(Окончание. Начало в №39-40)
- В каких случаях разрешена обработка персональных данных особых категорий?
- Обработка персональных данных особых категорий разрешается, если предоставляется четкое согласие, либо если она необходима для выполнения обязательств и определенных прав в области трудового права и права социального страхования, либо для защиты жизненно важных интересов субъекта данных или другого физического лица, которое не имеет физическую или юридическую дееспособность предоставить согласие, либо если обработка осуществляется в рамках законной деятельности не коммерческого фонда и при условии, что обработка касается исключительно членов или бывших членов фонда или лиц, поддерживающих с ним постоянный контакт и что эти данные не разглашаются без их согласия, либо если данные были явно опубликованы самим субъектом данных, либо если обработка необходима для осуществления правовых требований или основных общественных интересов, либо с целью профилактической или профессиональной медицинской оценки трудовой способности рабочего, медицинского диагноза, предоставления здравоохранительного лечения или социальной помощи или управления здравоохранительными или социальными системами и услугами или необходимо в соображениях общественного интереса в области общественного в области общественного здравоохранения или архивирования в интересах общества, как для научных и исторических исследований, так и для статистических целей.
- Это «согласие», которое подчас мы, не задумываясь даем на обработку своих данных, его можно отозвать?
- Субъект данных имеет право отозвать свое согласие в любой момент и данный отзыв не влияет на законность обработки данных, основанной на согласии до отзыва. При оценке того, предоставляется ли согласие свободно, особо учитывается в какой степени для осуществления контракта, в том числе, предоставления какой-либо услуги, ставится как условие получение согласия на обработку данных персонального характера, которые не являются необходимыми для выполнения данного контракта.
- А как быть в случае с обработкой данных детей?
- Что касается согласия ребенка, обработка персональных данных ребенка является законной, если ребенок достиг 16-летнего возраста. Если ребенку менее 16 лет, обработка является законной, только если согласие предоставляется или одобряется опекуном. Надо отметить, что страны - члены Евросоюза могут предусматривать в законном порядке меньший возраст с данными целями, при условии, что этот возраст не будет менее 13 лет. Ответственный за обработку должен приложить разумные усилия для проверки предоставления согласия лицом, имеющим опеку над ребенком, принимая во внимание имеющуюся технологию.
- Каковы права субъекта данных?
- Субъект данных имеет ряд прав, как например, право информирования касательно целей обработки, промежутка времени хранения данных, или если это невозможно, критериев, по которым определяется данный промежуток времени, категории персональных данных и их получателей, право исправления данных с предпосылками, право передачи данных другому ответственному за обработку лицу, право жалобы надзорному органу.
- В каких случаях можно потребовать удаления персональных данных?
- Субъект данных имеет право запросить удаление персональных данных, касающихся его без неоправданной задержки, и ответственный за обработку обязан их удалить без неоправданной задержки, по одной из следующих причин:
- персональные данные больше не нужны в отношении целей, для которых они были собраны или обработаны иным образом,
- субъект данных отзывает согласие, на основании которого осуществляется обработка, и нет другой правовой основы для обработки,
- субъект данных выступает против обработки, и нет убедительных и законных причин для обработки,
- персональные данные были обработаны незаконно,
- персональные данные должны быть удалены, чтобы соответствовать юридическому обязательству в соответствии с законодательством Евросоюза или закону государства-члена Евросоюза, которому подчинен субъект,
- персональные данные были собраны в связи с предоставлением услуг информационной сети.
Если ответственный за обработку сделал персональные данные общедоступными и обязан удалить их в соответствии с вышеизложенным, он должен предпринять разумные шаги для информирования других ответственных за обработку о том, что субъект данных запросил удаление этих персональных данных. Удаление не может быть осуществлено в той степени, в которой обработка необходима для осуществления права на свободу выражения мнений и права на информацию, для соблюдения юридического обязательства обработки в соответствии с законодательством Европейского союза или национального законодательства, или для выполнения обязанности в общественных интересах или при осуществлении государственной власти, или по соображениям общественного интереса в области общественного здравоохранения или для целей архивирования в общественных интересах, для научных или исторических исследований или для статистических целей или для обоснования, подачи или защиты судебных исков. Ответственный за обработку должен выполнять соответствующие технические и организационные меры для обеспечения и доказательства, что обработка осуществляется в соответствии с Общими положениями о защите персональных данных. Эти меры должны пересматриваться и обновляться по мере необходимости.
Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это персональные данные. Важно, чтобы данные относились к конкретному человеку. К примеру, абстрактный email или номер телефона — не персональные данные, потому что нельзя понять, кому они принадлежат.
Каждый ответственный за обработку должен хранить в письменной форме, в том числе и в электронной форме, информацию о деятельности по обработке данных со следующей информацией: имя и контактные данные ответственного за обработку, представителя ответственного за обработку и ответственного за защиту данных, цели обработки, описание категорий субъектов данных и категорий персональных данных, получателей, где это применимо, передачу персональных данных третьим лицам или международной организации, предусмотренные сроки для удаления данных, где это применимо, общее описание технических и организационных мер безопасности.
Данное обязательство не распространяется на компанию или организацию, с персоналом менее 250 человек, кроме случаев, если рассматриваемая обработка может угрожать правам и свободам субъекта данных, обработка не случайна или обработка связана с определенными категориями данных или данных касающихся уголовных приговоров и правонарушений.
В случае нарушения персональных данных ответственный за обработку должен незамедлительно и, если возможно, в течение 72 часов с того момента, как он узнал о нарушении данных, проинформировать надзорный орган, кроме случаев, если нарушение персональных данных не может вызвать риск для прав и свобод физических лиц. Если уведомление в надзорный орган не осуществляется в течение 72 часов, оно должно сопровождаться обоснованием задержки.
Ответственный за обработку данных назначает ответственного за защиту данных в любом случае, когда обработка осуществляются государственным органом или основной деятельностью ответственного за обработку или осуществляющего обработку является операции, которые требуют регулярный и систематический мониторинг субъектов данных в большом масштабе или обработку особых категорий персональных данных и данных, связанных с уголовными обвинительными приговорами и правонарушениями.
- Как назначается ответственный за защиту данных?
- Ответственный за защиту данных назначается на основе профессиональной квалификации, и в частности, на основе опыта, имеющегося в области права и практики в области защиты данных, а также на основе способности выполнять его обязанности. Ответственный по защите данных может быть членом персонала ответственного за обработку или осуществляющего обработку или выполнять свои обязанности по контракту на обслуживание. Ответственный по защите данных или осуществляющий обработку должны публиковать контактные данные ответственного по защите данных и сообщать их в надзорный орган. Ответственный по защите данных не получает указания по выполнению его обязанностей, не увольняется и не наказывается ответственным за обработку или осуществляющим обработку за выполнение его обязанностей и подотчетен непосредственно на высшему административному органу ответственного за обработку или осуществляющего обработку. Субъекты данных могут обращаться к ответственному по защите данных по любому вопросу, касающемуся обработки их данных и реализации их прав. Ответственный за защиту данных обязан соблюдать конфиденциальность при исполнении своих обязанностей в соответствии с законодательством Евросоюза или государства — его члена.
Именно он следит за соблюдением «Общих положений по защите данных» и выступает в качестве контактного лица надзорного органа. Ответственный за защиту данных может также выполнять другие обязанности, которые не должны противоречить его обязанностям. Ответственный за защиту данных облегчает для ответственного за обработку и осуществляющего обработку применение «Общих положений по защите данных» и посредничает между различными заинтересованными сторонами (например, надзорными органами, субъектами данных). Его роль является консультативной (не решающей), и он не несет личной ответственности за несоблюдение «Общих положений». Лицом, ответственным за обеспечение и доказательство, что обработка осуществляется в рамках «Общих положений», является ответственный за обработку или осуществляющий обработку данных.