Не каждый знает, какое большое количество прав и возможностей их реализации есть во вселенной персональных данных у субъекта, хотя это очень важно. Чем выше осведомлённость, тем ниже вероятность нарушений и тем больше возможностей для защиты прав. Именно поэтому в этом уроке мы предлагаем поговорить о том, какими правами вы наделены как субъекты персональных данных, какие есть ограничения в части реализации прав, что делать и к кому обращаться за помощью, если ваши права нарушены.
Основные права субъектов персональных данных
Получение информации
Вы имеете право получать информацию, связанную с обработкой ваших данных.
Для этого вы можете:
- изучить документы оператора, определяющие условия обработки;
- запросить у оператора и получить информацию:
– подтверждающую факт обработки ваших персональных данных;
– о правовых основаниях и целях обработки;
– о перечне обрабатываемых данных;
– о наименовании/ФИО и месте нахождения оператора;
– о лицах, которым переданы ваши данные;
– о том, откуда оператор получил ваши данные;
– о сроках обработки персональных данных;
– о том, планирует или осуществляет ли оператор передачу персональных данных за рубеж.
Принятие решений
В случае, когда основанием обработки является согласие или договор, именно вы решаете:
- предоставлять ли оператору персональные данные и в каком объёме;
- подписывать ли согласие на обработку персональных данных;
- что указывать в заявке на заключение договора;
- заключать ли договор с оператором, который позволит ему обрабатывать ваши данные.
Но здесь нужно понимать: если вы не готовы предоставить объём данных, необходимый для оказания вам услуг или предоставления продуктов и сервисов или не подписываете согласие/договор, вам не смогут предоставить такие услуги, продукты, сервисы.
Например, если услуга связана с доставкой вам продуктов — как минимум, нужна информация о том, кому будет произведена доставка, как можно связаться с получателем, по какому адресу нужно доставить товар. В ином случае курьер не сможет доставить товар или доставит его не тому человеку.
Изменение данных
Если ваши личные данные изменились, вы можете требовать от оператора изменения данных, так как один из принципов обработки ваших данных – точность и актуальность.
Более того, если при предоставлении вам услуг оператор работает совместно с другими лицами, без которых оказание услуги невозможно, и передаёт им данные, оператор должен сообщить таким лицам о необходимости актуализировать вашу персональную информацию.
Как изменить данные:
- ряд операторов предоставляет возможность самостоятельно изменять данные;
- другие, напротив, меняют данные сами по вашему запросу – тогда вам следует обратиться к оператору и попросить актуализировать изменившиеся данные.
Отзыв согласия
Ещё одно важное право – отзыв ранее предоставленного вами согласия на обработку персональных данных.
Направляя оператору отзыв согласия, помните, пожалуйста:
- удовлетворение оператором вашего запроса может повлечь невозможность оказания вам услуг, а также предоставления продуктов и сервисов;
- вам могут отказать в удовлетворении запроса, если он:
– не содержит нужную информацию;
– направлен способом, который не позволяет вас идентифицировать;
– есть другие основания для продолжения обработки ваших данных.
Прекращение обработки
Вы также можете требовать прекратить обработку ваших персональных данных, если считаете, что она неправомерна: например,
- если у оператора нет оснований для обработки персональных данных;
- если достигнута цель обработки ваших персональных данных и истёк срок хранения данных по закону.
Важно не путать отзыв согласия на обработку и требование о прекращении обработки. Требование о прекращении, в отличие от отзыва согласия можно использовать в случаях, когда вы не предоставляли согласие на обработку персональных данных оператору.
Направляя оператору требование о прекращении обработки, вспомните те же правила, которые мы с вами разбирали в п. 4 «Отзыв согласия».
Уничтожение данных
Потребовать уничтожить персональные данные – тоже ваше право. Вы можете реализовать это право, если, например:
- считаете, что достигнута цель обработки персональных данных;
- если обработка ваших данных неправомерна.
Направляя оператору требование об уничтожении персональных данных, вспомните те же правила, которые мы с вами разбирали в п. 4 «Отзыв согласия»:
- такое требование может повлечь невозможность оказания услуг, предоставления продуктов и сервисов;
- отказ в удовлетворении вашего запроса оператором возможен только по определённым причинам.
Ключевые игроки в сфере обработки персональных данных
Оператор
Оператор персональных данных – это важный игрок в сфере обработки ваших данных.
Признаки оператора:
- организует обработку и непосредственно обрабатывает персональные данные;
- определяет цели обработки ваших данных, а также состав данных, которые будет обрабатывать, и действия, которые планирует осуществлять с данными;
- принимает решение:
– будут ли кому-то передаваться ваши данные, если это, например, необходимо для оказания вам услуг;
– предполагается ли передача ваших данных за рубеж;
– будут ли ваши данные распространяться.
Оператором может быть любое лицо:
- юридическое лицо;
- физическое лицо;
- государственный или муниципальный орган власти.
Обработчик
Обработчик персональных данных – это неофициальное название лица, которое осуществляет обработку персональных данных по поручению оператора.
Признак обработчика:
- наличие поручения на обработку ваших данных от оператора.
Оператор может поручить обработку ваших данных путём заключения с обработчиком договора, в котором содержится поручение, при наличии правового основания на передачу обработчику ваших данных.
По сути, поручение – это условия обработки персональных данных, которые оператор определяет для обработчика с учётом требований закона.
Помимо признаков, которые отличают оператора и обработчика друг от друга, у каждого есть определённые обязанности.
Обязанности оператора
Среди основных обязанностей, определённых Законом о персональных данных:
- обеспечивать конфиденциальность и безопасность ваших данных – для этого предотвращать неправомерную передачу ваших данных третьим лицам, неправомерный доступ к вашим данным, их незаконное попадание в открытый доступ;
- обрабатывать ваши данные только при наличии правовых оснований;
- реагировать на запросы субъекта персональных данных, касающиеся получения информации об обработке персональных данных;
- опубликовать на своём сайте политику персональных данных или иным образом обеспечить к ней неограниченный доступ. В политике должно быть указано, в каких целях и какой состав ваших данных может обрабатываться, какие действия могут совершаться с вашими данными, в каком порядке они уничтожаются оператором;
- при сборе ваших данных обеспечивать их запись, систематизацию, накопление, хранение и не только с использованием баз данных, которые находятся на территории РФ.
Обязанности обработчика
Среди основных обязанностей, определённых для обработчика Законом о персональных данных:
- соблюдать требования оператора к целям обработки персональных данных, составу обрабатываемых данных, перечню действий, которые можно совершать с персональными данными, срокам обработки и порядку уничтожения;
- соблюдать требования законодательства и договора с оператором к обеспечению конфиденциальности и защиты ваших данных;
- предоставлять оператору всю необходимую информацию, связанную с обработкой персональных данных по поручению.
Таким образом, ключевые отличия этих двух игроков:
- оператор определяет цели обработки персональных данных, обработчик — нет, потому что обрабатывает данные в рамках целей, которые определены для него оператором;
- аналогично с перечнем данных и действиями, которые могут осуществляться: если оператор определяет всё это самостоятельно, то обработчик руководствуется требованиями оператора.
Остаётся понять, к кому вы можете обращаться с запросами, касающимися обработки ваших данных, или в случае нарушения ваших прав, и как узнать, поручил ли оператор кому-то обработку ваших данных.
Как вы можете узнать, поручается ли обработка ваших данных обработчику:
- вы можете посмотреть это в согласии на обработку персональных данных;
- вы также можете увидеть это в договоре, который подписывали с оператором – такая информация может быть в разделе, посвящённом обработке персональных данных или, например, конфиденциальности;
- посмотрите условия обработки, размещённые на сайте оператора, прежде, чем соглашаться с ними – там также может быть перечень обработчиков.
Если ни один из этих способов не помог вам понять, поручил ли оператор обработку ваших данных стороннему лицу, обратитесь с этим вопросом к оператору, а также узнайте, на каком именно основании оператор передал ваши данные обработчику.
Роскомнадзор
Роскомнадзор – важная фигура в сфере обработки персональных данных.
Именно он является уполномоченным органом по защите прав субъектов персональных данных и контролирует, соблюдаются ли права субъектов, выполняют ли операторы возложенные на них обязанности.
Если оператор никак не отреагировал на ваш запрос или обращение и продолжил осуществлять незаконную обработку персональных данных, вы можете:
- подать жалобу через электронную приёмную Роскомнадзора, сообщив о том, что ваши права нарушены (Роскомнадзор может вынести оператору предписание о прекращении нарушения ваших прав и даже наложить штраф, тем самым помочь вам пресечь незаконные действия и защитить ваши права);
- обратиться за помощью в Центр правовой помощи гражданам в цифровой среде, который создан для оказания безвозмездных юридических услуг гражданам по вопросам защиты прав и законных интересов при обработке их персональных данных в цифровой среде.
Судебные органы
Суд – также важная фигура в рамках рассматриваемой темы.
Именно суд является органом государственной власти, который осуществляет правосудие путём рассмотрения и разрешения уголовных, гражданских, административных и иных категорий дел в порядке, определённом законодательством.
Если вы понимаете, что ваши права нарушены, в суд вы можете обратиться за компенсацией морального вреда или за возмещением убытков.
Проверьте себя
Представьте ситуацию.
Вы не хотите больше пользоваться сервисом онлайн-покупок. Товаров там стало меньше, их качество ухудшилось. Поэтому вы решаете прекратить с сервисом отношения и направляете ему запрос на прекращение обработки ваших данных и их уничтожение с одного из ваших многочисленных адресов электронной почты – к аккаунту в личном кабинете интернет-сервиса этот адрес не привязан. В запросе вы указали свои ФИО, телефон и номер договора.
Как вы считаете, обязан ли оператор в ситуации, описанной выше, удовлетворить ваш запрос на уничтожение персональных данных?
Почему в данном случае оператор может вам отказать в удовлетворении запроса?