Як повернути контроль над своїми даними?
Покрокова інструкція
Форма реєстрації
Кожна організація, що має контактну форму або форму реєстрації на сайті, в додатку, або програмному забезпеченні, збирає та структурує наші особисті дані. Більше того, навіть під час просто візиту сайту від нас збирається інформація про обладнання та браузер, з якого здійснюється візит, а також наші інтереси, засновуючись на веб-сторінках, які ми відвідали.


Твоє право
Втім, організації не мають абсолютного права або права власності на дані, які вони зібрали - контроль залишається за кожним із нас. Кожен має право не тільки знати про те, для чого компанія/державний орган збирає інформацію про нас, але й отримати доступ до зібраних даних, виправити або стерти їх у разі їхньої недостовірності, заперечувати проти використання інформації, а у разі необхідності - подати скаргу до регуляторного органу і вимагати проведення розслідування на предмет дотримання організацією законодавства із захисту персональних даних.


Інструкція
Цей документ-інструкція був створений, щоб показати, що кожен із нас может відстоювати права на свою цифрову особистість, а також щоб надати практичний план для взаємодії із організаціями, які збирають про нас особисті дані. У разі виникнення конфліктної ситуації із організацією, яка збирає інформацію про вас, або якщо ви бажаєте реалізувати власні права з будь-якої іншої причини, ви можете використати даний алгоритм для координації дій.


Крок №1
Перед початком спілкування із організацією, до якої у вас є запит, ми радимо прочитати її політику приватності (конфіденційності, Privacy Policy). Політику зазвичай можна знайти у нижній частині веб-сайту або при першому візиті чи реєстрації у форматі вікна-повідомлення. Важливою для відстоювання прав є інформація щодо того, навіщо організація збирає дані та яким чином їх використовує, а також з якими іншими організаціями вона ділиться даними.
Дослідження документів організації.
Важливим для оформлення запиту буде знайти в політиці контактні деталі, за якими можна надіслати запит щодо зібраної інформації. Контактні дані можна також віднайти на головній сторінці веб-сайту, якщо немає - є можливість подивитися в Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань за назвою організації (https://usr.minjust.gov.ua/ua/freesearch), а також через реєстр власників доменних імен Whois (whois.net) та український ресурс Hostmaster (hostmaster.ua).
Розглянемо пошук реквізитів компанії на прикладі
підприємства державної форми власності "ДП "Документ".
1.1. Заходимо на сайт, який нас цікавить, та знаходимо інформацію про компанію, яка оперує сайтом:
1.2. Оскільки адреса власника веб-сайту не вказана, шукаємо відомості про юридичну особу в Єдиному Державному Реєстрі за назвою:
1.3. Готово! Необхідні реквізити для оформлення запиту отримано:
1.4. Та як зазначалося вище, спершу все ж варто перевірити Політику Конфіденційності організації - можливо, там вже є необхідна інформація:
1.5. Натомість, не всі джерела бувають дієвими. Наприклад, при аналізі інформації про власника доменного імені "pasport.org.ua" через сайт whois.net / hostmaster.ua, дані можливо отримати лише якщо піти на контакт із реєстратором напряму. Тому у даному випадку цей метод не є найдієвішим:
Крок №2
Після вивчення необхідної інформації про організацію з веб-сайту та інших відкритих джерел, можна надсилати до організації запит про отримання даних, які були зібрані про вас.
Запит на доступ до даних.
У кожного є право:

2.1. знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) організації, яка збирає дані;

2.2. отримати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

2.3. на доступ до своїх персональних даних. В даній частині важливо розуміти, що у вас є право знати також про джерело збирання та інші деталі п.п. 2.1-2.2 про кожний з видів даних, до яких ви отримаєте доступ.


Запит на доступ до інформації дозволить вам сформувати уявлення про те, які дані вже знає про вас організація, що вона робить із ними, а також покаже відношення організації до захисту персональних даних - чи всі деталі п.п. 2.1-2.3 надасть вам організація?

Запит є БЕЗКОШТОВНИМ - організації не мають права збирати з вас плату, якщо ви не зловживаєте запитами (наприклад, надіслали запит, який має один і той же зміст, три рази підряд).



Як оформлювати:
  • Як форму для запиту, можна використати документ, який знаходиться за посиланням: Заява на доступ до персональних даних

  • У запиті вказати ваше місце проживання, реквізити паспорту, ПІБ, дату направлення запиту - цього вимагають відповідні норми Закону України "Про захист персональних даних".

  • Якщо ви маєте запит щодо специфічного типу інформації, то обов'язково вкажіть про це у запиті. Якщо немає - можна надсилати запит щодо всіх зібраних даних.

Як відправляти:

  • Найшвидший варіант - надіслати запит електронною поштою на email адресу організації.
Втім, дана опція має свої недоліки: якщо організація вирішить вас проігнорувати, у вас не буде підтвердження, що її представники ознайомилися із запитом. Доказ ознайомлення може знадобитися при оскарженні бездіяльності організації;

  • Надійний, проте більш часозатратний варіант - надіслати запит рекомендованим листом з повідомленням про вручення на адресу компанії. У такому разі ви матимете доказ отримання запиту, який потім можна використати для оскарження.
Термін, протягом якого вам зобов'язані надати відповідь - 30 календарних днів з моменту отримання запиту. У разі відсутності відповіді після спливу терміну, ви автоматично отримуєте підставу для подачі скарги на бездіяльність за вашим запитом.
Найшвидший варіант - надіслати запит електронною поштою на email адресу організації.
Надійний, проте більш часозатратний варіант - надіслати запит рекомендованим листом з повідомленням про вручення на адресу компанії. У такому разі ви матимете доказ отримання запиту, який потім можна використати для оскарження.
Термін, протягом якого вам зобов'язані надати відповідь - 30 календарних днів з моменту отримання запиту. У разі відсутності відповіді після спливу терміну, ви автоматично отримуєте підставу для подачі скарги на бездіяльність за вашим запитом.


Крок №3
Перевірка відомостей.
Наступним кроком після отримання відповіді є перевірка відомостей, доступ до яких надала організація. Чи містять вони всі деталі, вказані в п.п. 2.1.-2.3.? Чи згадали вони про файли cookies? Чи надали вони інформацію, яка вас цікавила?

Якщо ви розумієте, що організація не виконала свого обов'язку або порушує ваші права щодо персональних даних, ви можете як продовжити спілкування із її представниками, так і перейти до стадії оскарження через подачу скарги до регуляторного органу (див. п.5).



Крок №4
Не варто забувати і про інші права. Після отримання відповіді від організації ви знаєте про дані, якими вона оперує - настав час надсилати запит про видалення, виправлення або заборону обробки даних про вас, або запит про відкликання згоди, що теж є приводом для зупинки використання вашої інформації. У даному випадку застосовуються такі ж правила щодо оформлення та відправлення, як і з запитом на доступ до зібраних даних.
Зміна, видалення, та припинення використання даних.
Крок №5
Ідеальний варіант - це коли не доводиться просити "сторонньої допомоги" - коли вдалося реалізувати свої права не дійшовши до пункту 5.
Часто, на жаль, реалії виглядають інакше - без допомоги регуляторного органу реалізації права на доступ до даних або їх видалення досягти не виходить. На цей випадок є можливість подати скаргу Уповноваженому Верховної Ради з прав людини, який є компетентним із розгляду скарг щодо захисту персональних даних. Уповноважений буде зобов'язаний розглянути вашу скаргу та, за наявності підстав, відкрити справу щодо організації-порушника.



Скарга до уповноваженого органу.
У яких випадках доцільно звернутися до Уповноваженого зі скаргою:
Ваш запит щодо доступу або інших дій щодо інформації проігнорували
Вам не надали доступ до зібраної інформації або надали неповну інформацію відповідно до п.п. 2.1.-2.3. цієї інструкції
Вам відмовили у відзиві згоди на обробку або видаленні / виправленні / припиненні обробки вашої інформації без обґрунтування та достатніх підстав із посиланням на законодавство
Після реалізації ваших прав, вам продовжують надсилати комерційні повідомлення та рекламу або іншим чином обробляти інформацію, щодо якої ви здійснили ваше право
Інформація, яку у вас запитує організація, не була необхідною для надання послуг і вам відмовили в обслуговуванні на підставі реалізації ваших прав або відмови надавати згоду
Як оформити та подати скаргу:
Як і у випадку із надсиланням запиту до організації, дана опція є швидким та зручним засобом захисту своїх прав
Альтернативно можна подати скаргу будь-яким іншим зручним для вас способом: електронна пошта, звичайний лист, рекомендований лист із повідомленням про вручення
Що необхідно вказати в тексті скарги: прізвище, ім'я, по батькові, місце проживання громадянина, суть порушеного питання, підпис заявника (заявників), електронна або звичайна поштова адреса, на яку надсилати відповідь. У випадку надсилання запиту через онлайн-форму, підпису не вимагається
При викладі суті вашої скарги, вкажіть повну хронологію подій: чи надсилали ви запит до організації, яку відповідь отримали, якими були подальші дії, у чому ви вбачаєте порушення ваших прав тощо. Деталізована інформація про ваш випадок допоможе представникам регуляторного органу оперативно реагувати на порушення у найбільш ефективний та доречний спосіб
Крок №6
Для того, щоб подати позов до суду, необов'язково проходити попередні стадії, проте ми радимо цю опцію як останню інстанцію з огляду на відносно високу вартість і довгі строки розгляду.

Окрім подачі позову на організацію, яка збирає дані, ви також маєте право подати позов на регуляторний орган у разі, якщо він не розглянув або, на вашу думку, неналежним чином розглянув вашу скаргу

Подача позову до суду.
Сподіваємося, що ця інструкція є корисною для вас. Бережіть свої дані!
Made on
Tilda