Персональные данные: рекомендации для субъектов
Британский регулятор в области персональных данных Information Commitioner's Office выпустил рекомендации для владельцев персональных данных.
В предыдущей записи блога я привел рекомендации Information Commitioner's Office (ICO) для малого и среднего бизнеса в части обработки персональных данных. Приведенные рекомендации были предназначены для операторов обработки ПДн. Давайте попробуем взглянуть на этот вопрос со стороны простых граждан, владельцев персональных данных. Несмотря на то, что рекомендации, которые дает ICO, в качестве нормативной базы используют британское законодательство, общие принципы и подходы будут полезны по ту и эту сторону Гринвичского меридиана. Руководство, опубликованное ICO, имеет просветительскую цель и не содержит сложного в понимании материла.
Итак, если некий оператор собирает ваши персональные данные, вы вправе ожидать, что:
- Оператор не будет утаивать, для каких целей ему нужны ваши данные;
- Оператор будет использовать ваши данные надлежащим образом, так, как вы бы это предполагали (ожидали);
- Оператор не будет их использовать недобросовестно, нечестным и несправедливым по отношению к вам образом.
Разумеется, существуют исключения из правил - не все организации собирают данные открыто. Например, когда полиция собирает информацию о подозреваемом в рамках расследования Тем не менее, прозрачность в деле сбора персональных данных - главное правило для оператора, будь то государственный орган или частная компания.
Что такое уведомление об обработке персональных данных (privacy notice)
Уведомление об обработке персональных данных - это заявление (сообщение, информация), кто и с какой целью собирает и производит обработку ваших персональных данных. Уведомление может существовать в самых различных формах, например, в виде сообщения на веб-сайте оператора или автоматического голосового сообщения, которое вы слышите в телефонной трубке, если общение с оператором производится по телефону. В любом случае, уведомление должно быть понятным и правдивым.
Уведомление об обработке персональных данных должно давать ответы на следующие вопросы:
- Кто собирает ваши персональные данные;
- Для каких целей осуществляется сбор;
- Будут ли ваши персональные данные передаваться третьим лицам.
Это установленный законом минимум. ВЫ то же время, форму уведомления можно использовать, чтобы донести до вас следующую информацию:
- Правовое основание для сбора персональных данных;
- Как исправить ошибки в данных, если такое случилось;
- Меры, которые оператор предпринимает для защиты ваших персональных данных.
Если уже известно, что за организация и с какой целью собирает персональные данные, оператору достаточно иметь уведомление в запасе и предоставлять его по требованию, если заинтересованное лицо обратится за дополнительной информацией. В остальных случаях, оператор должен совершить активные действия, чтобы вы могли ознакомиться с уведомлением. К таковым относятся:
- Случаи, когда заранее не известно, кто собирает персональные данные;
- Случаи, когда данные будут использоваться не так, как вы можете предполагать.
Чтобы понять, используются ли оператором ваши данные надлежащим образом (ваши права не нарушаются), задайте себе несколько простых вопросов:
- Было ли вам понятно, кто и для каких целей собирал ваши данные?
- Были ли вы поставлены в известность: будут ли ваши данные передаваться третьим лицам?
- Было ли предоставлено вашему вниманию уведомление об обработке персональных данных или было ли оно доступно по запросу?
- Было ли уведомление правдивым и понятным?
Если хотя бы на один вопрос ваш ответ - "нет", есть подозрения, что ваши персональные данные были собраны с нарушениями. Вы можете пожаловаться оператору. Если вы не получили ответа или не удовлетворены им - обратитесь в ICO.
P.S. Мы с вами знаем, что в России таким регулятором является Роскомнадзор.
Комментарии 0