Уполномоченным Верховной Рады по правам человека разъяснено, как применять Типовой порядок обработки персональных данных, утвержденный приказом от 8 января 2014 года № 1/02-14. В частности, указано на недопустимость получения согласия лица на обработку непропорционально большого количества его персональных данных. Разъяснено, что даже если лицо дало согласие на обработку данных, часть из которых по своей сути не нужна для достижения поставленной цели, такая обработка будет рассматриваться как непропорциональная и составит нарушение законодательства о защите персональных данных. Также недопустимо обусловливать реализацию законодательно установленных прав предоставлением лицом согласия на обработку его персональных данных.
Лицо, давшее согласие на обработку свих персональных данных, имеет право:
- изменить свои персональные данные. В частности, только само лицо может инициировать процесс изменения имени, фамилии, адреса проживания и т.п. Ни один владелец или распорядитель персональных данных не может влиять на персональные данные лица или изменять их по своему усмотрению;
- осуществлять контроль за процессом их обработки: с разумной периодичностью обращаться к владельцу, осуществляющему обработку, и получать необходимую информацию;
- в случае обнаружения каких-либо неточностей - обратиться с требованием внести соответствующие изменения в данные или обратиться с жалобой к Уполномоченному или в суд;
- в любой момент отозвать согласие на обработку своих персональных данных. В таком случае владелец должен прекратить обработку, то есть уничтожить или удалить персональные данные лица, отозвавшего свое согласие.
Омбудсман разъяснила, что прежде, чем давать согласие на обработку персональных данных, необходимо получить ответы на такие вопросы:
1. Кто будет обрабатывать персональные данные? (название владельца персональных данных, его адрес, контактные телефоны и т.д.).
2. С какой целью будут обрабатываться персональные данные? (цель должна быть сформулирована четко и понятно).
3. Какие персональные данные будут обрабатываться? (конкретный исчерпывающий перечень персональных данных лица, которые планируется обрабатывать).
4. Какие действия с персональными данными предусматривает их обработка? (сбор, хранение, передача, обнародование, обезличивание и т.д.).
5. Кто является распорядителем персональных данных? Какие права и полномочия распорядителя по обработке персональных данных?
6. Кому могут быть переданы персональные данные? С какой целью? На каких основаниях?
7. Сколько времени персональные данные будут храниться у владельца?
8. На каких условиях лицо может отозвать согласие на обработку персональных данных и какие последствия такого действия?
В форме предоставления согласия на обработку персональных данных предусматрено, что согласие дается на срок, необходимый для достижения указанных владельцем целей, и может быть отозвано по заявлению, направленному владельцу.