Prawo do przenoszenia danych osobowych

Dzięki prawu do przenoszenia danych, osoby uprawnione będą mogły zarządzać informacjami o sobie, a także wykorzystywać je do celów prywatnych.

Publikacja: 24.02.2017 05:50

Prawo do przenoszenia danych osobowych

Foto: 123RF

Ogólne Rozporządzenie o Ochronie Danych Osobowych przyznaje użytkownikom prawo do przenoszenia danych (dalej RODO). Jak ma ono być realizowane w praktyce? Na to pytanie stara się odpowiedzieć Grupa Robocza Artykułu 29 ds. Ochrony Danych w wytycznych oraz odpowiedziach, przyjętych 13 grudnia 2016 r.

W świetle przepisów Rozporządzenia, które będą obowiązywać od 25 maja 2018 r., osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Jest to tzw. prawo do przenoszenia danych.

Dzięki prawu do przenoszenia danych, osoby uprawnione będą mogły zarządzać swoimi danymi, a także wykorzystywać je do celów prywatnych.

Jako przykład można wskazać osobę korzystającą z portalu muzycznego, która chce pozyskać zestawienie najczęściej odsłuchiwanych przez siebie utworów w celu przygotowania playlisty na wesele. Prawo to daje również możliwość przekazywania danych od jednego administratora do drugiego, dzięki czemu zmiana danego usługodawcy może stać się dużo łatwiejsza, zapobiegając tzw. efektowi uzależnienia (z ang. lock-in effect), a tym samym zwiększając konkurencję na rynku. Ponadto, skorzystanie z tego prawa powinno pozostawać bez uszczerbku dla pozostałych praw osoby, której dane dotyczą. Oznacza to, że mimo dokonania operacji przeniesienia danych, osoba udostępniająca swoje dane będzie wciąż mogła korzystać z usług danego administratora, a także z pozostałych praw przysługujących jej na mocy RODO, takich jak prawo do bycia zapomnianym, prawo dostępu do danych, czy możliwość żądania ich sprostowania.

Jakie warunki trzeba spełnić

Prawo do przenoszenia danych przysługuje wyłącznie w przypadku spełnienia następujących warunków. Po pierwsze, przetwarzanie danych musi odbywać się w sposób zautomatyzowany na podstawie zgody lub w celu wykonania umowy. Po drugie, dane, które mają być przeniesione muszą dotyczyć osoby żądającej ich przeniesienia. Zatem prawo to nie obejmuje danych anonimowych ani danych, które nie są w żaden sposób powiązane z osobą korzystającą z prawa. Niemniej jednak, w wielu sytuacjach dane dotyczą kilku osób na raz. Jako przykład można wskazać rejestry połączeń, które zawierają informacje o osobach trzecich, które brały udział w rozmowach. W takim przypadku, zgodnie z wytycznymi, administratorzy danych powinni przekazać cały zestaw danych, wraz z informacjami na temat osób trzecich, pod warunkiem, że takie działanie nie naruszy ich praw i wolności. Za naruszenie można uznać sytuację, w której na skutek przekazania danych nowemu administratorowi, dane osoby trzeciej będą przetwarzane bez odpowiedniej podstawy prawnej, na przykład w postaci zgody czy zawartej umowy. Po trzecie, dane, które mogą zostać przeniesione, muszą być dostarczone przez osobę pragnącą skorzystać z prawa do ich przeniesienia. Wytyczne Grupy Roboczej precyzują, że jako dane „dostarczone" przez konkretną osobę, należy uważać dane bezpośrednio przez nią udostępnione, przykładowo poprzez wypełnienie ankiety, a także dane, które zostały wygenerowane z obserwacji działalności tej osoby. Z kolei, dane, które są wynikiem analiz administratora danych (np. profil użytkownika), nie są postrzegane jako „dostarczone" przez wskazaną osobę, a zatem nie mogą podlegać przeniesieniu na jej wniosek.

W jaki sposób administrator danych ma zapewnić realizację prawa do przeniesienia danych?

Żądając przeniesienia danych, osoba, której dane są przetwarzane może chcieć je wykorzystać dla celów prywatnych lub udostępnić nowemu administratorowi, aby móc korzystać z jego usług. W celu zadośćuczynienia żądaniu osoby uprawnionej, administrator danych powinien tak dostosować swoje systemy, by umożliwić jej bezpośrednie pobranie danych na swój nośnik pamięci lub nośnik zaufanej osoby trzeciej, która miałaby przechowywać dane osobowe. Konieczne jest również opracowanie narzędzia, dzięki któremu dane mogłyby być przesyłane bezpośrednio od jednego administratora danych do drugiego. Wytyczne Grupy Roboczej wskazują również na możliwość skorzystania z tzw. API (Application Programming Interface), czyli platformy, za pośrednictwem której różne aplikacje i serwisy internetowe mogą się łączyć i wymieniać dane.

Wybór odpowiedniego formatu

Oprócz wskazania metody, jaką dane mogą być przenoszone, istotne jest również określenie ich formatu, tak by był on czytelny i umożliwiał dalsze przetwarzanie danych. Wymóg ten wcale nie oznacza, że wszyscy administratorzy będą musieli korzystać z kompatybilnych systemów. Wybór formatu będzie zależał od rodzaju danych i działalności, w której dane są przetwarzane. Ważne jest jednak, by format, w którym dane zostały przeniesione, był możliwy do odczytania i zinterpretowania przez inne systemy. Zgodnie z wytycznymi, dane dostarczone w formacie, do którego dostęp zabezpieczony jest kosztowną licencją, nie będzie spełniał wymogów RODO. Ponadto, Grupa Robocza wskazuje, że wraz z danymi, administratorzy powinni przekazywać jak najwięcej metadanych cechujących się dużym poziomem szczegółowości.

Zdaniem autorek

Katarzyna Sawicka, Associate, Deloitte Legal

Agata Jankowska-Galińska, Managing Associate, Deloitte Legal

Zapewnienie prawidłowej realizacji prawa do przenoszenia danych będzie wymagało od administratorów odpowiedniego dostosowania danych podlegających przenoszeniu, co z kolei będzie wiązało się z koniecznością ponownego przetworzenia danych. Administratorzy będą musieli po pierwsze wyselekcjonować odpowiedni dane ze swoich systemów, a następnie oczyścić je z danych, które nie podlegają przenoszeniu, takich jak hasła, dane biometryczne czy dane dotyczące płatności. Ponadto, administratorzy będą musieli wprowadzić odpowiednie procedury autentyfikacji osób, które żądają przeniesienia swoich danych, aby zapewnić, że trafiają one do rąk osoby uprawnionej.

Administratorzy danych mają również obowiązek informować osoby, których dane są przetwarzane o przysługujących im prawach i sposobach korzystania z nich. W przypadku prawa do przenoszenia danych, wytyczne wskazują, że udostępnione informacje powinny wskazywać, jakie dane i w jaki sposób mogą zostać przeniesione. Osoba uprawniona powinna mieć również świadomość, że przed zamknięciem konta może odzyskać wszystkie swoje dane i przechowywać je na prywatnym nośniku danych.

Ogólne Rozporządzenie o Ochronie Danych Osobowych przyznaje użytkownikom prawo do przenoszenia danych (dalej RODO). Jak ma ono być realizowane w praktyce? Na to pytanie stara się odpowiedzieć Grupa Robocza Artykułu 29 ds. Ochrony Danych w wytycznych oraz odpowiedziach, przyjętych 13 grudnia 2016 r.

W świetle przepisów Rozporządzenia, które będą obowiązywać od 25 maja 2018 r., osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Jest to tzw. prawo do przenoszenia danych.

Pozostało 91% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawnicy
Awans prokuratora szykanowanego za Ziobry i Święczkowskiego
Prawo karne
Prokuratura przeszukała dom Zbigniewa Ziobry. "Okien nie wybijano"
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe