Prawo do przenoszalności danych według RODO

Zupełnie nowym prawem każdego z nas, które gwarantuje nam unijne rozporządzenie (RODO), będzie prawo do przenoszenia danych.

Dzięki niemu w określonych sytuacjach będziemy mieli możliwość otrzymywania od administratora dotyczących nas danych, które sami mu dostarczyliśmy, a także możliwość przesyłania tych danych osobowych innemu administratorowi. Co więcej, prawo do przenoszenia danych pozwala również na bezpośrednie przekazywanie danych osobowych od jednego administratora do innego.


Uprawnienia osób, których dane dotyczą, według RODO

Każda osoba powinna mieć kontrolę nad dotyczącymi jej danymi osobowymi, niezależnie od tego, kto i w jakim celu te dane przetwarza. Ogólne rozporządzenie o ochronie danych przyznaje więc szereg uprawnień podmiotom danych:

  • prawo do bycia poinformowanym o operacjach przetwarzania, 
  • prawo dostępu, 
  • prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych (prawo do bycia zapomnianym),
  • prawo do ograniczenia przetwarzania, 
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu, 
  • prawo do tego, by nie podlegać profilowaniu. 

Z większości z wymienionych wyżej uprawnień możemy korzystać już teraz, bowiem przewiduje je ustawa o ochronie danych osobowych. Jeżeli wdrożone przez administratora procedury przetwarzania danych już uwzględniają możliwość realizacji tych praw przez osoby, których dane przetwarza, dostosowanie się do ogólnego rozporządzenia powinno być stosunkowo łatwe.

Na czym polega prawo do przenoszalności danych?

Jak wspomniano, zupełnie nowym prawem osób, których dane dotyczą jest natomiast prawo do przenoszenia danych, które ma zastosowanie, jeżeli dane przetwarzane w sposób zautomatyzowany na podstawie zgody lub na podstawie umowy. Jest to prawo ściśle związane z prawem dostępu, lecz różni się od niego pod wieloma względami. Zapewnia ono osobom, których dane dotyczą, możliwość otrzymywania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych, które dostarczyły administratorowi, oraz możliwość przesyłania tych danych osobowych innemu administratorowi. Co więcej, prawo do przenoszenia danych pozwala również na bezpośrednie przekazywanie danych osobowych od jednego administratora do innego.

Mianowicie, na podstawie RODO, osoba, której dane dotyczą, ma prawo żądać:

  • wydania jej w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego danych osobowych jej dotyczących, które dostarczyła administratorowi oraz ma prawo samodzielnie przesłać te dane osobowe innemu („nowemu”) administratorowi bez przeszkód ze strony pierwszego administratora,
  • przesłania swoich danych osobowych z systemów informatycznych od administratora, któremu je wcześniej przekazała, innemu, „nowemu”, administratorowi, o ile jest to technicznie możliwe.

Jakich danych osobowych dotyczy prawo do przenoszenia?

Prawo do przenoszenia danych osobowych dotyczy danych osobowych przetwarzanych w systemach informatycznych (czyli w sposób zautomatyzowany), nie obejmuje zaś tradycyjnych, papierowych zbiorów danych.

Objęte prawem do przenoszenia są dane przetwarzane w systemach IT w związkuz korzystaniem przez osobę, której dane dotyczą, z usług lub urządzeń – jak np. historia logowania.

Prawo do przeniesienia danych nie obejmuje jednak „danych wywnioskowanych” i „danych wywiedzionych”, a są nimi np. wyniki algorytmiczne, jakie administrator pozyskał na podstawie analizy danych osoby, której dane dotyczą.

Przykłady:

  • Dane, jakie posiada służba zdrowia na nasz temat, są przez nas przekazane, ale to, że lekarz je analizuje i wyciąga wnioski - to już dane wywiedzione i wywnioskowane.
  • Ocena wiarygodności kredytowej oraz ryzyka ubezpieczeniowego.

Prawo do przeniesienia danych stosuje się, jeżeli przetwarzanie opiera się podstawie zgody lub umowy. Nie obejmuje ono administratorów, którzy przetwarzają dane niezbędne do wykonania zadania realizowanego w interesie publicznym bądź w ramach sprawowania władzy publicznej powierzonej administratorowi.

Zakres danych podlegających przeniesieniu obejmuje także dane poddane pseudonimizacji.

Niekiedy administratorzy danych przetwarzają informacje, które zawierają dane osobowe kilku osób. W takich sytuacjach nie powinni oni zbyt wąsko interpretować tego, kogo te dane dotyczą, i traktować takie informacje jako dane osobowe osoby wnioskującej.

Przykłady:

W przypadku np. rejestrów połączeń telefonicznych czy przelewów bankowych - mimo iż zawierają dane nie tylko osoby wnioskującej lub dokonującego przelewu, ale również innych osób - abonent bądź nadawca przelewu powinien mieć możliwość ich otrzymania.

Gdy przekazywane dane osobowe dotyczą osób trzecich, to „nowy” administrator nie może ich wykorzystywać do własnych celów (np. oferowania im produktów).

W jaki sposób dane osobowe powinny być przekazywane?

Dane osobowe powinny być przekazywane w powszechnie używanym formacie, jaki pozwoli je odczytać maszynowo, np. wformacie XML, CSV albo JSON - aby odpowiednie aplikacje komputerowe mogły łatwo zidentyfikować, rozpoznać oraz uzyskać określone dane.

Warto jak najszybciej dokonać przeglądu procedur oraz systemów używanych do przetwarzania danych, tak aby umożliwić praktyczną i bezpłatną realizację przeniesienia danych w oczekiwanym formacie. Administrator, we współpracy ze swoimi ewentualnymi podwykonawcami, winien jasno wskazać procedury tak, żeby był on w stanie odpowiedzieć na wnioski o przeniesienie danych, podobnie współadministratorzy powinni jasno określić zasady współpracy w tym obszarze. Administratorzy powinni także ustalić procedury identyfikacji osób żądających przeniesienia danych. 

„Nowy” administrator danych będzie odpowiedzialny za zapewnienie, aby przekazane mu dane osobowe nie były nadmierne w stosunku do nowego celu przetwarzania danych, dlatego istotne jest wyraźne i bezpośrednie określenie celów, dla których będzie przetwarzał dane osobowe.

Przeniesienie danych nie może niekorzystnie wpływać na prawa i wolności innych osób, a więc przykładowo uniemożliwiać im realizacji prawa do dostępu.

Prawo do przeniesienia danych a prawo do bycia zapomnianym

Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym. „Stary”administrator danych nie będzie miał automatycznie obowiązku usunięcia przeniesionych danych, ale na żądanie podmiotu danych będzie musiał przeniesione już dane usunąć.

Kiedy nie ma prawa do przenoszalności danych?

Przenoszalność danych nie ma zastosowania do ich przetwarzania w zakresie:

  • niezbędnym do wykonania zadania realizowanego w interesie publicznym,
  • niezbędnym w ramach sprawowania władzy publicznej powierzonej administratorowi.

 

Podstawa prawna:

  • rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1) - motywy preambuły 68, 73, 156 i art. 13 ust. 2 pkt b, art. 14 ust. 2 pkt c, art. 20;
  • Wytyczne Grupy Roboczej art. 29 dotyczące prawa do przenoszenia danych, dostępne na:http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083; zob 
    Wytyczne dotyczące prawa do przenoszenia danych.

A.J.
Zespół e-prawnik.pl

Skomentuj artykuł - Twoje zdanie jest ważne

Czy uważasz, że artykuł zawiera wszystkie istotne informacje? Czy jest coś, co powinniśmy uzupełnić? A może masz własne doświadczenia związane z tematem artykułu?


Masz inne pytanie do prawnika?

 

Komentarze

    Nie dodano jeszcze żadnego komentarza. Bądź pierwszy!!

Potrzebujesz pomocy prawnej?

Zapytaj prawnika