RODO: Prawo do przenoszenia danych: Co i jak trzeba będzie przenosić

Ogólne Rozporządzenie o Ochronie Danych Osobowych przyznaje użytkownikom prawo do przenoszenia danych (dalej RODO). Jak ma ono być realizowane w praktyce? Na to pytanie stara się odpowiedzieć Grupa Robocza Artykułu 29 ds. Ochrony Danych w wytycznych oraz odpowiedziach, przyjętych 13 grudnia 2016 r.

W świetle przepisów Rozporządzenia, które będą obowiązywać od 25 maja 2018 r., osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Jest to tzw. prawo do przenoszenia danych. Dzięki prawu do przenoszenia danych, osoby uprawnione będą mogły zarządzać swoimi danymi, a także wykorzystywać je do celów prywatnych.

Jako przykład można wskazać osobę korzystającą z portalu muzycznego, która chce pozyskać zestawienie najczęściej odsłuchiwanych przez siebie utworów w celu przygotowania playlisty na wesele. Prawo to daje również możliwość przekazywania danych od jednego administratora do drugiego, dzięki czemu zmiana danego usługodawcy może stać się dużo łatwiejsza, zapobiegając tzw. efektowi uzależnienia (z ang. lock-in effect), a tym samym zwiększając konkurencję na rynku. Ponadto, skorzystanie z tego prawa powinno pozostawać bez uszczerbku dla pozostałych praw osoby, której dane dotyczą. Oznacza to, że mimo dokonania operacji przeniesienia danych, osoba udostępniająca swoje dane będzie wciąż mogła korzystać z usług danego administratora, a także z pozostałych praw przysługujących jej na mocy RODO, takich jak prawo do bycia zapomnianym, prawo dostępu do danych, czy możliwość żądania ich sprostowania.

Jakie warunki trzeba spełnić ?

Prawo do przenoszenia danych przysługuje wyłącznie w przypadku spełnienia następujących warunków. Po pierwsze, przetwarzanie danych musi odbywać się w sposób zautomatyzowany na podstawie zgody lub w celu wykonania umowy. Po drugie, dane, które mają być przeniesione muszą dotyczyć osoby żądającej ich przeniesienia. Zatem prawo to nie obejmuje danych anonimowych ani danych, które nie są w żaden sposób powiązane z osobą korzystającą z prawa. Niemniej jednak, w wielu sytuacjach dane dotyczą kilku osób na raz. Jako przykład można wskazać rejestry połączeń, które zawierają informacje o osobach trzecich, które brały udział w rozmowach. W takim przypadku, zgodnie z wytycznymi, administratorzy danych powinni przekazać cały zestaw danych, wraz z informacjami na temat osób trzecich, pod warunkiem, że takie działanie nie naruszy ich praw i wolności. Za naruszenie można uznać sytuację, w której na skutek przekazania danych nowemu administratorowi, dane osoby trzeciej będą przetwarzane bez odpowiedniej podstawy prawnej, na przykład w postaci zgody czy zawartej umowy. Po trzecie, dane, które mogą zostać przeniesione, muszą być dostarczone przez osobę pragnącą skorzystać z prawa do ich przeniesienia. Wytyczne Grupy Roboczej precyzują, że jako dane „dostarczone" przez konkretną osobę, należy uważać dane bezpośrednio przez nią udostępnione, przykładowo poprzez wypełnienie ankiety, a także dane, które zostały wygenerowane z obserwacji działalności tej osoby. Z kolei, dane, które są wynikiem analiz administratora danych (np. profil użytkownika), nie są postrzegane jako „dostarczone" przez wskazaną osobę, a zatem nie mogą podlegać przeniesieniu na jej wniosek.

W jaki sposób administrator danych ma zapewnić realizację prawa do przeniesienia danych?

Żądając przeniesienia danych, osoba, której dane są przetwarzane może chcieć je wykorzystać dla celów prywatnych lub udostępnić nowemu administratorowi, aby móc korzystać z jego usług. W celu zadośćuczynienia żądaniu osoby uprawnionej, administrator danych powinien tak dostosować swoje systemy, by umożliwić jej bezpośrednie pobranie danych na swój nośnik pamięci lub nośnik zaufanej osoby trzeciej, która miałaby przechowywać dane osobowe. Konieczne jest również opracowanie narzędzia, dzięki któremu dane mogłyby być przesyłane bezpośrednio od jednego administratora danych do drugiego. Wytyczne Grupy Roboczej wskazują również na możliwość skorzystania z tzw. API (Application Programming Interface), czyli platformy, za pośrednictwem której różne aplikacje i serwisy internetowe mogą się łączyć i wymieniać dane.

Wybór odpowiedniego formatu

Oprócz wskazania metody, jaką dane mogą być przenoszone, istotne jest również określenie ich formatu, tak by był on czytelny i umożliwiał dalsze przetwarzanie danych. Wymóg ten wcale nie oznacza, że wszyscy administratorzy będą musieli korzystać z kompatybilnych systemów. Wybór formatu będzie zależał od rodzaju danych i działalności, w której dane są przetwarzane. Ważne jest jednak, by format, w którym dane zostały przeniesione, był możliwy do odczytania i zinterpretowania przez inne systemy. Zgodnie z wytycznymi, dane dostarczone w formacie, do którego dostęp zabezpieczony jest kosztowną licencją, nie będzie spełniał wymogów RODO. Ponadto, Grupa Robocza wskazuje, że wraz z danymi, administratorzy powinni przekazywać jak najwięcej metadanych cechujących się dużym poziomem szczegółowości.