Ogólne Rozporządzenie o Ochronie Danych Osobowych przyznaje użytkownikom prawo do przenoszenia danych (dalej RODO). Jak ma ono być realizowane w praktyce? Na to pytanie stara się odpowiedzieć Grupa Robocza Artykułu 29 ds. Ochrony Danych w wytycznych oraz odpowiedziach, przyjętych 13 grudnia 2016 r.
W świetle przepisów Rozporządzenia, które będą obowiązywać od 25 maja 2018 r., osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Jest to tzw. prawo do przenoszenia danych.
Dzięki prawu do przenoszenia danych, osoby uprawnione będą mogły zarządzać swoimi danymi, a także wykorzystywać je do celów prywatnych.
Jako przykład można wskazać osobę korzystającą z portalu muzycznego, która chce pozyskać zestawienie najczęściej odsłuchiwanych przez siebie utworów w celu przygotowania playlisty na wesele. Prawo to daje również możliwość przekazywania danych od jednego administratora do drugiego, dzięki czemu zmiana danego usługodawcy może stać się dużo łatwiejsza, zapobiegając tzw. efektowi uzależnienia (z ang. lock-in effect), a tym samym zwiększając konkurencję na rynku. Ponadto, skorzystanie z tego prawa powinno pozostawać bez uszczerbku dla pozostałych praw osoby, której dane dotyczą. Oznacza to, że mimo dokonania operacji przeniesienia danych, osoba udostępniająca swoje dane będzie wciąż mogła korzystać z usług danego administratora, a także z pozostałych praw przysługujących jej na mocy RODO, takich jak prawo do bycia zapomnianym, prawo dostępu do danych, czy możliwość żądania ich sprostowania.
Jakie warunki trzeba spełnić
Prawo do przenoszenia danych przysługuje wyłącznie w przypadku spełnienia następujących warunków. Po pierwsze, przetwarzanie danych musi odbywać się w sposób zautomatyzowany na podstawie zgody lub w celu wykonania umowy. Po drugie, dane, które mają być przeniesione muszą dotyczyć osoby żądającej ich przeniesienia. Zatem prawo to nie obejmuje danych anonimowych ani danych, które nie są w żaden sposób powiązane z osobą korzystającą z prawa. Niemniej jednak, w wielu sytuacjach dane dotyczą kilku osób na raz. Jako przykład można wskazać rejestry połączeń, które zawierają informacje o osobach trzecich, które brały udział w rozmowach. W takim przypadku, zgodnie z wytycznymi, administratorzy danych powinni przekazać cały zestaw danych, wraz z informacjami na temat osób trzecich, pod warunkiem, że takie działanie nie naruszy ich praw i wolności. Za naruszenie można uznać sytuację, w której na skutek przekazania danych nowemu administratorowi, dane osoby trzeciej będą przetwarzane bez odpowiedniej podstawy prawnej, na przykład w postaci zgody czy zawartej umowy. Po trzecie, dane, które mogą zostać przeniesione, muszą być dostarczone przez osobę pragnącą skorzystać z prawa do ich przeniesienia. Wytyczne Grupy Roboczej precyzują, że jako dane „dostarczone" przez konkretną osobę, należy uważać dane bezpośrednio przez nią udostępnione, przykładowo poprzez wypełnienie ankiety, a także dane, które zostały wygenerowane z obserwacji działalności tej osoby. Z kolei, dane, które są wynikiem analiz administratora danych (np. profil użytkownika), nie są postrzegane jako „dostarczone" przez wskazaną osobę, a zatem nie mogą podlegać przeniesieniu na jej wniosek.