Запити суб’єктів даних за GDPR. Чому важливо коректно та вчасно на них відповідати?
За GDPR – General Data Protection Regulation – резиденти Європейського Союзу можуть направляти запити щодо своїх даних усім юридичним та фізичним особам, які їх обробляють. Такі запити найчастіше стосуються права на доступ, тобто отримання копії своїх персональних даних та окремої інформації про особливості їх обробки – наприклад, щодо періоду їх зберігання.
Інші поширені види запитів стосуються права на видалення своєї інформації або її виправлення, якщо вона недостовірна. Повний перелік прав за GDPR, на реалізацію яких резиденти ЄС можуть направити запит, включає у себе:
- право на доступ;
- право на виправлення;
- право на стирання («право бути забутим»);
- право на обмеження опрацювання;
- право на мобільність даних;
- право на заперечення;
- право не підлягати рішенню, що ґрунтується винятково на автоматизованому опрацюванні.
Якщо ви обробляєте дані резидентів ЄС, вам необхідно чітко знати, які види запитів від суб’єктів даних ви можете отримати та як на них відповідати. В основному, при відповіді на запити суб’єктів даних необхідно пам’ятати наступне:
- запит може бути поданий у будь-якій формі (на електронну пошту, письмово, усно) та будь-яким способом;
- відповідь на запит має бути у стислій, прозорій та легко доступній формі, чіткою та зрозумілою – іншими словами у переписці не варто використовувати, наприклад, канцеляризми та складний бюрократичний стиль;
- за загальним правилом відповідь має бути надана без необґрунтованої затримки та протягом одного місяця з дати отримання запиту (однак якщо запитів багато і вони є складними, то період для відповіді може бути продовжений ще на два місяці);
- якщо є затримка у відповіді на запит, то про наявність такої затримки та її причини необхідно повідомити протягом одного місяця з дня отримання запиту;
- якщо ви не вживаєте дії, щодо яких вам подали запит (наприклад, якщо є винятки, передбачені GDPR), то про причини утримання від дій також необхідно повідомити протягом одного місяця з дня отримання запиту;
- за загальним правилом, надання відповідей або здійснення будь-яких дій має бути безоплатним (окрім випадків, коли запити є необґрунтованими або надмірними).
Якщо ці вимоги не дотримуються, то на вас мають право подати скаргу до наглядового органу, що може призвести не тільки до фінансових штрафів, але і до репутаційних втрат. Однак виконання вимог GDPR на практиці може бути складнішим, ніж здається, оскільки запити можуть губитися, надсилатися не на визначені вами пошти або під час їх обробки можуть виникати інші проблеми.
Нижче ми наводимо приклади рішень наглядового органу Італії щодо некоректних відповідей на запити суб’єктів даних, які призвели до накладення штрафів на контролерів. Вони показують, з чим на практиці можна стикнутися під час обробки звернень, а також як можна було би уникнути стягнень.
Затримка у розгляді запиту суб’єкта даних внаслідок помилки
Наприклад, наглядовий орган Італії оштрафував поштового оператора на десять тисяч євро, тому що він надав відповідь на запит з порушенням строків і без пояснень причин затримки – не протягом одного місяця, як це за загальним правилом встановлено GDPR, а трохи більше чим через три місяці.
Причиною затримки стала помилка оператора, який отримав запит – він неправильно ввів час для обробки звернення та не запитав додаткової інформації, що була потрібна для його обробки. Коли через три місяці пошта побачила затримку та все ж взяла запит до розгляду, то вона запросила отримала необхідні дані та передала потрібну інформацію заявнику, але скарга до наглядового органу вже була подана.
Незважаючи на те, що причиною затримки стала проста помилка, наглядовий орган встановив порушення строків для відповіді та відсутність повідомлення про затримку і призначив штраф.
Тому необхідно розуміти, що недбалість може призвести до розгляду справи у наглядових органах. Для того, щоб коректно та без помилок відповідати на запити суб’єктів, контролер даних повинен мати навчену команду підтримки, що пройшла необхідні тренінги та знає строки надання відповіді на звернення. Окрім того, уникнути цієї ситуації міг допомогти і актуальний реєстр запитів («data subject request register»), який регулярно заповнюється (зокрема, містить дату отримання запиту, його суть, термін відповіді тощо) та перевіряється.
Повний текст рішення італійською мовою можна переглянути на сайті наглядового органу.
Ігнорування запиту особи, надісланого не на офіційну пошту або не до центрального підрозділу компанії
У іншому випадку наглядовий орган Італії призначив штраф, тому що компанія просто проігнорувала запит особи на видалення своїх даних. Вона подала звернення до підрозділу організації, у якій була волонтером, з проханням вийти з неї за власним бажанням, а також видалити її персональні дані. Через місяць компанія направила заявнику листа, у якому визнала вихід з організації, але жодним чином не відреагувала на прохання щодо видалення даних. Після цього була подана відповідна скарга.
Лише внаслідок втручання наглядового органу компанія пояснила, що дані про особу після її виходу зберігаються, поки це необхідно для виконання фінансових та бухгалтерських зобов’язань організації. Заперечуючи проти скарги, компанія зазначала, що особа була проінформована про строки видалення даних, коли її приймали до організації. Окрім того, вона не погоджувалась з тим, що запит був поданий правильно, оскільки він був:
- адресований не контролеру даних/DPO, а просто керівництву організації, з якої звільнялася особа;
- направлений не на встановлену адресу електронної пошти, а вручений особисто у периферійному підрозділі компанії.
Однак наглядовий орган визнав, що компанія отримала запит і знала про нього, тому що відповіла заявнику щодо його звільнення, однак не звернула увагу на прохання видалити дані. Внаслідок цього на компанію був накладений штраф у десять тисяч євро.
Тому необхідно розуміти, що недостатньо, наприклад, просто повідомити особу на початку відносин, коли її дані будуть видалені. Отримавши запит, обов’язково необхідно надіслати відповідь на нього, навіть якщо ви вже інформували заявника про його питання.
Окрім того, потрібно пам’ятати, що GDPR не встановлює форму запиту і не вказує, куди саме він має бути направлений. Іншими словами, звернення не тільки можуть бути будь-якими (електронними, письмовими або навіть усними), але і можуть направлятися різними способами – наприклад, на встановлену вами електронну пошту, через сервіс підтримки, у центральну організацію або периферійну. І всі ці звернення мають бути опрацьовані, а відповіді – надані.
Повний текст рішення італійською мовою можна переглянути на сайті наглядового органу.
Отримання повідомлень після видалення персональних даних
У третьому випадку заявник надіслав до організації запит на видалення персональних даних, двічі отримав формальну відповідь про те, що його дані видалені, але, незважаючи на це, все одно продовжував отримувати SMS від компанії щодо її відкритих вакансій.
У відповідь компанія заперечувала, що запити були надіслані на неправильну пошту (на електронну адресу одного з її працівників, а не на саму адресу організації), а дані не були видалені тільки через помилку.
Розглянувши справу, наглядовий орган вказав, що запит міг бути надісланий і на електронну пошту працівника (і з цієї пошти заявник двічі отримував відповіді), а неаргументована помилка не може бути підставою для уникнення відповідальності.
Як і у інших випадках, на компанію був накладений штраф у розмірі десять тисяч євро за відсутність належної реакції на звернення, а також за те, що вона обробляла дані після отримання запиту без належної підстави.
Тому, якщо до вас надійшов запит на видалення даних, інформацію обов’язково потрібно видаляти, при чому не тільки з архівів самої компанії, але і списків розсилок. Якщо після видалення інформації особа все одно буде отримувати від вас листи, то це буде порушенням вимог GDPR.
Повний текст рішення італійською мовою можна переглянути на сайті наглядового органу.
Для того, щоб уникнути помилок та штрафів під час обробки GDPR запитів, необхідно розуміти вимоги GDPR та мати проінструктовану команду, яка знає або як на них відповідати, або до якого відділу такі звернення мають бути перенаправлені. Окрім того, потрібно розробити необхідні документи (процедуру відповіді на запит, реєстр запитів), а в ідеалі – мати спеціалізовану особу (наприклад, ДПО), яка буде ними займатися.
З усім необхідним під час обробки запитів суб’єктів даних – від тренінгів для команди до надання послуг ДПО – може допомогти Legal IT Group.