Как Подать Жалобу в Орган по Защите Данных, Если Ваши Права Были Нарушены

Определение Релевантных Законов и Органа по Защите Данных

Сначала вам нужно выяснить, что именно было нарушено: является ли это нарушением в соответствии с действующими законами о защите данных и, если да, в какой орган по защите данных следует подать жалобу.

Определите Нарушение

Вы предполагаете, что кто-то нарушил ваши права на конфиденциальность данных. Вам нужно суметь описать, что произошло, чтобы понять, в чём заключается нарушение.

Например:

• если произошла утечка данных,
• если ваши данные были проданы третьим лицам без вашего согласия,
• если ваш запрос относительно данных не был обработан,
• если ваши данные были переданы в третью страну без законного основания,
• если ваши данные были собраны без вашего согласия или другого законного основания и так далее.

Как только вы поймёте, что произошло, нужно определить, есть ли закон, который защищает вас от действий интернет-бизнеса.

Если вы не уверены, что ваши права были нарушены, вы можете это выяснить, подав запрос относительно данных.

Если у вас есть сомнения, что ваши данные были собраны и обработаны без вашего согласия или на другом законном основании, подайте запрос на информацию или запрос на возражение против обработки.

Если вы опасаетесь, что ваши данные были переданы в страну с недостаточными стандартами защиты данных, запрос на информацию предоставит вам необходимую информацию.

Если контролёр не отвечает, то здесь может быть что-то не так. Кроме того, неответ на запрос сам по себе является нарушением.

Определите Применимые Законы

Законы о защите данных, как правило, применимы к отношениям между пользователем и бизнесом. Это значит, что в каждых отношениях действуют как минимум два правила — от страны пользователя и от страны компании.

На практике, если французский пользователь интернета взаимодействует онлайн с британским бизнесом, применяются и французское, и британское законодательство, оба из которых соответствуют GDPR ЕС.

Источник: Европейская Комиссия
Источник: Европейская Комиссия

Если пользователь из Калифорнии взаимодействует с канадским бизнесом из Монреаля, применяются и штатные, и федеральные законы обеих стран. Поскольку в США нет национального закона о конфиденциальности данных, будут применяться закон Калифорнии, закон Квебека и федеральный закон Канады.

Источник: Департамент юстиции штата Калифорния

Если индийский пользователь взаимодействует с индийским бизнесом, то применяется только индийское законодательство. Но на момент написания этой статьи в Индии ещё нет всеобъемлющего закона о защите данных, так что, скорее всего, у пользователя нет таких же прав на данные, как в некоторых других странах.

Итак, следующие два закона применяются к вашим отношениям с бизнесом, который, возможно, нарушил ваши права:

• Закон о защите данных страны, гражданином или резидентом которой вы являетесь, если таковой есть, и
• Закон о защите данных страны, где зарегистрирован бизнес, если таковой есть.

Определите Компетентный Орган по Защите Данных

Каждый орган по защите данных обеспечивает соблюдение закона о защите данных.

Те, которые имеют отношение к вашему случаю, зависят от применимых законов.

В случае французского пользователя и британского бизнеса, француз может подать жалобу в CNIL (французский орган по защите данных) или ICO (британский орган по защите данных).

В случае пользователя из Калифорнии и бизнеса из Квебека и Канады, пользователь может подать жалобу в органы Канады. Если применяется CCPA (Закон Калифорнии о защите потребителей), то варианты для жалоб очень ограничены.

Для пользователей за пределами Калифорнии в США, по сути, нет защиты.

Пользователь из Индии, чья конфиденциальность была нарушена индийским бизнесом, на момент написания этого текста не может сделать практически ничего, так как текущий закон недостаточно защищает персональные данные.

Предпринять Шаги для Исправления Нарушения

Теперь вы знаете, что ваши личные данные были злоупотреблены или ваши права на данные нарушены. Пора защитить себя.

На данном этапе у вас есть несколько вариантов:

• Попросить контролера данных исправить нарушение. Если вам не хочется заниматься долгой перепиской из-за мелкого нарушения, просто напишите контролеру данных письмо, сказав, что вы в курсе произошедшего и просят его исправить своё поведение.
  Это может быть хорошим вариантом, если нарушение незначительное и вам нет смысла тратить время на жалобы в органы.

  Например, если контролер данных звонит вам и предлагает какие-то товары без вашего согласия, вы можете указать, что согласия не давали, и их нужно прекратить звонки. Если они послушаются, нарушение будет исправлено без лишних усилий с вашей стороны.

• Подать запрос от субъекта данных. Иногда простой запрос может защитить вас.
  Это не исправит то, что контролер данных сделал неправильно, но может изменить его будущее отношение к вам.

  Если на вас распространяется GDPR или аналогичный закон, вот что можно сделать:

  • Запрос на возражение. После подачи запроса на возражение контролер данных и их процессоры должны улучшить обработку данных или прекратить её.
    Если вы возражаете против обработки вашего номера телефона, контролер больше не сможет звонить вам. Если он собрал ваш номер телефона для других целей (например, для проверки личности), это всё равно нарушение. Однако запрос может помочь вам предотвратить дальнейшую обработку данных.
  • Запрос на удаление. Вы можете попросить контролера удалить все данные о вас. Если у него их не будет, он не сможет их обрабатывать.
• Подать жалобу в соответствующий орган по защите данных. Подача жалобы всегда возможна, когда нарушаются ваши права. Вы имеете право сделать это, даже если уже попросили контролера исправить нарушение, и он это сделал.
  Вы можете подать жалобу и одновременно запросить прекращение обработки данных или их удаление, если это применимо в вашем конкретном случае.

  Источник: Европейская Комиссия

  Жалобы предусмотрены для интернет-пользователей (и всех остальных пользователей) для использования против бизнеса, который не соблюдает законы о конфиденциальности данных и нарушает права пользователей. Поэтому не стесняйтесь подавать жалобу в любое время, когда у вас есть основания считать, что ваши права были нарушены.

Как Подать Жалобу в Орган по Защите Данных?

Предположим, что на этом этапе вы уже осведомлены о нарушении и знаете, какие законы применимы, а также кто является соответствующим органом по защите данных (ОЗД). Теперь пришло время подать жалобу.

Перейдите на сайт соответствующего ОЗД. На сайте каждого ОЗД есть раздел с информацией о том, как подать жалобу. Если такого раздела нет, вы можете связаться с ними через страницу контактов, по электронной почте, телефону или иным способом.

В целом, ОЗД принимают жалобы, поданные разными способами и в различных формах.

Чаще всего, вы найдете возможность подать жалобу прямо на их сайте. Примеры можно увидеть на сайтах ICO Великобритании и CNIL во Франции. Подача жалобы — процесс как нельзя более простой.

Если на сайте вашего ОЗД нет возможности подать жалобу, как в случае с британским ICO и французским CNIL, подавайте жалобу по почте, электронной почте или по телефону. Даже если вы допустите ошибки, в худшем случае с вами свяжутся из ОЗД и направят по правильному пути.

Заполните форму жалобы. Онлайн-формы будут запрашивать всю необходимую информацию для расследования. Заполните каждое поле по мере вашего понимания и нажмите кнопку ОТПРАВИТЬ.

Если формы нет, жалобу можно написать в свободной форме. Просто убедитесь, что в ней есть по крайней мере следующее:

• Ваши имя и контактные данные
• Информация о нарушителе
• Описание нарушения

Если ОЗДу потребуется дополнительная информация, они зададут вам несколько вопросов.

После подачи жалобы вам остается только ждать.

Источник: GDPR-Info.eu — ст. 77 GDPR

Расследование. Получив вашу жалобу, ОЗД начнет расследование.

Как уже упоминалось, для получения дополнительной информации они могут связаться с вами.

ОЗД расследует дело и сообщит вам о всех выводах, которые можно поделить, не мешая расследованию. Никто не может предсказать, сколько это займет времени. У каждого дела есть свои особенности, которые определяют его сложность и, следовательно, продолжительность расследования. Так что здесь нужно быть терпеливым.

Это расследование не похоже на полицейское. Сотрудники ОЗД — обычные государственные служащие, которые рассмотрят ваше дело и примут решение. Ожидайте опыта общения с налоговыми органами или органами защиты потребителей.

Итоги расследования. Когда расследование завершится, возможны разные исходы:

• Дело закрыто. Если ОЗД решит, что у вас нет прав на защиту данных или они не являются соответствующим ОЗД по данному делу, они закроют его. Здесь вы мало что можете сделать. Возможно, стоит обратиться в другой ОЗД.
• Нарушений не обнаружено. Если улики не доказывают, что контролер данных нарушил закон и ваши права, ОЗД ничего против него предпринимать не будет. Если нарушения нет, он свободен.
• Нарушение обнаружено. В таком случае, ОЗД вынесет штраф. Размер штрафа по GDPR зависит от характера нарушения, годового оборота контролера и других факторов, которые помогут ОЗД определить реальный размер штрафа.
  В случае незначительных нарушений, если закон это позволяет, ОЗД может вынести предупреждение, запрет на действия или другие меры для устранения последствий нарушения. Эти меры редки, однако. В большинстве случаев нарушителям выписывают штрафы.

Подводя Итог

В общем-то, если вы считаете, что ваши права на конфиденциальность данных нарушены, вы можете обратиться с жалобой в соответствующий орган по защите данных.

Сначала вам нужно определить, что именно является нарушением, кто его совершил и какие законы применимы в вашем случае.

Затем вам стоит пойти в ОЗД, подать жалобу, сотрудничать и ждать решения. Параллельно вы можете напрямую общаться с нарушителем, чтобы он устранил нарушение. Ведь он вполне может с вами сотрудничать.

На протяжении всего процесса очень важно помнить, что защитить свои права на конфиденциальность данных — ваша задача. Не ждите, что власти заставят каждую компанию соблюдать законы. Этого не случится.

Даже самые активные ОЗД в мире имеют ограниченные ресурсы для борьбы со всеми недобросовестными предприятиями.

Но у вас есть возможность действовать. И действовать нужно, как только вы обнаружите нарушение своих прав на конфиденциальность данных.