Запит на доступ до персональних даних (SUBJECT ACCESS REQUEST) в контексті GDPR: чого варто остерігатися бізнесу?

23 Січня 2020

Багато компаній, з числа представників малого, середнього та великого бізнесу, зазнали значного зростання витрат на ІТ та юридичні послуги на шляху до можливості відповідати вимогам Загального Регламенту Захисту Даних (GDPR), зокрема в частині забезпечення можливості суб’єктів даних реалізувати свої права, закріплені в новому європейському регулюванні.

Загальна інформація про SAR

За оцінками деяких дослідників, впродовж 20 місяців з моменту набрання GDPR законної сили, майже сто мільйонів доларів було витрачено компаніями, що представляють малий та середні бізнес,  на поточні та додаткові витрати, консультаційні та технологічні послуги, для можливості відповідати вимогам GDPR, в той час як для багатьох великих, багатонаціональних організацій витрати для забезпечення GDPR compliance є на порядок вищі.  Основним із заходів, на якому більшість компаній акцентують свою увагу, є технічна та організаційна можливість забезпечення швидкого реагування на запити на доступ до персональних даних (Subject Access Request або SAR). Під Subject Access Request слід розуміти запит фізичних осіб щодо отримання детальної інформації про те, як і з якою метою використовується їх особиста інформація певною компанією.

Можливість подання SAR є правом фізичної особи, чиї персональні дані оброблюються, яке закріплене в статті 15 GDPR.

Subject Access Request, як предмет обговорення, не є новим, однак GDPR надало їм додаткової ваги та посилили відповідальність контролерів за ненадання можливості суб’єктам даних реалізувати своє право.

Хто може скористатися правом на Subject Access Request

Загалом, всі суб’єкти даних, в контексті General Data Protection Regulation, мають право користуватися правом на запит, щоб отримати більш детальну інформацію про свої персональні дані, однак, на нашу думку, існує дві основні групи суб’єктів даних, які найчастіше користуються цим правом – це працівники компанії, як теперішні, так і колишні, а також клієнти компанії, які користуються послугами компанії або ж придбавають в неї товари.

Грандіозність та складність подібних запитів є величезними, так само як і витрати, пов’язані з їхньою реалізаціє в рамках компанії. Дослідження, зібрані у 2019 році, показали, що майже три чверті (75 відсотків) компаній в Європейському Союзі зіткнулися з подачею SAR від свого персоналу і близько двох третинам (63 відсотки) компаній довелося збільшити рівень своїх внутрішніх фінансових  витрат, щоб обробити ці запити належним чином.

Основні вимоги щодо Subject Access Request

Загалом же GDPR розділяє процедуру реалізації права на  доступ до персональних даних на два етапи:

  1. Суб’єкт даних має право на отримання підтвердження від компанії інформації про те, чи дійсно його персональні дані оброблюються компанією чи ні;
  1. Суб’єкт даних має право отримати від компанії інформацію про наступне:
  • цілі обробки персональних даних;
  • категорії персональних даних, що оброблюються;
  • категорії осіб, яким персональні дані будуть передаватися, зокрема особи в третіх країнах;
  • приблизний період, протягом якого персональні дані будуть зберігатися, якщо можливо визначити такий період;
  • інформацію про право суб’єкта даних на видалення чи виправлення персональних даних, про право на обмеження обробки персональних даних або ж про право на заперечення проти обробки;
  • право на скаргу до компетентного органу;
  • інформацію про джерело походження персональних даних, якщо персональні дані були отримані не від суб’єкта даних напряму;
  • інформацію про наявність технологій щодо автоматичного прийняття рішень щодо суб’єкта даних, включаючи інформацію про профайлінг.

Компанія, отримуючи відповідний запит від суб’єкта даних, зобов’язана протягом одного місяця з моменту отримання Subject Access Request,  надати суб’єкту даних відповідну інформацію в тому вигляді, в якому був поданий відповідний запит. Зазвичай, виходячи з практики, мова може йти про відповідь в електронній формі.

Якщо компанія не має наміру відповідати на Subject Access Request, вона повинна повідомити про це суб’єкта даних в найкоротший термін. Якщо  ж запит є доволі складним, відповідь на такий запит може бути надана протягом двох місяців, але компанія, знову ж таки, повинна повідомити суб’єкта даних про своє рішення продовжити строк на надання відповіді.

General Data Protection Regulation, не дивлячись на всю свою орієнтованість на захист фізичних осіб, які виступають суб’єктами даних, все ж обмежує їх в деяких питаннях, зокрема для унеможливлення зловживання певними правами. Так, наприклад, компанія має право надати тільки одну копію інформації в рамках одного отриманого від суб’єкта даних SAR, в той час як за всі послідуючі копії, компанія має право стягувати плату із суб’єкта даних, в  рамках визначених законом.

Заходи, які компанії варто вжити для позитивного реагування на SAR

Перш за все, отримуючи SAR від суб’єкта даних, компанії потрібно мати на увазі наступне:

  • Компанія повинна мати розроблену чітку внутрішню процедуру, як запити на доступ до персональних даних повинні отримуватися, через які канали та з допомогою яких технічних засобів;
  • Компанія повинна визначити процес проходження запиту через внутрішню структуру компанії, при цьому чітко визначивши конкретні ролі працівників та осіб, які залучаються до обробки SAR, а також встановити межі їхньої відповідальності;
  • Компанія повинна провести mapping персональних даних, щоб розуміти, які персональні дані знаходяться в розпорядженні компанії, де вони зберігаються та як використовуються.

Всі ці заходи стануть основою для можливості забезпечити реалізацію прав суб’єктів даних, а також для можливості компанії відповідати вимогам GDPR.

Висновок

Компанія, яка працює в рамках нових європейських реалій в сфері обробки персональних даних, повинна приділити левову частину своєї уваги питанням реалізації прав суб’єктами даних, зокрема питанням реалізації суб’єктами даних можливості подавати Subject Access Request. Щоб цього досягнути, компанії варто отримати професійну консультацію по питанням захисту персональних даних та застосування GDPR. Компанія BSO Privacy Group саме та компанія, яка може вам в цьому допомогти, так як її спеціалісти мають неабиякий досвід в реалізації проектів щодо GDPR compliance.