Захист даних

Права зацікавленої особи

Застосовне законодавство про захист даних надає вам повні права суб’єкта даних щодо обробки ваших персональних даних:

Право на інформацію відповідно до ст. 15 GDPR

1. Суб’єкт даних має право вимагати підтвердження від контролера щодо того, чи обробляються його персональні дані; Якщо це так, ви маєте право на доступ до цих персональних даних і такої інформації:

a) цілі обробки;

b) категорії персональних даних, що обробляються;

c) одержувачі або категорії одержувачів, яким персональні дані були або будуть розкриті, зокрема одержувачі в третіх країнах або міжнародних організаціях;

d) якщо це можливо, запланований період, протягом якого будуть зберігатися персональні дані, або, якщо це неможливо, критерії для визначення цього періоду;

e) наявність права на виправлення або видалення персональних даних, що стосуються їх, або на обмеження обробки контролером, або права на заперечення проти такої обробки;

f) наявність права на подання скарги до наглядового органу;

g) якщо персональні дані не збираються від суб’єкта даних, будь-яка доступна інформація про походження даних;

(h) наявність автоматизованого прийняття рішень, у тому числі профілювання, відповідно до статей 22(1) і (4) і, принаймні в цих випадках, суттєва інформація про залучену логіку та передбачуваний вплив такої обробки на дані тема.

2. Якщо персональні дані передаються до третьої країни або міжнародної організації, суб’єкт даних має право бути поінформованим про відповідні гарантії, зазначені у статті 46, стосовно передачі.

3. Контролер надає копію персональних даних, які є предметом обробки. За всі подальші копії, які вимагає суб’єкт даних, відповідальна особа може стягувати розумну плату на основі адміністративних витрат. Якщо суб’єкт даних подає заяву в електронному вигляді, інформація повинна бути надана у загальному електронному форматі, якщо суб’єкт даних не вкаже інше.

4. Право на отримання копії відповідно до пункту 1b не порушує прав і свобод інших осіб.

Право на виправлення згідно зі ст. 16 GDPR

Суб’єкт даних має право негайно вимагати від відповідальної особи виправлення неправильних персональних даних щодо нього чи неї. Враховуючи цілі обробки, суб’єкт даних має право вимагати доповнення неповних персональних даних, у тому числі за допомогою додаткової заяви.

Право на видалення відповідно до статті 17 GDPR («Право бути забутим»).

1. Суб’єкт даних має право вимагати, щоб контролер видалив персональні дані, що стосуються нього, без невиправданої затримки, а контролер зобов’язаний видалити персональні дані без невиправданої затримки, якщо існує одна з таких причин:

a) Особисті дані більше не потрібні для цілей, для яких вони були зібрані або іншим чином оброблені.

(b) суб’єкт даних відкликає згоду, на якій ґрунтувалася обробка, відповідно до статті 6(1)(a) або статті 9(2)(a), і немає іншої правової основи для обробки.

c) суб’єкт даних заперечує проти обробки відповідно до статті 21(1) і немає переважних законних підстав для обробки, або суб’єкт даних заперечує проти обробки відповідно до статті 21(2).

г) Персональні дані були оброблені незаконно.

e) Видалення персональних даних є необхідним для виконання юридичного зобов’язання відповідно до законодавства Союзу або законодавства держав-членів, якому підпорядковується контролер.

f) Персональні дані були зібрані стосовно послуг інформаційного суспільства, які пропонуються відповідно до статті 8(1).

2. Якщо контролер оприлюднив персональні дані та зобов’язаний видалити їх відповідно до пункту 1, він, беручи до уваги наявну технологію та витрати на впровадження, вживає належних заходів, у тому числі технічних, для захисту контролерів даних, які обробляти персональні дані, щоб повідомити вам про те, що суб’єкт даних подав запит на видалення всіх посилань на ці персональні дані або копій чи реплікацій цих персональних даних.

3. Параграфи 1 і 2 не застосовуються, якщо необхідна обробка.

а) здійснювати право на свободу слова та інформації;

b) для виконання юридичного зобов’язання, що вимагає обробки відповідно до законодавства Союзу чи держави-члена, якому підпорядковується контролер, або для виконання завдання, яке виконується в суспільних інтересах, або для виконання офіційних повноважень, наданих контролеру;

(c) з міркувань громадського інтересу у сфері охорони здоров’я відповідно до статті 9(2)(h) і (i) та статті 9(3);

(d) для архівних цілей у суспільних інтересах, наукових чи історичних дослідницьких цілей або для статистичних цілей, зазначених у статті 89(1), тією мірою, якою закон, зазначений у параграфі 1, може унеможливити або серйозно вплинути на досягнення цілей цієї обробки, або

e) заявляти, здійснювати або захищати юридичні вимоги.

Право на обмеження обробки відповідно до ст. 18 GDPR

1. Суб’єкт даних має право вимагати від контролера обмеження обробки, якщо виконується одна з таких умов:

a) точність персональних даних оскаржується суб’єктом даних протягом періоду, що дозволяє контролеру перевірити точність персональних даних,

b) обробка є незаконною, і суб’єкт даних відмовляється від видалення персональних даних і натомість вимагає обмеження використання персональних даних;

c) контролер більше не потребує персональних даних для цілей обробки, але суб’єкт даних потребує їх для висування, реалізації або захисту правових вимог, або

d) суб’єкт даних заперечує проти обробки відповідно до статті 21(1), очікуючи перевірки, чи законні підстави контролера переважають над підставами суб’єкта даних.

2. Якщо обробку було обмежено відповідно до пункту 1, ці персональні дані - за винятком їх зберігання - можуть використовуватися лише за згодою суб'єкта даних або для встановлення, здійснення чи захисту правових претензій або для захисту прав іншої фізичної чи юридичної особи або з міркувань важливого суспільного інтересу Союзу чи держави-члена.

3. Суб’єкт даних, який отримав обмеження на обробку відповідно до пункту 1, повинен бути проінформований контролером до того, як обмеження буде скасовано.

Право на інформацію відповідно до ст. 19 GDPR

Контролер повідомляє всіх одержувачів, яким персональні дані були розкриті, про будь-яке виправлення або видалення персональних даних або будь-яке обмеження обробки, зазначене у статті 16, статті 17(1) і статті 18, якщо це не виявляється неможливим або несумісним з залучаються непропорційні зусилля. Контролер інформує суб’єкта даних про цих одержувачів, якщо суб’єкт даних вимагає цього.

Право на перенесення даних відповідно до ст. 20 GDPR

1. Суб’єкт даних має право отримувати персональні дані щодо нього або неї, які він або вона надав контролеру, у структурованому, широко використовуваному та машинозчитуваному форматі, і він або вона має право передавати ці дані іншій особі. контролера без перешкод з боку контролера, якому були надані персональні дані, за умови, що

(a) обробка ґрунтується на згоді відповідно до статті 6(1)(a) або статті 9(2)(a) або на основі договору відповідно до статті 6(1)(b);

б) обробка здійснюється за допомогою автоматизованих процедур.

2. Реалізуючи своє право на перенесення даних відповідно до пункту 1, суб’єкт даних має право передати персональні дані безпосередньо від одного контролера до іншого контролера, якщо це технічно можливо.

3. Здійснення права, зазначеного в пункті 1 цієї статті, не порушує статтю 17. Це право не поширюється на обробку, необхідну для виконання завдання, яке виконується в суспільних інтересах або в рамках виконання офіційних повноважень, наданих контролеру.

4. Право, зазначене в частині 2, не впливає на права та свободи інших осіб.

Право на заперечення згідно зі ст. 21 GDPR

1. Суб’єкт даних має право, на підставах, пов’язаних із його чи її конкретною ситуацією, у будь-який час заперечити проти обробки персональних даних, що стосуються його чи неї, на основі статті 6(1)(e) або (f); Це також стосується профілювання на основі цих положень. Контролер більше не оброблятиме персональні дані, якщо він або вона не зможе продемонструвати переконливі законні підстави для обробки, які переважають інтереси, права та свободи суб’єкта даних, або якщо обробка служить для висування, реалізації або захисту правових вимог.

2. Якщо персональні дані обробляються з метою прямої реклами, суб’єкт даних має право в будь-який час заперечити проти обробки персональних даних щодо нього з метою такої реклами; Це також стосується профілювання, оскільки воно пов’язане з такою прямою рекламою.

3. Якщо суб’єкт даних заперечує проти обробки для прямих рекламних цілей, персональні дані більше не оброблятимуться для цих цілей.

4. Суб’єкт даних повинен бути чітко проінформований про право, зазначене в параграфах 1 і 2, не пізніше, ніж під час першого спілкування з ним; Це повідомлення має бути надано у зрозумілій формі та окремо від іншої інформації.

5. У зв’язку з використанням послуг інформаційного суспільства, незважаючи на Директиву 2002/58/EC, суб’єкт даних може реалізувати своє право на заперечення через автоматизовані процедури з використанням технічних специфікацій.

6. Суб’єкт даних має право на підставах, пов’язаних із його чи її конкретною ситуацією, заперечувати проти обробки персональних даних, що стосуються його чи неї, для наукових чи історичних дослідницьких цілей або для статистичних цілей, зазначених у статті 89(1), крім випадків, коли обробка є необхідною для виконання завдання в суспільних інтересах.

Право на скаргу відповідно до статті 77 GDPR

1. Без шкоди для будь-яких інших адміністративних чи судових засобів правового захисту, кожен суб’єкт даних має право подати скаргу до наглядового органу, зокрема в державі-члені його або її проживання, місця роботи або місця передбачуваного порушення, якщо суб’єкт даних вважає, що обробка його чи її персональних даних порушує цей Регламент.

2. Наглядовий орган, до якого було подано скаргу, інформує скаржника про статус і результати розгляду скарги, включаючи можливість судового захисту відповідно до статті 78.