Перейти к основному содержанию

Запрос на доступ к персональным данным (SUBJECT ACCESS REQUEST) в контексте GDPR: чего стоит остерегаться бизнесу?

Запрос на доступ к персональным данным (SUBJECT ACCESS REQUEST) в контексте GDPR: чего стоит остерегаться бизнесу?

Многие компании, из числа представителей малого, среднего и крупного бизнеса, подверглись значительному росту расходов на ІТ и юридические услуги на пути к возможности отвечать требованиям Общего Регламента Защиты Данных (GDPR), в том числе в части обеспечения возможности субъектов данных реализовать свои права, закрепленные в новом европейском регулировании.

Общая информация о SAR

По оценкам некоторых исследователей, в течение 20 месяцев с момента вступления GDPR законную силу, почти сто миллионов долларов было потрачено компаниями, представляющими малый и средний бизнес, на текущие и дополнительные расходы, консультационные и технологические услуги, для возможности отвечать требованиям GDPR, в то время как для многих крупных, многонациональных организаций расходы для обеспечения GDPR compliance остаются на порядок выше. Основной из мер, на которой большинство компаний акцентируют свое внимание, является техническая и организационная возможность обеспечения быстрого реагирования на запросы на доступ к персональным данным (Subject Access Request или SAR). Под Subject Access Request следует понимать запрос физических лиц на получение детальной информации о том как и с какой целью используется их личная информация определенной компанией.

Возможность подачи SAR является правом физического лица, чьи персональные данные обрабатываются, которое закреплено в статье 15 GDPR.

Subject Access Request, как предмет обсуждения, не является новым, однако GDPR предоставило правам субъектов данных дополнительный вес и усилили ответственность контролеров за непредоставление возможности субъектам данных реализовать свое право.

Кто может воспользоваться правом на Subject Access Request

В общем, все субъекты данных, в контексте General Data Protection Regulation, имеют право пользоваться правом на запрос, чтобы получить более подробную информацию о своих персональных данных, однако, по нашему мнению, существует две основные группы субъектов данных, которые чаще всего пользуются это право - это работники компании, как нынешние, так и бывшие, а также клиенты компании, которые пользуются услугами компании или приобретают у него товары.

Грандиозность и сложность подобных запросов огромны, так же, как и расходы, связанные с их реализацией в рамках компании. Исследования, собранные в 2019 году, показали, что почти три четверти (75 процентов) компаний в Европейском Союзе столкнулись с подачей SAR от своего персонала и около двум третям (63 %) компаний пришлось увеличить уровень своих внутренних финансовых затрат, чтобы обработать эти запросы должным образом.

Основные требования к Subject Access Request

В целом же GDPR разделяет процедуру реализации права на доступ к персональным данным на два этапа:

  1. Субъект данных имеет право на получение подтверждения от компании о том, действительно ли его персональные данные обрабатываются компанией или нет;

 

  1. Субъект данных имеет право получить от компании такую информацию:

 

  • информацию о целях обработки персональных данных;
  • информацию о категориях персональных данных, обрабатываемых компанией;
  • информацию о категориях лиц, которым персональные данные будут передаваться, в частности лица в третьих странах;
  • информацию о примерном периоде, в течение которого персональные данные будут храниться, если возможно определить такой период;
  • информацию о праве субъекта данных на удаление или исправление персональных данных, о праве на ограничение обработки персональных данных или о праве на возражение против обработки;
  • информацию о праве на жалобу в компетентный орган;
  • информацию об источнике происхождения персональных данных, если персональные данные были получены не от субъекта данных направления;
  • информацию о наличии технологий для автоматического принятия решений в отношении субъекта данных, включая информацию о профилировании информации.

Компания, получая соответствующий запрос от субъекта данных, обязана в течение одного месяца с момента получения Subject Access Request, предоставить субъекту данных соответствующую информацию в том виде, в котором был подан соответствующий запрос. Обычно, исходя из практики, речь может идти об ответе в электронной форме.

Если компания не намерена отвечать на Subject Access Request, она должна сообщить об этом субъекта данных в кратчайшие сроки. Если же запрос является довольно сложным, ответ на такой запрос может быть предоставлен в течение двух месяцев, но компания, опять же, должна уведомить субъекта данных о своем решении продлить срок на предоставление ответа.

General Data Protection Regulation, несмотря на всю свою ориентированность на защиту физических лиц, выступающих субъектами данных, все же ограничивает их в некоторых вопросах, в частности для предотвращения злоупотребления определенными правами. Так, например, компания вправе предоставить только одну копию информации в рамках одного полученного от субъекта данных SAR, в то время как за все последующие копии, компания имеет право взимать плату с субъекта данных, в рамках, определенных законом.

Меры, которые компании следует принять для положительного реагирования на SAR

Прежде всего, получая SAR от субъекта данных, компании нужно иметь в виду следующее:

  • Компания должна иметь разработанную четкую внутреннюю процедуру относительно того, как запросы на доступ к персональным данным должны получаться, через какие каналы и с помощью каких технических средств;
  • Компания должна определить процесс прохождения запроса через внутреннюю структуру компании, при этом четко определив конкретные роли работников и лиц, привлекаемых к обработке SAR, а также установить границы их ответственности;
  • Компания должна провести mapping персональных данных, чтобы понимать, какие персональные данные находятся в распоряжении компании, где они хранятся и как используются.

Все эти меры станут основой для возможности обеспечить реализацию прав субъектов данных, а также для возможности компании отвечать требованиям GDPR.

Вывод

Компания, которая работает в рамках новых европейских реалий в сфере обработки персональных данных, должна уделить львиную долю своего внимания вопросам реализации прав субъектами данных, в частности вопросам реализации субъектами данных возможности подавать Subject Access Request. Чтобы этого достичь, компании стоит получить профессиональную консультацию по вопросам защиты персональных данных и применения GDPR.

Компания BSO Privacy Group именно та компания, которая может вам в этом помочь, так как наши специалисты имеют большой опыт в реализации проектов по GDPR compliance, как в Украине, так и за рубежом.