V. Права субъекта данных
Если ваши личные данные обрабатываются, вы являетесь субъектом данных в смысле GDPR и имеете следующие права по отношению к контроллеру:
1. право на информацию
Вы можете запросить у контролера подтверждение того, обрабатываются ли нами ваши персональные данные.
Если такая обработка имела место, вы можете запросить у контроллера следующую информацию:
(1) цели, для которых обрабатываются персональные данные;
(2) категории обрабатываемых персональных данных;
(3) получатели или категории получателей, которым были или будут переданы персональные данные о вас;
(4) планируемый срок хранения персональных данных о вас или, если конкретная информация об этом невозможна, критерии для определения срока хранения;
(5) наличие права на исправление или удаление персональных данных, касающихся вас, права на ограничение обработки контроллером или права на возражение против такой обработки;
(6) наличие права на обжалование в надзорном органе;
(7) всю доступную информацию о происхождении данных, если личные данные получены не от субъекта данных;
(8) наличие автоматизированного принятия решений, включая профилирование в соответствии со ст. 22 (1) и (4) GDPR, и - по крайней мере, в этих случаях - содержательная информация о задействованной логике, объеме и предполагаемых последствиях такой обработки для субъекта данных.
Вы имеете право запросить информацию о том, передаются ли касающиеся вас персональные данные в третью страну или в международную организацию. В этом контексте вы можете запросить информацию о соответствующих гарантиях в соответствии со ст. 46 GDPR в связи с передачей.
2. право на исправление
Вы имеете право на исправление и/или дополнение по отношению к контроллеру, если обработанные персональные данные о вас неверны или неполны. Контроллер должен произвести исправление без промедления.
3. право на ограничение обработки
При соблюдении следующих условий вы можете запросить ограничение на обработку ваших персональных данных:
(1) если вы оспариваете точность касающихся вас персональных данных в течение периода, позволяющего контролеру проверить точность персональных данных;
(2) обработка незаконна, и вы возражаете против удаления персональных данных и требуете ограничить их использование;
(3) контроллеру больше не нужны личные данные для целей обработки, но они необходимы вам для установления, осуществления или защиты законных требований, или
(4) если вы возразили против обработки в соответствии со ст. 21 (1) GDPR и еще не установлено, преобладают ли законные основания контроллера над вашими.
Если обработка персональных данных, касающихся вас, была ограничена, эти данные - за исключением их хранения - могут обрабатываться только с вашего согласия или для установления, осуществления или защиты юридических требований, или для защиты прав другого физического или юридического лица, или по причинам, представляющим важный общественный интерес для Союза или государства-члена.
Если ограничение обработки было ограничено в соответствии с вышеуказанными условиями, контроллер проинформирует вас об этом до того, как ограничение будет отменено.
4. право на аннулирование
a) Обязательство по аннулированию
Вы имеете право получить от контроллера удаление касающихся вас персональных данных без неоправданной задержки, и контроллер будет обязан удалить персональные данные без неоправданной задержки, если применяется одно из следующих оснований:
(1) Персональные данные, касающиеся вас, больше не нужны для целей, для которых они были собраны или иным образом обработаны.
(2) Вы отозвали свое согласие, на котором основывалась обработка в соответствии со ст. 6 п. 1 лит. a или ст. 9 п. 2 лит. a GDPR, и у вас нет других законных оснований для такой обработки.
(3) Вы возражаете против обработки в соответствии со ст. 21 (1) GDPR, и у вас нет более веских законных оснований для обработки, или вы возражаете против обработки в соответствии со ст. 21 (2) GDPR.
(4) Персональные данные, касающиеся вас, были обработаны незаконно.
(5) Удаление персональных данных, касающихся вас, необходимо для выполнения юридического обязательства в соответствии с законодательством Союза или законодательством государств-членов ЕС, которому подчиняется контроллер.
(6) Персональные данные, касающиеся вас, были собраны в связи с информационными услугами, предлагаемыми в соответствии со ст. 8 п. 1 GDPR.
б) Информация для третьих лиц
Если контроллер сделал персональные данные о вас общедоступными и обязан стереть их в соответствии со ст. 17 (1) GDPR, он должен принять соответствующие меры, включая технические меры, с учетом доступных технологий и затрат на реализацию, чтобы сообщить контроллерам данных, обрабатывающим персональные данные, что вы как субъект данных запросили удаление всех ссылок на эти персональные данные или копий или повторов этих персональных данных.
в) Исключения
Право на стирание не существует, если обработка необходима
(1) осуществлять право на свободу выражения мнений и информации;
(2) для выполнения юридического обязательства, требующего обработки в соответствии с законодательством Союза или государства-члена, которому подчиняется контроллер, или для выполнения задачи, выполняемой в общественных интересах или в рамках осуществления официальных полномочий, возложенных на контроллера;
(3) по причинам общественного интереса в области общественного здравоохранения в соответствии со ст. 9 п. 2 лит. h и i и ст. 9 п. 3 GDPR;
(4) для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей в соответствии со ст. 89 п. 1 GDPR, в той мере, в какой право, упомянутое в разделе a), может сделать невозможным или серьезно ухудшить достижение целей такой обработки, или
(5) для предъявления, выполнения или защиты юридических претензий.
5. право на информацию
Если вы заявили контроллеру о своем праве на исправление, удаление или ограничение обработки, контроллер обязан уведомить всех получателей, которым были раскрыты касающиеся вас персональные данные, о таком исправлении или удалении данных или ограничении обработки, если только это не окажется невозможным или не потребует непропорциональных усилий.
Контроллер имеет право информировать вас об этих получателях.
6. право на переносимость данных
Вы имеете право на получение персональных данных, касающихся вас, которые вы предоставили контроллеру, в структурированном, общепринятом и машиночитаемом формате. Вы также имеете право передавать эти данные другому контроллеру без препятствий со стороны контроллера, которому были предоставлены личные данные, если применяется одно из следующих условий
(1) обработка основана на согласии в соответствии со ст. 6 п. 1 лит. a GDPR или ст. 9 п. 2 лит. a GDPR или на договоре в соответствии со ст. 6 п. 1 лит. b GDPR и
(2) обработка осуществляется с помощью автоматизированных средств.
При осуществлении этого права вы также имеете право на то, чтобы касающиеся вас персональные данные передавались непосредственно от одного контролера к другому, если это технически возможно. При этом не должны затрагиваться свободы и права других лиц.
Право на переносимость данных не распространяется на обработку персональных данных, необходимых для выполнения задачи, поставленной в общественных интересах или в рамках осуществления официальных полномочий, возложенных на контроллера.
7. право на возражение
Вы имеете право в любое время возражать против обработки ваших персональных данных на основании пунктов (e) или (f) статьи 6(1) GDPR, включая профилирование, основанное на этих положениях, по причине вашей конкретной ситуации.
Контроллер больше не будет обрабатывать персональные данные о вас, если контроллер не продемонстрирует убедительные законные основания для обработки, которые преобладают над вашими интересами, правами и свободами или для установления, осуществления или защиты юридических претензий.
Если ваши персональные данные обрабатываются в целях прямого маркетинга, вы имеете право в любое время возразить против обработки ваших персональных данных в целях такого маркетинга, который включает профилирование в той степени, в которой оно связано с таким прямым маркетингом.
Если вы возражаете против обработки в целях прямого маркетинга, касающиеся вас персональные данные больше не будут обрабатываться в этих целях.
Несмотря на Директиву 2002/58/EC, у вас есть возможность реализовать свое право на возражение в связи с использованием услуг информационного общества с помощью автоматизированных процедур, использующих технические спецификации.
Ваше право на возражение может быть ограничено в той мере, в какой это может сделать невозможным или серьезно ухудшить реализацию исследовательских или статистических целей, и такое ограничение необходимо для реализации исследовательских или статистических целей.
8. право отозвать заявление о согласии в соответствии с законом о защите данных
Вы имеете право в любое время отозвать свое заявление о согласии в соответствии с законом о защите данных. Отзыв согласия не влияет на законность обработки, основанной на согласии, полученном до его отзыва.
9. автоматизированное принятие решений в отдельных случаях, включая профилирование
Вы имеете право не подвергаться решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое влечет за собой юридические последствия для вас или аналогичным образом существенно влияет на вас. Это право не действует, если решение
(1) необходимо для заключения или выполнения договора между вами и контроллером,
(2) разрешено законодательством Союза или государства-члена, которому подчиняется контроллер и которое также устанавливает соответствующие меры по защите ваших прав и свобод и законных интересов; или
(3) с вашего прямого согласия.
Однако эти решения не могут быть основаны на специальных категориях персональных данных в соответствии со ст. 9 п. 1 GDPR, если только не применяется ст. 9 п. 2 лит. a или g GDPR и не были приняты соответствующие меры для защиты прав и свобод, а также ваших законных интересов.
В случаях, указанных в пунктах (1) и (3), контроллер данных должен принять соответствующие меры для защиты ваших прав и свобод и законных интересов, по крайней мере, право на вмешательство человека со стороны контроллера, выражение своей точки зрения и оспаривание решения.
10. право на подачу жалобы в надзорный орган
Без ущерба для любых других административных или судебных средств защиты вы имеете право подать жалобу в надзорный орган, в частности, в государстве-члене ЕС по месту вашего постоянного проживания, месту работы или месту предполагаемого нарушения, если вы считаете, что обработка персональных данных, относящихся к вам, нарушает GDPR.
Надзорный орган, в который была подана жалоба, должен проинформировать заявителя о статусе и результатах рассмотрения жалобы, включая возможность судебной защиты в соответствии со ст. 78 GDPR.