Запрос на доступ к персональным данным (SUBJECT ACCESS REQUEST) в контексте GDPR: чего стоит остерегаться бизнеса?
Многие компании, из числа представителей малого, среднего и крупного бизнеса, подверглись значительному росту расходов на ИТ и юридические услуги на пути к возможности отвечать требованиям Общего Регламента Защиты Данных (GDPR), в том числе в части обеспечения возможности субъектов данных реализовать свои права, закрепленные в новом европейском регулировании.
Общая информация о SAR
По оценкам некоторых исследователей, в течение 20 месяцев с момента вступления GDPR законную силу, почти сто миллионов долларов было потрачено компаниями, представляющими малый и средний бизнес, на текущие и дополнительные расходы, консультационные и технологические услуги, для возможности отвечать требованиям GDPR, в то время как для многих крупных, многонациональных организаций расходы для обеспечения GDPR compliance на порядок выше. Основным из мер, на котором большинство компаний акцентируют свое внимание, является техническая и организационная возможность обеспечения быстрого реагирования на запросы на доступ к персональным данным (Subject Access Request или SAR). Во Subject Access Request следует понимать запрос физических лиц на получение детальной информации о том, как и с какой целью используется их личная информация определенной компанией.
Возможность подачи SAR является правом физического лица, чьи персональные данные обрабатываются, которое закреплено в статье 15 GDPR.
Subject Access Request, как предмет обсуждения, не является новым, однако GDPR предоставило им дополнительный вес и усилили ответственность контролеров за непредоставление возможности субъектам данных реализовать свое право.
Кто может воспользоваться правом на Subject Access Request
В общем, все субъекты данных, в контексте General Data Protection Regulation, имеют право пользоваться правом на запрос, чтобы получить более подробную информацию о своих персональных данных, однако, по нашему мнению, существует две основные группы субъектов данных, которые чаще всего пользуются это право — это работники компании, как нынешние, так и бывшие, а также клиенты компании, которые пользуются услугами компании или приобретают у него товары.
Грандиозность и сложность подобных запросов огромны, так же как и расходы, связанные с их реализацией в рамках компании. Исследования, собранные в 2019 году, показали, что почти три четверти (75 процентов) компаний в Европейском Союзе столкнулись с подачей SAR от своего персонала и около двух третей (63 процента) компаний пришлось увеличить уровень своих внутренних финансовых затрат, чтобы обработать эти запросы должным образом.
Основные требования к Subject Access Request
В целом же GDPR разделяет процедуру реализации права на доступ к персональным данным на два этапа:
Субъект данных имеет право на получение подтверждения от компании информации о том, действительно ли его персональные данные обрабатываются компанией или нет;
Субъект данных имеет право получить от компании информацию о следующем:
цели обработки персональных данных;
категории персональных данных, обрабатываемых;
категории лиц, которым персональные данные будут передаваться, в частности лица в третьих странах;
примерный период, в течение которого персональные данные будут храниться, если возможно определить такой период;
информацию о праве субъекта данных на удаление или исправление персональных данных, о праве на ограничение обработки персональных данных или о праве на возражение против обработки;
право на жалобу в компетентный орган;
информацию об источнике происхождения персональных данных, если персональные данные были получены не от субъекта данных направления;
информацию о наличии технологий по автоматического принятия решений в отношении субъекта данных, включая информацию о профайлинг.
Компания, получая соответствующий запрос от субъекта данных, обязана в течение одного месяца с момента получения Subject Access Request, предоставить субъекту данных соответствующую информацию в том виде, в котором был подан соответствующий запрос. Обычно, исходя из практики, речь может идти об ответе в электронной форме.
Если компания не намерена отвечать на Subject Access Request, она должна сообщить об этом субъекта данных в кратчайшие сроки. Если же запрос довольно сложным, ответ на такой запрос может быть предоставлен в течение двух месяцев, но компания, опять же, должна уведомить субъекта данных о своем решении продлить срок на предоставление ответа.
General Data Protection Regulation, несмотря на всю свою ориентированность на защиту физических лиц, выступающих субъектами данных, все же ограничивает их в некоторых вопросах, в частности для предотвращения злоупотребления определенными правами. Так, например, компания вправе предоставить только одну копию информации в рамках одного полученного от субъекта данных SAR, в то время как за все последующие копии, компания имеет право взимать плату с субъекта данных, в рамках определенных законом.
Меры, компании следует принять для положительного реагирования на SAR
Прежде всего, получая SAR от субъекта данных, компании нужно иметь в виду следующее:
Компания должна иметь разработанную четкую внутреннюю процедуру, как запросы на доступ к персональным данным должны получаться, через какие каналы и с помощью каких технических средств;
Компания должна определить процесс прохождения запроса через внутреннюю структуру компании, при этом четко определив конкретные роли работников и лиц, привлекаемых к обработке SAR, а также установить границы их ответственности;
Компания должна провести mapping персональных данных, чтобы понимать, какие персональные данные находятся в распоряжении компании, где они хранятся и как используются.
Все эти меры станут основой для возможности обеспечить реализацию прав субъектов данных, а также для возможности компании отвечать требованиям GDPR.
вывод
Компания, которая работает в рамках новых европейских реалий в сфере обработки персональных данных, должна уделить львиную долю своего внимания вопросам реализации прав субъектами данных, в частности вопросам реализации субъектами данных возможности подавать Subject Access Request. Чтобы этого достичь, компании стоит получить профессиональную консультацию по вопросам защиты персональных данных и применения GDPR. Компания BSO Privacy Group именно та компания, которая может вам в этом помочь, так как ее специалисты имеют большой опыт в реализации проектов по GDPR compliance.
