Privalexx Ukraine

DATA PRIVACY EXPERTS

📞
Call Support
+49 3843 229 133
✉️
Email Support
info(at)privalexx.com.ua
Make Appointment

Права суб’єктів даних за GDPR: доступ, видалення, перенесення даних

Betroffenenrechte

Права суб’єктів даних за GDPR є ключовим питанням для українських компаній, які пропонують товари чи послуги на ринку ЄС або обробляють персональні дані громадян ЄС. Загальний регламент про захист даних (GDPR) зобов’язує компанії забезпечити суб’єктам даних повний контроль над їхніми даними. Часто виникають питання: Які конкретні права існують? Як реалізувати право на доступ, видалення чи перенесення даних? Хто несе відповідальність і які вимоги необхідно виконати, щоб бути сумісними з GDPR? Українські компанії стикаються із завданням впровадження відповідних заходів при одночасному дотриманні норм ЄС. Помилки, особливо у сфері реалізації прав суб’єктів даних, можуть призвести до штрафів чи ризиків відповідальності. Ця сторінка надає стислий і зрозумілий огляд найважливіших аспектів щодо доступу, видалення та перенесення даних, а також практичні поради щодо дотримання вимог GDPR.

Перенесення даних простими словами: ваші переваги

Багато компаній недооцінюють важливість прав суб’єктів даних за GDPR, зокрема права на перенесення даних. Проте для українських компаній, які працюють у ЄС, правильна реалізація цих прав є критично важливою. Завдання полягає в тому, щоб створити технічні та організаційні умови, за яких користувачі зможуть безперешкодно отримати свої персональні дані або передати їх іншому постачальнику. Одночасно необхідно враховувати права на доступ та видалення і регулярно оновлювати процеси захисту даних. Компанії повинні заздалегідь визначати чіткі процеси, щоб ефективно, безпечно та своєчасно реагувати на запити суб’єктів даних, дотримуючись при цьому стандартів GDPR. Це єдиний шлях до мінімізації ризику скарг та санкцій і до довгострокового зміцнення довіри європейських партнерів і користувачів.

Загальний регламент про захист даних: правові основи

З 2018 року GDPR посилив права суб’єктів даних у межах ЄС. Одним із ключових прав є право на перенесення даних. Воно дозволяє користувачам отримувати свої персональні дані, надані компанії, у структурованому, придатному для зчитування машиною та загальноприйнятому форматі, а також передавати їх іншому постачальнику. Ця норма діє особливо тоді, коли обробка ґрунтується на згоді або договорі й відбувається в автоматизованій формі. Перенесення поширюється лише на ті персональні дані, які були надані самим суб’єктом. До нього не належать похідні, оцінені чи анонімізовані дані.

Найважливіші правила у стислій формі:

  • Сфера охоплення компаній: стосується всіх компаній, які обробляють персональні дані громадян ЄС – навіть без місцезнаходження в ЄС.
  • Сфера даних: право на перенесення поширюється лише на дані, які надає сама особа.
  • Передача: контролери даних зобов’язані забезпечити безпечну та технічно можливу передачу даних.
  • Обмеження: права третіх осіб не повинні порушуватися.

Порушення вимог GDPR, зокрема невиконання перенесення даних, може спричинити значні штрафи. Перенесення даних стимулює конкуренцію в Європі та надає користувачам широкий контроль над їхніми персональними даними.

Персональні дані: рішення для компаній

Обробка персональних даних відповідно до GDPR вимагає від українських компаній застосування конкретних заходів, особливо у сфері прав суб’єктів даних, таких як перенесення, доступ та видалення. Основні кроки для практичної реалізації:

  1. Інвентаризація даних та аналіз системи: перевірте, де й у якому обсязі зберігаються персональні дані. Актуальний перелік є необхідним для ефективного та повного опрацювання запитів за GDPR.
  2. Чіткі процеси: визначте внутрішні відповідальні особи та порядок отримання й обробки запитів. Закон вимагає швидких строків реагування (максимум один місяць).
  3. Технічна реалізація перенесення: забезпечте можливість надання даних у структурованому, загальноприйнятому і машиночитабельному форматі (наприклад, CSV або XML). Передача іншому постачальнику повинна бути надійною та технічно сумісною.
  4. Захист прав третіх осіб: переконайтеся, що під час передачі даних права інших осіб не порушуються. Часто це вимагає ретельної перевірки запитів та, у разі потреби, часткової анонімізації.
  5. Комунікація із суб’єктами даних: підготуйте чітку інформацію про права суб’єктів і процеси захисту даних (наприклад, у політиці конфіденційності). Прозорість підвищує довіру та знижує кількість додаткових запитів.
  6. Співпраця з представником ЄС: для компаній за межами ЄС призначення такого представника є обов’язковим відповідно до ст. 27 GDPR. Він підтримує комунікацію з наглядовими органами та допомагає з реалізацією прав суб’єктів даних.
  7. Навчання та регулярні аудити: регулярно навчайте співробітників питанням захисту даних і проводьте аудити для перевірки дотримання правил.

Приклад із практики

Українська IT-компанія пропонує програмне забезпечення для медичних закладів у Німеччині. Користувачка подає запит на передачу своїх медичних даних іншому постачальнику. Компанія протягом чотирьох тижнів надає дані у стандартному форматі та ретельно документує процес. Підтримка професійного представника в ЄС забезпечує відповідність GDPR і зміцнює довіру на цільовому ринку.

Висновок

Правильна технічна реалізація перенесення даних і системний підхід до реалізації прав суб’єктів є ключовими умовами для дотримання GDPR і запобігання юридичним ризикам. Рання інтеграція ефективних процесів захисту даних допомагає компаніям відповідати як вимогам Регламенту, так і очікуванням європейських партнерів і користувачів.

Підсумок

Права суб’єктів даних згідно з GDPR – доступ, видалення та перенесення – становлять особливий виклик для компаній без представництва в ЄС. Структурований підхід і співпраця з представником у ЄС допомагають дотримуватися всіх вимог GDPR. Українські компанії виграють від чітких процесів, прозорої комунікації та технічних рішень для надання, передачі чи видалення персональних даних відповідно до Регламенту. Ми з радістю підтримаємо вас у впровадженні відповідних заходів та супроводжуватимемо на шляху до повної відповідності стандартам ЄС.

Право на переносимість даних є центральним правом суб’єкта даних згідно з Загальним регламентом захисту даних (GDPR). Воно дає змогу суб’єктам даних отримувати свої персональні дані, які вони надали компанії, у структурованому, широко використовуваному та машиночитаному форматі. Вони також можуть вимагати, щоб дані були передані безпосередньо іншому контролеру. Метою є посилення контролю користувачів над своїми даними та забезпечення легкого переходу між постачальниками послуг.

Переносимість даних регулюється Загальним регламентом захисту даних, зокрема статтею 20 GDPR. Це право доповнює та конкретизує права суб’єктів даних у європейському законодавстві про захист даних. Право існує завжди, коли обробка персональних даних є автоматизованою та базується або на згоді, або на договорі. Це доповнюється загальними принципами GDPR, такими як законність, прозорість та безпека при передачі даних.

Умовами є те, що обробка даних була автоматизованою та базується на згоді суб’єкта даних або договорі. Право застосовується виключно до персональних даних, які суб’єкт даних надав безпосередньо контролеру. Передача даних виключається, якщо вона може порушити права та свободи третіх осіб. Тільки тоді право на переносимість даних може бути повністю реалізоване.

Передаються лише персональні дані, які суб’єкт даних “надав” контролеру. Це включає інформацію, таку як ім’я, адреса, ім’я користувача, а також дані з використання послуг, такі як транзакційні або комунікаційні дані, за умови, що вони були активно надані користувачем. Дані, отримані з аналізу, згенеровані дані або анонімізовані дані не охоплюються.

Виключені з права на переносимість даних персональні дані, створені контролером через власні оцінки або аналізи (наприклад, профілі користувачів, рейтинги). Також виключені анонімізовані дані, які більше не мають особистого зв’язку, а також дані, які є абсолютно необхідними для захисту прав та свобод третіх осіб. Тільки дані, надані особою, підпадають під це право.

Дані повинні бути надані у структурованому, широко використовуваному та машиночитаному форматі, такому як файли CSV або XML. Компанії, на які поширюється Загальний регламент захисту даних, зобов’язані забезпечити сумісність між системами, наскільки це технічно можливо. Крім того, під час передачі даних повинні бути вжиті відповідні технічні та організаційні заходи для захисту даних та безпеки даних.

Право на переносимість даних дає суб’єктам даних можливість безпосередньо передавати або передавати свої персональні дані. На відміну від цього, право доступу лише дозволяє перегляд збережених даних, а право на видалення вимагає видалення даних. Таким чином, переносимість даних вимагає механізму передачі та служить конкуренції, а також автономії користувачів.

Суб’єкти даних можуть реалізувати своє право на переносимість даних безпосередньо з контролером, наприклад, електронною поштою або через надану контактну форму, вказавши, які персональні дані повинні бути передані та куди. Компанія повинна відповісти протягом одного місяця та надати дані у вказаному форматі або передати їх третій стороні, за умови відсутності юридичних заперечень.

Передача даних не дозволяється, якщо вона порушить права та свободи інших осіб. Особливу увагу слід приділяти комерційним таємницям, а також захисту даних та конфіденційності третіх осіб. Право на переносимість даних не повинно призводити до порушення законних інтересів компаній або третіх осіб. Ці захисні механізми прямо передбачені в GDPR.

Порушення права на переносимість даних можуть каратися значними штрафами згідно з GDPR. Залежно від серйозності порушення, можливі штрафи до 20 мільйонів євро або 4% від світового річного обороту. Крім того, можуть виникнути репутаційні збитки та втрата довіри клієнтів та ділових партнерів. Тому відповідальне поводження з персональними даними є важливим.