GDPR запити від користувачів продукту. Реакція та реалізація.

Минуло 2,5 роки з моменту, коли GDPR вступив в силу і зобов’язав усіх, хто збирає та обробляє персональні дані осіб, дотримуватися високих стандартів обробки таких даних. Проте, велика кількість учасників ринки досі не розуміють, чи повинні вони виконувати вимоги GDPR, як їх виконувати та як загалом досягнути GDPR compliance. 

Відповіді на всі ці питання ви можете отримати, відвідавши наш блог.

У цій же статті ми розглянемо, які GDPR запити від користувачів ви можете отримати, як ви повинні реагувати на такі запити та що потрібно зробити, щоб реалізувати та налагодити механізм надання відповідей на GDPR запити користувачів.

Які GDPR запити користувачів ви можете отримати?

GDPR встановлює чіткий перелік прав користувачів-суб’єктів даних, для реалізації яких користувачі можуть надіслати вам відповідні запити. Такими запитами є:

• запит на доступ до даних; 
• запит на передачу даних;
• запит на виправлення даних;
• запит щодо обмеження обробки даних;
• запит на видалення даних;
• запит щодо заборони обробки даних;
• відмова від автоматизованої обробки даних;
• відкликання згоди на обробку даних.

Запит на доступ до даних та запит на передачу даних

Якщо ви отримали від користувача запит на доступ до даних, ви повинні повідомити його, чи обробляєте ви персональні дані цього користувача, і якщо обробляєте – повідомити його про:

• цілі обробки таких даних;
• категорії персональних даних, які обробляються;
• партнерів/осіб, яким ви передавали персональні дані цього користувача;
• період протягом якого ви будете зберігати ці персональні дані;
• його право вимагати виправити дані, видалити їх, а також обмежити або заборонити обробку таких даних;
• його право подати скаргу до контролюючого органу;
• якщо ви не самостійно збирали персональні дані такого користувача – джерело отримання таких даних;
• наявність автоматизованої обробки даних з вашої сторони, пояснивши логіку, яка лежить в основі такої обробки, та можливі такої обробки для користувача.

Персональні дані користувачів – це актив компанії, яким ви зобов’язані ділитися з користувачами, якщо вони того вимагають.

Окрім того, ви можете отримати запит на передачу даних. У такому випадку, якщо користувач надавав згоду на обробку даних або така обробка здійснюється за допомогою автоматизованих процесів, ви повинні надати йому перелік персональних даних про нього у структурованому і загальновживаному форматі, який забезпечує змогу технічного зчитування таких даних.

Запит на виправлення даних та запит щодо обмеження обробки даних

Будь-який користувач має право вимагати від вас виправити неточності у персональних даних такого користувача, які ви обробляєте. У разі отримання такого запиту, ви повинні внести зміни та виправити наявні у вас відомості про користувача відповідно до вказівок, які надасть користувач.

Окрім того, користувачі можуть вимагати від вас обмежити обробку даних про них – це коли ви обробляєте такі персональні дані лише у рамках, які вимагає користувач. Після виконання такого запиту, ви маєте право обробляти дані користувача лише:

• для зберігання таких даних;
• у рамках його згоди; або
• для подання, виконання або здійснення захисту від юридичних скарг проти інших осіб;
• для захисту прав інших осіб; чи 
• для задоволення суспільних інтересів ЄС або країни-члена ЄС.

До того ж, ви повинні виконувати запит користувача щодо обмеження обробки даних , лише якщо існує будь-яка з наступних підстав:

• користувач оскаржує точність даних про нього – на період, необхідний вам для перевірки достовірності персональних даних користувача;
• ви обробляли персональні дані користувача незаконно і користувач вимагає саме обмежити обробку, а не видаляти дані;
• ви більше не потребуєте персональних даних для цілей обробки, але користувач вимагає їх зберігання для його потреб;
• користувач забороняє обробку його даних – до завершення перевірки такої вимоги користувача.

Запит на видалення даних

Назва запиту говорить сама за себе – якщо користувач вимагає, то ви повинні видалити його персональні дані. Ви зобов’язані виконувати такий запит користувача, якщо виконується будь-яка з наступних підстав:

• такі дані більше не потрібні для цілей, відповідно до яких вони збиралися та оброблялися;
• користувач відкликає згоду на обробку його даних, а інших підстав для обробки таких даних ви не маєте;
• користувач забороняє обробку його персональних даних;
• ви обробляли персональні дані користувача без законних підстав;
• це необхідно для виконання обов’язку за законом.

Разом із тим, ви маєте право не виконувати такий запит, якщо обробка даних саме цього користувача необхідна для:

• реалізації права на свободу вираження поглядів та інформації;
• дотримання зобов’язання відповідно до законодавства ЄС/країни-члена ЄС чи виконання завдання в інтересах суспільства або при здійсненні вами державних повноважень;
• задоволення громадського інтересу в галузі охорони здоров’я;
• цілей архівування в інтересах суспільства, наукових чи історичних досліджень або статистичних цілей, якщо видалення даних унеможливить або серйозно погіршити досягнення таких інтересів; або
• подання, виконання або здійснення захисту проти юридичних скарг.

Запит щодо заборони обробки даних

Користувач має право заборонити обробляти дані про нього, які ви обробляєте на підставі згоди користувача, або у зв’язку з наявністю public interest чи виконання вами ваших державних повноважень. З моменту отримання такого запиту, ви повинні припинити опрацьовувати дані користувача.

Водночас, ви маєте право не виконувати такий запит користувача, якщо обробка даних необхідна для здійснення наукових/історичних досліджень або для статистичних цілей.

Відмова від автоматизованої обробки даних

Якщо ви обробляєте дані користувачів за допомогою автоматичних засобів обробки – будьте готові до того, що будь-який користувач має право вимагати, щоб на нього не поширювалася дія рішення, яке базується виключно на результатах автоматизованої обробки даних без залучення людини. 

Важлива умова – для того, щоб реалізувати таке право, вищезазначене рішення повинно створювати для користувача правові наслідки та суттєво впливати на нього. 

Водночас, ви маєте право не виконувати запит користувача, якщо така обробка:

• необхідна для укладення або виконання договору з користувачем;
• ґрунтується на явній згоді, яку надав користувач;
• дозволена законодавством ЄС або відповідної країни-члена ЄС та за умови, що ви встановили належні заходи для захисту прав та свобод користувача у зв’язку з такою обробкою.

У перших двох випадках, після отримання запиту від користувача, ви повинні запровадити належні заходи для захисту прав і свобод та законних інтересів користувача, принаймні  – забезпечити для користувача можливість висловлювати свою думку з цього приводу, оскаржувати ваше рішення щодо його запиту та вимагати залучення живої особи з вашої сторони для обробки його даних.

Відкликання згоди на обробку даних

Ви повинні забезпечити, щоб користувач у будь-який момент міг відкликати свою згоду на обробку персональних даних. Якщо користувач відкликає згоду – це не означає, що до моменту відкликання ви обробляли дані незаконно або не правильно. Ключове правило – користувач повинен мати можливість відкликати свою згоду так само просто, як він її надав.

Водночас, якщо ви маєте інші підстави для обробки даних користувача, наприклад – необхідність виконання договору з користувачем, то після відкликання користувачем згоди ви маєте право продовжити обробляти його дані на такій іншій підставі.

Як обробляти та виконувати GDPR запити користувачів?

Перш за все, варто наголосили на тому, що запорука успішної обробки та виконання GDPR запитів користувачів – це якісна технічна реалізація GDPR положень. Без гарно налагодженої системи та алгоритмів комунікації з користувачами, включаючи роботу support команди, варіативність засобів зв’язку, системи контролю за обробкою запитів користувачів і т.д., важко уявити якісну виконання GDPR запитів користувачів.

Зважаючи на досвід спілкування на теми GDPR запитів користувачів та пов’язаних з ними питань, пропонуємо вам розглянути правила щодо обробки та виконання таких запитів на прикладі найбільш популярних питань з цього приводу. Отож, let’s go.

Чи можу я взагалі не відповідати на запити користувачів?

Ні. Неймовірно важливе правило – не ігноруйте запити користувачів! Якщо ви не можете виконати запит або не зобов’язані його виконувати – ви повинні повідомити користувача про це та пояснити, чому ви не в змозі або не повинні виконувати його запит. 

Виключення з цього правила – ви можете відмовитися виконувати запит користувача, якщо його запити є очевидно необґрунтованими або надмірними, зокрема через їх повторюваність – проте, у разі спору саме ви будете зобов’язані довести та надати докази того, що запит користувача носив такий характер.

Окрім того, якщо ви не впевнені, хто звертається до вас із запитом – ви можете запросити у цієї особи додаткову інформацію для того, щоб ідентифікувати, є вона вашим користувачем чи ні. Таку додаткову верифікацію можна проводити для виконання запитів щодо надання доступу до даних та відмови від автоматизованої обробки даних.

Чи можу я у відповідь на запит просто скопіювати частину своєї політики захисту персональних даних або статті GDPR?

Ні, не варто робити як вітчизняна податкова. GDPR вимагає від вас відповідати користувачам або надавати інформацію, яку вони запитують, у стислій, прозорій, зрозумілій та легкодоступній формі, використовуючи чітку та зрозумілу мову. Цей критерій дуже важливий – ви повинні відповідати так, щоб будь-яка пересічна особа зрозуміла, що ви маєте на увазі.

Скільки у мене є часу для того, щоб надати відповідь на запит?

Відповідь на запит необхідно надати якомога швидше, проте не пізніше ніж протягом 1 місяця з моменту отримання запиту. Ви можете взяти 2 додаткових місяці для надання відповіді на запит – проте обов’язково повідомте користувача про це протягом перших 30 днів після отримання запиту, інакше порушите GDPR.

Маю ідею – ми зачекаємо 29 днів, а потім надішлемо відповідь на запит поштою – поки лист дійде, користувач вже забуде про свій запит. Можна так?

Так можна зробити не завжди. Згідно з GDPR, ви повинні надавати відповідь на запит у тій формі, у якій ви його отримали: якщо ви отримали письмовий запит – відповідь повинна бути письмовою, якщо ви отримали запит на електрону пошту – надішліть відповідь імейлом тощо. Якщо ж користувач вимагає надати йому відповідь усно – ви повинні надати йому відповідь усно.

Чи можу я встановити для користувачів плату за подання запитів?

За загальним правилом – ні: ви повинні надавати користувачам інформацію щодо деталей обробки їх персональних даних та виконувати їх запити безкоштовно. Проте, є виключення.

Виключення №1 – якщо запити користувача є очевидно необґрунтованими або надмірними, зокрема через їх повторюваність, ви маєте право стягнути з користувача справедливу плату за виконання запита, враховуючи ваші адміністративні витрати або вчинення вами необхідних дій.

Виключення №2 – у разі виконання запиту на доступ до даних, ви повинні надати користувачу 1 копію його даних, проте, якщо користувач вимагатиме додаткові копії – и маєте право стягнути з користувача справедливу плату за надання таких копій, враховуючи ваші адміністративні витрати.

Як компанії організувати виконання GDPR запитів користувачів?

GDPR встановлює загальні вимоги – ви повинні на рівні компанії запровадити належні технічні та організаційні заходи, щоб забезпечити та мати можливість продемонструвати, що ви, зокрема, виконуєте GDPR запити користувачів згідно з GDPR. Більш детально про такі заходи ви можете прочитати у нашій статті. 

Ми радимо вам розпочати з аудиту процесу обробки запитів від користувачів – проаналізувати, наскільки складно користувачі надіслати вам запит, чи проводиться з користувачем зворотна комунікація щодо статусу його запиту, скільки часу займає надання відповіді/виконання запиту, чи виконується запит правильно, чи не перевищують співробітники вимог GDPR при виконанні запитів користувачів тощо.

Наступним етапом ми радимо організувати GDPR тренінги, адже компетенція співробітників – запорука успішного виконання запитів користувачів, тому що саме співробітники відповідають за цей процес. 

Ваші співробітники повинні чітко розуміти, як реагувати на будь-які запити користувачів, а для критичних випадків повинна бути відповідальна особа, яка уповноважена приймати рішення у таких ситуаціях. Для зручності, такою особою може бути data protection officer, який відповідатиме за дотримання GDPR у вашій компанії в цілому.  

Якщо ви запровадили необхідні технічні та організаційні заходи в компанії, оптимізували процес обробки запитів користувачів та налагодили тренінги співробітників – ми радимо вам час від часу проводити GDPR аудит для того, щоб оцінювати ефективність запроваджених заходів, ідентифікувати та аналізувати їх недоліки, впроваджувати заходи щодо усунення таких недоліків, тим самим досягаючи безперервного GDPR compliance.

Підбиваємо підсумки

Обробка та виконання GDPR запитів від користувачів – велика частина загального GDPR compliance процесу. Ви повинні ставитися до своїх користувачів як до друзів, я не як до ворогів, та виконувати їх запити відповідно до вимог GDPR.

Порушення вимог щодо обробки запитів користувачів може мати наслідком відповідні санкції – GDPR штрафи. У контексті штрафів, GDPR притримується case-by-case підходу: кожен випадок оцінюється індивідуально, внаслідок чого вас можуть або нічого не зробити, або виписати попередження з вимогою усунення порушень, або навіть накласти багатомільйонний штраф за порушення GDPR. 

Тому, основна порада, яку ми можемо вам надати – treat your customer like your best friend.