Prawo do przenoszenia danych
Możliwość przeniesienia danych osobowych w formacie nadającym się do odczytu maszynowego to jedno, z całego katalogu praw, przyznanych osobie, której dane dotyczą na mocy ogólnego rozporządzenia o ochronie danych (RODO). Kogo dotyczy prawo? Jakie są ograniczenia? Jak realizować je w praktyce? Te i inne kwestie związane z prawem do przenoszenia danych zostaną poruszone w artykule.
Prawo do przenoszenia danych – artykuł 20 RODO
Regulacje w zakresie prawa do przenoszenia danych zostały wskazane w art. 20 ogólnego rozporządzenia o ochronie danych (RODO). Jak czytamy ww. artykule niniejszego rozporządzenia "osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczone te dane..."
W praktyce oznacza to to, że administrator w określonych okolicznościach ma obowiązek przekazać osobie dane, które jej dotyczą, a które uprzednio od niej otrzymał. Nie zawsze ma jednak obowiązek przekazać je innemu administratorowi. Wszystko zależy od techniczny rozwiązań stosowanych przez administratorów.
Co to jest prawo do przenoszenia danych?
Prawo do przenoszenia danych zostało wprowadzone w odpowiedzi na zmieniające się realia rynkowe, w celu udzielenia osobie, której dane dotyczą zwiększonej kontroli nad swoimi danymi w ramach zautomatyzowanego przetwarzania danych, m.in. poprzez możliwość otrzymania danych w powszechnie używanym formacie nadającym się do odczytu maszynowego, które zgromadził o niej konkretny administrator. Na mocy tego przepisu administrator ma prawo na polecenie osoby, której te dane dotyczą przesłać dane do innego administratora, a ten jest uprawniony do otrzymania danych osobowych. Mając na uwadze tę komunikację pomiędzy administratorami, regulator wprost wskazuje, że należy zachęcać administratorów do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych pomiędzy nimi, tak aby ułatwić tym samym realizację powyższego prawa.
Co ważne skorzystanie z prawa przeniesienia danych bezpośrednio do innego administratora nie jest jednoznaczne z usunięciem tych danych. Pierwotny administrator może je nadal przetwarzać, o ile posiada podstawę prawną. Z drugiej jednak strony nie może on wykorzystywać faktu, przenoszenia danych jako powodu opóźnienia lub odmowy realizacji prawa do usunięcia danych (o ile taki wpłynie). Prawo żądania usunięcia danych osobowych może być ograniczone jedynie wówczas, kiedy są niezbędne do wykonania zadania realizowane w zakresie sprawowania przez administratora władzy publicznej.
Prawo do przenoszenia danych – ograniczenia
Prawo do przenoszenia danych ma pewne ograniczenia. Należy mieć na uwadze, że dotyczy ono tylko danych, które osoba dostarczyła administratorowi. Kolejna kwestia to podstawa prawna, na jakiej administrator zgromadził i przetwarza te dane. Rzeczone prawo ma zastosowanie wówczas kiedy osoba, której dane dotyczą, dostarczyła administratorowi dane osobowe za własną zgodą (dotyczy danych przetwarzanych na podstawie zgody (przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit a RODO) lub gdy przetwarzanie jest niezbędne do wykonania umowy (przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. b RODO).
Istotny jest również charakter przetwarzania danych. Co oznacza, że prawo może zostać zrealizowane pod warunkiem, że przetwarzanie odbywa się w sposób zautomatyzowany. Oznacza to, że omawiane prawo nie obejmuje tzw. zbiorów papierowych. Administrator nie ma obowiązku digitalizować danych przetwarzanych, np. ręcznie tylko w celu realizacji tego prawa. Narzucenie administratorowi takiego obowiązku mogłoby prowadzić do nadmiernego obciążenia administratorów.
Prawo do przenoszenia danych – kiedy nie przysługuje
Prawo do przenoszenia danych nie obejmuje wszystkich danych, które przetwarza administrator. Zgodnie ze stanowiskiem Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, omawiane prawo nie dotyczy danych wywiedzionych i wywnioskowanych przez administratora (np. danych uzyskanych przez profilowanie). Prawo do przenoszenia danych dotyczy bowiem danych:
- dostarczonych przez osobę, której one dotyczą, czyli takich, które zostały świadomie i aktywnie przekazane przez osobę do administratorów danych,
- zaobserwowanych przez administratorów danych w związku z korzystanie z usług lub urządzeń przez osobę, której dane dotyczą.
Z uwagi na specyficzny charakter, prawa do przenoszenia danych nie powinno się wykonywać w stosunku do administratorów przetwarzających dane osobowe w ramach wykonywania obowiązków publicznych, w tym, gdy przetwarzanie danych osobowych jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator (zgodnie z art. 6 ust. 1 lit. c RODO), lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi (zgodnie art. 6 ust. 1 lit. d RODO).
Co więcej, ogólne rozporządzenie o ochronie danych w motywie 68 RODO wskazuje, że realizacja prawa do przenoszenia danych nie powinna nakładać na administratorów obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania. Nie powinno to również niekorzystnie wpływać na prawa osoby trzeciej, w tym powodować uszczerbku dla ich praw i wolności, jeżeli określony zestaw danych osobowych odnosi się do więcej niż jednej osoby, której dane dotyczą. W praktyce oznacza to to, że wolności innych zostaną naruszone np. jeżeli administrator, któremu dostarczono dane, wykorzysta je do innych celów, np. komunikacji czy uzupełnienia własnej bazy o dane innych użytkowników (jeżeli to nie oni zgłosili chęć skorzystania z prawa).
Prawo do przenoszenia danych podobnie jak np. prawo do ich sprostowania czy usunięcia może nie zostać wykonane, pomimo że żądanie osoby wpłynie do administratora danych, jeżeli jest to niezbędne i proporcjonalne, by zapewnić bezpieczeństwo publiczne, w tym ochronę życia ludzkiego, np, w ramach reakcji na klęski żywiołowe lub katastrofy spowodowane przez człowieka (zapobieganie przestępczości, ściganie czynów zabronionych, wykonywanie kary).
Prawo do przenoszenia danych - do kogo kierować
Wszystkie wnioski o realizację praw zarówno w zakresie danych zwykłych, jak i szczególnych kategorii danych wskazane w niniejszym rozporządzeniu należy kierować do administratora danych za pośrednictwem danych kontaktowych wskazanych w obowiązkach informacyjnych. Tak też jest w przypadku prawa do przenoszenia danych.
Przyjętą praktyką jest składanie wniosków do inspektora ochrony danych, jeżeli taki został wyznaczony w danej firmie. Jest to najprostszy sposób, ponieważ każdy z administratorów danych ma obowiązek zamieścić na stronie administratora dane kontaktowe do inspektora ochrony danych. Administrator, wykonując prawo, zobowiązany jest do rzetelnej identyfikacji osoby, składającej wniosek i nie ma obowiązku prawnego wykonania żądania, jeżeli nie posiada pewności, że osoba, która składa wniosek ma prawo otrzymania swoich danych osobowych w formacie możliwym do odczytu maszynowego.
Zarówno art. 15, jak i 20 niniejszego rozporządzenia dotyczą prawa dostępu do danych przetwarzanych przez administratora. Podstawową różnicą jest jednak forma, w jakiej osoba, dostarczyła danych osobowych, otrzyma je ponownie od administratorów przetwarzających dane osobowe. W przypadku prawa do przenoszenia danych mówimy o ustrukturyzowanym powszechnie używanym formacie nadającym się do odczytu maszynowego, co ma również ułatwić proces Takiego wymogu, nie ma w przypadku uzyskania dostępu do danych na mocy art. 15 RODO. Tu administrator ma pełną dowolność, w jakiej formie przekaże dane osobowe osobie, której one dotyczą. Co więcej, w przypadku przenoszenia danych, administrator bez uszczerbku dla praw i wolności osoby fizycznej może przekazać dane osobowe innemu administratorowi, jeżeli osoba, która dane dotyczą, wyraziła taką chęć.
Kolejna różnica to taka, że prawo dostępu do danych obowiązuje każdego administratora, również tego, który przetwarza dane w ramach sprawowania władzy publicznej. Nie ma także znaczenia podstawa prawna, na jakiej dane przetwarzane są przez danego administratora i czy dane osobowe zostały przesłane, przez osobę której one dotyczą, czy dostarczone w inny sposób.
Realizacja prawa do przenoszenia danych - wskazówki
W jaki sposób skutecznie, efektywnie, a co najważniejsze zgodnie z prawem zrealizować prawo do przenoszenia danych — poniżej kilka wskazówek.
Procedura realizacji praw osób
Dobrze opracowana procedura wewnętrzne — wewnętrzne procedura to podstawa powtarzalnego i zgodnego z prawem działania; powinna być ona drogowskazem dla osób zaangażowanych w proces, warto określić w niej takie elementy jak sposób weryfikacji tożsamości osoby, której dane dotyczą, metody przygotowania i przekazywania danych (odpowiednie dla danego żądania), środki bezpieczeństwa, sposób komunikacji z osobą, której dane dotyczą, odpowiedzialności poszczególnych osób biorących udział w realizacji, maksymalne terminy realizacji oraz zakres działań koniecznych lub możliwych do podjęcia w celu zapobiegania typowym problemom, np. duża objętość danych.
Weryfikacja osoby, która zgłasza żądanie
Wypracowane metody weryfikacji tożsamości osoby składającej żądanie — administrator przed przystąpieniem do żądanych działań, w celu minimalizacji ryzyka naruszenia praw i wolności osób trzecich, musi być pewien, że osoba, która składa żądanie, jest właścicielem danych, których to żądanie dotyczy (zgodnie z art. 12 RODO administrator danych może odmówić realizacji prawa, jeżeli nie jest w stanie jednoznacznie zidentyfikować osoby, której dane dotyczą); najczęściej identyfikacja opiera się na porównaniu danych dostarczonych przez osobę, której dane dotyczą z danymi zawartymi w bazie danych administratora (do weryfikacji mogą być wykorzystane również takie dane jak hasło i login); techniki powinny być dostosowane do charakteru działalności administratora oraz kategorii danych.
Komunikacja
Odpowiednia forma komunikacji — zgodnie z ogólnym rozporządzeniem o ochronie danych komunikacja z osobą, której dane dotyczą i wszystkie informacje, które administrator przekazuje, powinny być sformułowane w zwięzłej, przejrzystej i zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Należy zadbać o odpowiedni i niezawodny kanał komunikacji dostosowany do danej osoby, której dane dotyczą.
Budowa systemu z uwzględnieniem aspektów ochrony danych — projektowanie od samego początku rozwiązań (aplikacji, programów, baz danych) umożliwiających przenoszenie danych i wysłanie je zarówno do osoby, której dane dotyczą, jak i od jednego administratora bezpośrednio innemu administratorowi.
Gdy otrzymujesz dane objęte prawem do przenoszenia
Uzyskanie dostępu do danych osobowych, czy to na skutek dobrowolnego ich przekazania przez osobę, której one dotyczą, czy też otrzymane od innego administratora na skutek dyspozycji osoby, której one dotyczą, musi być zgodne z prawem.
Zgodnie z artykułem 5 RODO dane muszę być zbierane w konkretnych, wyraźnie i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Muszą być również adekwatne, stosowane oraz ograniczone do tego, co niezbędne do celów, których są przetwarzane.
Przenoszenie danych może zatem wiązać się z ryzykiem uzyskania danych nadmiarowych, co do których administrator nie ma podstaw prawnych przetwarzania. W takiej sytuacji musi on zapewnić, że dane osobowe zostały usunięte.
Administrator, który uzyskał dane, nie ma obowiązku prowadzenia ewidencji takiego przepływu danych. Wskazane jest jednak dokumentowanie powyższych kwestii w celu zachowania transparentności przetwarzania danych oraz rozliczalności na wypadek m.in. kontroli urzędowych.
Warto zapamiętać
Prawo żądania przenoszenia dotyczy danych zebranych w oparciu o zgodę osoby, której one dotyczą lub danych przetwarzanych na podstawie umowy zawartej między administratorem a tą osobą.
Co więcej, dane muszą być przetwarzane w sposób zautomatyzowany, tak aby osoba, której one dotyczą, otrzymała je w ustrukturyzowanym powszechnie używanym formacie. Realizacja prawa nie może niekorzystnie wpływać na wolności innych.