Субъект персональных данных (далее — субъект) наделен широким кругом прав. И это не случайно. Ведь субъект должен иметь действенный арсенал возможностей для контроля и своевременного реагирования на обработку принадлежащих ему персональных данных.
Основные права субъекта закреплены в ст. 10‒13 и 15 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).
Право на отзыв согласия
Отзыв согласия — одно из прав субъекта, означающее прекращение права оператора обрабатывать персональные данные, если у него нет иных правовых оснований для обработки. Иными словами, отзыв согласия возможен только в том случае, если обработка персональных данных осуществлялась на основании согласия.
Справочно: субъект может в любой момент без объяснения причин отозвать данное им согласие в отношении одной или нескольких целей обработки. При этом в отношении оставшихся целей обработка будет продолжаться.
На практике бывают ситуации, когда оператор неверно или ошибочно отбирает согласие в качестве правового основания обработки. Следовательно, при получении заявления об отзыве согласия следует проверить, действительно ли персональные данные субъекта должны были обрабатываться на основании согласия либо обработка должна была осуществляться на иных основаниях, предусмотренных ст. 6 или п. 2 ст. 8 Закона. Если обработка должна была осуществляться на иных правовых основаниях, но при этом имели место нарушения, то защита прав субъекта осуществляется посредством реализации права на прекращение обработки персональных данных. При отзыве согласия субъект полностью налагает
запрет на обработку его персональных данных в соответствии с целями такой обработки, и оператор лишается возможности в дальнейшем совершать какие-либо действия с персональными данными.
В связи с отзывом согласия у учреждения образования возникает корреспондирующая этому праву обязанность прекратить обработку персональных данных, осуществить их удаление (блокирование) и уведомить об этом субъекта, если отсутствуют иные основания обработки персональных данных, предусмотренные Законом и иными законодательными актами.
Справочно: законодателем для реализации права на отзыв согласия предусмотрен 15‑дневный срок, в течение которого оператор должен проверить наличие иных оснований для обработки персональных данных, удостовериться в их отсутствии, прекратить обработку персональных данных, удалить их и уведомить об этом субъекта.
Если обработка персональных данных осуществляется уполномоченным лицом, оператор должен обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом, что вытекает из ст. 16 Закона.
Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных
Это одно из ключевых прав субъекта персональных данных. Оно означает, по сути, право субъекта на доступ к информации об обработке его персональных данных конкретным оператором в объеме, определенном законодателем и указанном в п. 1 ст. 11 Закона. При этом в п. 3 ст. 11 Закона установлены случаи, когда информация, касающаяся обработки персональных данных субъекта, не предоставляется.
Справочно: необходимо обратить внимание, что предоставить субъекту информацию об обработке его персональных данных оператор обязан в течение пяти рабочих дней после получения соответствующего заявления субъекта, если иной срок не установлен законодательными актами.
Учреждение образования обязано предоставить субъекту в доступной форме информацию, касающуюся обработки персональных данных, либо уведомить его о причинах отказа в ее предоставлении.
Субъект вправе требовать от оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. Указанное право вытекает из принципа достоверности обработки персональных данных.
Право на получение информации о предоставлении своих персональных данных третьим лицам
Предоставление такой информации субъекту направлено на реализацию принципа прозрачности обработки персональных данных.
Данное право может быть реализовано один раз в календарный год, предоставление соответствующей информации осуществляется бесплатно.
Учреждение образования обязано в 15‑дневный срок после получения заявления субъекта предоставить ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить субъекта о причинах отказа в ее предоставлении. При этом указанию подлежат конкретные персональные данные, а также конкретные организации, которым такие данные предоставлялись.
Для реализации субъектом данного права учреждению образования необходимо обеспечить учет фактов передачи персональных данных третьим лицам.
Информация о предоставлении персональных данных третьим лицам может не предоставляться в случаях, предусмотренных п. 3 ст. 11 и п. 2 ст. 12 Закона.
Право требовать прекращения обработки персональных данных и (или) их удаления
Данное право может быть реализовано в отношении персональных данных, если:
- они были незаконно получены;
- истек установленный срок их хранения;
- отсутствуют правовые основания для их обработки;
- отдельные персональные данные не являются необходимыми для заявленной цели обработки.
Учреждение образования при отсутствии оснований для обработки персональных данных обязано в 15‑дневный срок после получения заявления субъекта обеспечить прекращение обработки персональных данных и их удаление уполномоченным лицом и уведомить об этом субъекта.
При отсутствии технической возможности удаления персональных данных учреждение образования обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта в тот же срок.
Пунктом 3 ст. 13 Закона установлено право оператора отказать субъекту в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами. Например, если персональные данные субъекта необходимы оператору для выполнения требований о хранении документов, предусмотренных Законом Республики Беларусь от 25.11.2011 № 323-З «Об архивном деле и делопроизводстве в Республике Беларусь» и принятым в его развитие постановлением Министерства юстиции Республики Беларусь от 24.05.2012 № 140 «О перечне типовых документов Национального архивного фонда Республики Беларусь», то оператор не может прекратить обработку персональных данных и (или) удалить их по требованию субъекта, поскольку есть правовое основание для их обработки.
Указанное право субъекта может быть реализовано в порядке, предусмотренном ст. 14 Закона, по его заявлению. Корреспондирующей обязанностью оператора является рассмотрение заявления в 15‑дневный срок (пятидневный — для реализации права субъекта на получение информации, касающейся обработки персональных данных) и реализация указанного в нем права. В случае, если реализовать данное право не представляется возможным, оператор в этот же срок уведомляет субъекта об этом.
Право на обжалование действия (бездействия) и решения оператора в уполномоченный орган
Правом подачи жалобы обладает субъект, чьи права были нарушены учреждением образования. Органом по защите прав субъектов, уполномоченным на рассмотрение жалоб, является Национальный центр защиты персональных данных.
Право на возмещение морального вреда, причиненного вследствие нарушения прав субъекта
Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом убытков.
Компенсация морального вреда осуществляется в соответствии с гражданским и гражданским процессуальным законодательством.