Статья 15 Право доступа субъекта данных

О чём эта статья

Статья 15 — право доступа субъекта данных. Самое часто используемое право в GDPR.

15(1) — Что субъект имеет право получить

Субъект имеет право получить подтверждение от контролёра, обрабатываются ли его данные, и если да — доступ к этим данным и следующую информацию:

(a) цели обработки;

(b) категории обрабатываемых данных;

(c) получатели или категории получателей, в особенности в третьих странах или международных организациях;

(d) предполагаемый срок хранения, или критерии его определения;

(e) существование права на исправление, удаление, ограничение или возражение;

(f) право подать жалобу в надзорный орган;

(g) если данные собраны не у субъекта — любая доступная информация об их источнике;

(h) существование автоматизированных решений, включая профилирование (Art. 22), и значимая информация о логике, значимости и предполагаемых последствиях такой обработки.

15(2) — Передача в третьи страны

Если данные передаются в третью страну, субъект имеет право быть информирован о надлежащих гарантиях (Art. 46) этой передачи.

15(3) — Копия данных

Контролёр должен предоставить копию обрабатываемых персональных данных. За дополнительные копии может взиматься разумная плата.

При запросе в электронной форме информация предоставляется в распространённом электронном формате.

15(4) — Ограничение

Право на копию не должно отрицательно влиять на права и свободы других лиц.

Почему это важно для аудита

Art. 15 — главный инструмент исследования. Подаёшь запрос — получаешь технически детальный ответ о том, какие данные есть, кому они переданы, на каких основаниях. Если контролёр не отвечает в течение месяца (Art. 12(3)) — основание для жалобы в DPA.

Качество ответов на запросы Art. 15 — само по себе предмет аудита. Многие компании отвечают формально, не давая реальных данных. Это нарушение.

См. также дело AKI vs TTD/LiveRamp в разделе Дела — оно начиналось именно с жалоб по Art. 15.