Prawo do przenoszenia danych

Brak komentarzy

konfettiRODO wprowadza nowe prawo do przenoszenia danych. Co to oznacza oraz komu i czemu ma służyć? Jakie dane mogą zostać przeniesione? Jakie nowe obowiązki spadną na administratorów?

Cel przenoszenia

Nowe uprawnienie ułatwia przenoszenie danych od jednego usługodawcy do drugiego. W jaki sposób? Zapewniając możliwość pozyskania zestawienia danych dotyczących naszej osoby w odpowiednim formacie (w postaci pliku nadającego się do odczytu komputerowego) i ich ponownego wykorzystania.

Głównym celem nowego prawa jest przyznanie osobie, której dane dotyczą większej kontroli nad zbieranymi o niej informacjami. Jednocześnie prawo do przenoszenia danych ma zwiększyć konkurencyjność wśród dostawców usług (zwłaszcza w obszarach nowych technologii) oraz wspierać swobodny i bezpieczny przepływ danych w UE.

Jakiego przetwarzania dotyczy?

Zgodnie z art. 20 RODO, realizacja prawa dotyczy tylko tych danych, które osoba dostarczyła administratorowi a ich przetwarzanie odbywa się:

  • na podstawie zgody osoby, której dane dotyczą lub na podstawie umowy której stroną jest ta osoba oraz w sposób zautomatyzowany (czyli nie obejmuje zbiorów papierowych).

Nie możemy wiec mówić o istnieniu ogólnego prawa do przenoszenia danych! Nowe uprawnienie dotyczy wyłącznie przetwarzania, które odbywa się w sposób zautomatyzowany albo na podstawie zgody lub umowy.

Przykład: Przenoszenie danych nie będzie miało zastosowania w odniesieniu do przetwarzania, którym jest wykonywanie zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Tak samo będzie w sytuacji, gdy administrator przetwarza dane wywiązując się z ciążącego na nim obowiązku prawnego. W takich przypadkach administratorzy nie mają obowiązku zapewnienia realizacji tego uprawnienia. Niemniej dobrą praktyką będzie odpowiadanie na wnioski o przenoszenie danych z poszanowaniem obowiązujących w tym zakresie reguł.

Jakie dane można przenosić?

Jeśli chodzi o samą istotę rodzaju danych, co do których przysługuje prawo przeniesienia, to muszą one dotyczyć danej osoby oraz muszą być dostarczone przez daną osobę.

Dane, które dotyczą danej osoby to informacje, na podstawie których można zidentyfikować ta osobę. W zakres ten nie wejdą dane anonimowe czy dane dotyczące innych osób. Natomiast mogą się w nim mieścić dane poddane pseudonimizacji, które można powiązać z konkretną osobą.

Danymi dostarczonymi przez osobę będą: adres zamieszkania, wiek, nazwa użytkownika itp. Nie będą to dane, które administrator sam wygenerował poprzez stworzenie profilu użytkownika za pomocą tzw. danych surowych zebranych przez inteligentne oprogramowanie (dane lokalizacyjne, historia wyszukiwania osoby) czy też dane wywnioskowane przez administratora na podstawie danych podanych przez daną osobę (np. zdolność kredytowa).

*Pewne wątpliwości mogą się zrodzić w odniesieniu do danych dostarczanych przez użytkownika przy pomocy środków technicznych dostarczanych przez administratora. Jednakże, zgodnie z wytycznymi do rozporządzenia, dane dostarczane podczas użytkowania aplikacji, nawet jeśli nie są przesyłane świadomie i aktywnie, również powinny być uznane za przekazane przez tę osobę. Jako przykład wskazano aplikację rejestrującą tętno i technologię służącą do śledzenia zachowań użytkowników w sieci.

Poszanowanie praw innych osób

Ciekawa sytuacja będzie w przypadku, gdy prawem do przeniesienia będą objęte dane dotyczące rejestru połączeń telefonicznych. Mogą one przecież zawierać numery innych osób, jednocześnie stanowiąc historię konta abonenta z danymi kwalifikującymi się do prawa przeniesienia. Podobnie będzie w sytuacji przeniesienia danych posiadacza rachunku bankowego, które mogą zawierać informacje o transakcjach dokonanych przez inne osoby (np. dokonane wpłaty na rzecz użytkownika rachunku). Rodzi się wiec pytanie: czy skoro mamy do czynienia z danymi innych osób możemy realizować prawo do przeniesienia danych?

W takiej sytuacji w ochronie danych osób trzecich stoi kolejny fragment art. 20 RODO, mówiący o tym, że prawo do przenoszenia nie może niekorzystnie wpływać na prawa i wolności innych osób. Oznacza to, że w związku z realizacją wniosku o przeniesienie danych nowy administrator, który pozyska dodatkowo informacje o innych osobach, nie może przetwarzać tych danych z naruszeniem ich praw.

Przykład: Przy przeniesieniu zbioru danych zawierajacych rejestry połączeń telefonicznych (zwierającego się w historii konta abonenta) nowy administrator nie może przetwarzać danych osobowych naszych kontaktów w celach marketingowych. W przeciwnym wypadku takie przetwarzanie będzie niezgodne z prawem. Aby uniknąć w tej kwestii ewentualnych zagrożeń administratorzy powinni opracować odpowiednie narzędzia, które umożliwiłyby dokonanie wyboru danych, które mają być przeniesione.

Prawo do przeniesienia danych nie powinno również służyć niewłaściwemu wykorzystywaniu informacji, które można zakwalifikować jako nierzetelną praktykę lub naruszenie praw własności intelektualnej. Zatem forma przekazania danych nie powinna ujawnia informacji objętych tajemnica handlową lub prawami własności intelektualnej.

Realizacja prawa do przeniesienia

Uprawnienie to może być realizowane poprzez:

  • pozyskanie od administratora kopii danych w postaci „formatu nadającego się do odczytu maszynowego” i ewentualne przesłanie ich innemu administratorowi (np. usługodawcy).

Oznacza to, że po otrzymaniu kopi swoich danych osoba, której dane dotyczą sama nimi zarządza i decyduje o ponownym wykorzystaniu.

  • skorzystanie z prawa do żądania, by administrator przesłał nasze dane osobowe innemu administratorowi.

Przekazanie danych przez dotychczasowego administratora nowemu administratorowi w sposób bezpośredni jest możliwe, gdy istnieją ku temu odpowiednie warunki techniczne.

Jeśli chodzi o definicję „formatu nadającego się do odczytu maszynowego”, to zależy ona od rodzaju danych będących przedmiotem wniosku o przeniesienie. Każdorazowo przy wyborze formatu danych, administrator powinien uwzględnić, jak format ten może wpłynąć na prawo osoby do ponownego wykorzystywania danych lub jak może to prawo ograniczyć. Najodpowiedniejszy format może być rożny dla poszczególnych sektorów. Dla jednych plik PDF będzie wystarczającym formatem, a dla innych ten format nie zachowa wszystkich metadanych, które umożliwiłyby ich ponowne wykorzystanie.

Co ważne, przenoszenie danych nie powoduje automatycznie usunięcia danych z systemów administratora danych. Osoba, której dane dotyczą może nadal korzystać z usług administratora, mimo że dokonała operacji przeniesienia danych.

Obowiązki administratora

Nowe prawo rodzi po stronie administratorów danych osobowych nowe obowiązki. Muszą oni bowiem informować osoby, których dane dotyczą, o możliwości skorzystania z prawa przeniesienia danych. Informacja ta powinna zostać przekazana w sposób jasny, zrozumiały i niebudzący wątpliwości. Istotne będzie wyjaśnienie różnicy między rodzajami danych, które osoba może otrzymać na podstawie prawa do przeniesienia oraz prawa dostępu do danych.

Przekazanie danych powinno nastąpić „bez zbędnej zwłoki”. A w każdym razie „w terminie miesiąca od otrzymania żądania”. W przypadku skomplikowanych spraw  – maksymalnie w ciągu trzech miesięcy, pod warunkiem, wcześniejszego (w terminie miesiąca od otrzymania żądania) poinformowania osoby o przyczynach opóźnienia.

Co więcej, artykuł 12 RODO zakazuje administratorowi danych pobierania opłat za przekazanie danych osobowych. Wyjątkiem jest sytuacja, gdy administrator danych wykaże, że żądania są ewidentnie nieuzasadnione lub nadmierne.

Administratorzy danych zobligowani są również do zagwarantowania odpowiedniego bezpieczeństwa danych osobowych. W tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, przy pomocy odpowiednich środków technicznych lub organizacyjnych. Np. poprzez odpowiednie zastosowanie szyfrowania lub uwierzytelniania.

W ramach dobrej praktyki administratorzy danych powinni przygotować swoje systemy informatyczne do szybkiego odpowiadania na prośby osób o przenoszenie danych osobowych.

Podsumowanie

Prawo do przeniesienia danych ma usprawnić możliwość przeniesienia danych osobowych z jednego środowiska IT do drugiego. Bez uciążliwości dla osoby, której dane dotyczą i zapewnieniem odpowiednich środków bezpieczeństwa. Chociaż przeniesienie jest nowym prawem, to pewna praktyka w ty obszarze już istnieje. Dotyczy chociażby przenoszenia numerów telefonów w sieciach komórkowych, czy korzystania z usług roamingu. Z pewnością dla niektórych administratorów danych dość karkołomnym zadaniem będzie dokonanie oceny, czy dane będące przedmiotem wniosku o ich przeniesienie mieszczą się w kategorii danych „przekazanych przez osobę, której dane dotyczą”, czy też należą do „danych wywnioskowanych lub wywiedzionych”. I tak, jak się to ma w przypadku wielu nowych mechanizmów w zakresie ochrony danych, właściwe rozwiązania przyniesie praktyka stosowania przepisów.

Źródła

Rozporządzenie z dnia 27 kwietnia 2016 r. (RODO)

Wytyczne Grupy Art. 29 dotyczące ogólnego rozporządzenia o ochronie danych