность подпадает под действие GDPR. Владельцам бизнеса стоит обратить внимание на то, что при оптимизации своей деятельности необходимо максимально просто и подробно осветить пользователям их права. Ниже будет рассмотрен перечень основных прав и некоторые рекомендации по их соблюдению.
Disclaimer: в статье рассматриваются права Пользователей, которые предоставили доступ к своим персональным данным посредством дачи прямого согласия на обработку, а также в случае, когда основанием для обработки персональных данных является заключение договора, в котором Пользователь является одной из сторон, и обработка персональных данных необходима для его исполнения.
Право на доступ к данным (right to access by the data subject)
Пользователь вправе запрашивать следующую информацию:
- Находятся ли его персональные данные в обработке?
- С какой целью осуществляется обработка?
- Какие категории персональных данных находятся в обработке?
- Кто является получателем персональных данных (в том числе данных о получателях в третьих странах, включая международные организации)?
- Какой срок хранения персональных данных?
- Какие права гарантируются Пользователю (в частности, право на подачу жалобы в надзорный орган и др.)?
Рекомендуем при оптимизации деятельности компании предусмотреть внутренний механизм по быстрому и полному реагированию на запросы пользователей, а именно: разработать внутренние формы документов для ответов на запросы пользователей, назначить ответственное лицо, в компетенцию которого будет входить взаимодействие с пользователями по вопросам предоставления информации в рамках реализации права на доступ к данным.
Право на отзыв согласия на обработку персональных данных (right to withdraw consent).
Пользователь вправе в любое время отозвать свое согласие на обработку, хранение персональных данных, посредством направления соответствующего запроса.
Право на забвение (right to be forgotten).
Пользователь вправе потребовать удаления своих персональных данных во избежание их распространения или передачи их третьим лицам в случае, если:
а) достигнуты цели, в связи с которыми осуществлялась обработка;
- b) пользователь отозвал свое согласие на защиту персональных данных; c) персональные данные были обработаны неправомерно;
- d) в иных случаях, вытекающих из права Евросоюза и национального законодательства стран, подпадающих под действие Регламента.
Данный запрос может быть направлен компании в любой форме. Как правило, целесообразно предусмотреть соответствующий функционал в кабинете пользователя, если сбор персональных данных осуществляется посредством интернет-сайта, также нужно уведомить пользователя о безвозвратном удалении его персональных данных.
Право на ограничение обработки персональных данных (right to restriction of processing).
Пользователь вправе требовать ограничения обработки данных, если:
- a) точность персональных данных оспаривается пользователем;
- b) персональные данные были обработаны неправомерно, и пользователь не желает их уничтожать;
- c) в иных случаях, предусмотренных Регламентом.
Право на переносимость данных (right to data portability).
Пользователь вправе бесплатно и беспрепятственно получить относящиеся к нему персональные данные в структурированном машиночитаемом формате, то есть в электронной форме. Так, пользователь вправе получить:
а) свои персональные данные;
- b) в электронной форме;
- c) без промедлений.
Данное право также включает в себя возможность пользователя перенести свои персональные данные от одной компании к другой.
Персональные данные могут быть предоставлены пользователю в печатном виде. При этом Регламент также содержит условия, при которых пользователю может быть предложено оплатить распечатку его персональных данных.
Право на исправление персональных данных (right to rectification).
Пользователь вправе в любое время изменить информацию о своих персональных данных посредством направления соответствующего запроса.
Право на возражение против обработки персональных данных (right to object).
Пользователь вправе в любой момент возразить против обработки персональных данных в случае, если их обработка осуществляется в целях прямого маркетинга. В случае выражения пользователем указанного возражения персональные данные не подлежат дальнейшей обработке.
Право на подачу жалобы в надзорный орган (right to lodge a complaint with a supervisory authority).
Пользователь вправе подать жалобу в надзорный орган в случае обнаружения нарушения требований Регламента. Надзорным органом является учреждённый в рамках национального права отдельного государства орган, в компетенцию которого входит мониторинг применения Регламента, защита прав и свобод физических лиц в отношении обработки, а также свободного перемещения персональных данных на территории Евросоюза.
По вопросам обеспечения соответствия деятельности Вашей компании требованиям GDPR, пожалуйста, связывайтесь с:
Евгений Ходькин
Управляющий партнер Юридической компании ЮКОН
Автор статьи: Юридическая компания «ЮКОН»