Prawo do przenoszenia danych

Wytyczne dotyczące prawa do "przenoszenia danych" Grupy Roboczej Art. 29
(Jak stanowi art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przedmiotu prawa autorskiego nie stanowią dokumenty urzędowe, materiały, znaki i symbole.) 
WP242 ZAŁĄCZNIK – Często zadawane pytania
  1. Czemu służy prawo do przenoszenia danych?

Dzięki przenoszeniu danych osoby, których dane dotyczą, mają zasadniczo możliwość uzyskania i ponownego wykorzystania „swoich” danych do własnych celów i do skorzystania z różnych usług. To prawo ułatwia tym osobom przenoszenie, kopiowanie lub przekazywanie danych osobowych między środowiskami IT bez przeszkód. Oczekuje się, że – obok wzmocnienia pozycji konsumenta poprzez uniemożliwienie uzależnienia od jednego dostawcy – prawo to będzie sprzyjać innowacji i współdzieleniu danych osobowych między administratorami danych w sposób bezpieczny i pewny, pod kontrolą osoby, której dane dotyczą.

  1. Jakie możliwości daje korzystanie z prawa do przenoszenia danych?

Po pierwsze, jest to prawo do otrzymania danych osobowych („w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”) przetwarzanych przez administratora danych i do przechowywania ich do dalszego użytku własnego na urządzeniu prywatnym bez przekazywania ich innemu administratorowi danych. To prawo oferuje osobom, których dane dotyczą, łatwy sposób osobistego zarządzania swoimi danymi osobowymi.

Po drugie, prawo to daje osobom, których dane dotyczą, możliwość przekazywania ich danych osobowych przez jednego administratora danych innemu administratorowi „bez przeszkód” oraz ułatwia tym osobom przenoszenie, kopiowanie lub przekazywanie danych osobowych między środowiskami IT.

  1. Jakie są narzędzia zalecane do udzielania odpowiedzi na żądania przeniesienia danych?

Po pierwsze, administratorzy danych powinni zaoferować osobom, których dane dotyczą, możliwość bezpośredniego pobrania danych. Po drugie, powinni umożliwić osobom, których dane dotyczą, bezpośrednie przekazanie danych innemu administratorowi danych. Można to zrealizować np. poprzez udostępnienie interfejsu programowania aplikacyjnego.

Osoby, których dane dotyczą, mogą także korzystać z usług przechowywania danych osobowych przez zaufaną osobę trzecią, która przechowuje dane osobowe i udziela administratorom danych pozwolenia na dostęp do danych i na ich przetwarzanie według potrzeb, aby dane można było łatwo przekazywać między różnymi administratorami danych.

  1. W jakim stopniu administratorzy danych są odpowiedzialni za przekazywane lub otrzymywane dane w związku z korzystaniem z prawa do przenoszenia danych?

Administratorzy danych, którzy udzielają odpowiedzi na żądania przeniesienia danych, nie odpowiadają za przetwarzanie danych przez osobę, której dane dotyczą, ani przez inne przedsiębiorstwo otrzymujące dane osobowe. Jednocześnie administrator otrzymujący dane odpowiada za zapewnienie, aby dane podlegające przeniesieniu były stosowne i nie były nadmierne w odniesieniu do nowego przetwarzania danych, aby odpowiednio poinformowano osobę, której dane dotyczą, o celu tego nowego przetwarzania, a także – w kontekście ogólnym – aby administratorzy przestrzegali zasad ochrony danych mających zastosowanie do przetwarzania przez nich danych zgodnie z przepisami określonymi w ogólnym rozporządzeniu o ochronie danych (RODO).

  1. Czy korzystanie  z prawa  do  przenoszenia  danych  wpływa  na  korzystanie z pozostałych praw osób, których dane dotyczą?

Osoba fizyczna korzysta ze swojego prawa do przenoszenia danych (lub innego prawa określonego w RODO) bez uszczerbku dla jakichkolwiek innych praw. Osoba, której dane dotyczą, może korzystać ze swoich praw, o ile administrator danych nadal przetwarza dane. Na przykład osoba, której dane dotyczą, może w dalszym ciągu korzystać i czerpać korzyści  z usług administratora danych nawet po przeprowadzeniu operacji przeniesienia danych. Podobnie, jeżeli osoba ta chce skorzystać z przysługującego jej prawa do usunięcia danych, sprzeciwienia się usunięciu lub uzyskania dostępu do swoich danych osobowych, administrator danych nie może wykorzystać poprzedniego lub kolejnego skorzystania z prawa do przenoszenia danych jako sposobu na opóźnienie lub odmowę odpowiedzi na inne prawa osoby, której dane dotyczą. Co więcej, przenoszenie danych nie powoduje automatycznego usunięcia danych z systemów administratora danych i nie wpływa na pierwotny okres przechowywania, który ma zastosowanie do przekazanych danych zgodnie z prawem do przenoszenia danych.

  1. Kiedy ma zastosowanie prawo do przenoszenia danych?

To nowe prawo stosuje się, jeżeli spełnione są 3 łączne warunki.

Po pierwsze,  żądane  dane  osobowe  należy  przetworzyć  w sposób  zautomatyzowany  (tj.  z wyłączeniem nośników papierowych) na podstawie wcześniejszej zgody osoby, której dane dotyczą, lub na podstawie realizacji umowy, której stroną jest osoba, której dane dotyczą.

Po drugie, żądane dane osobowe powinny dotyczyć osoby, której dane dotyczą, a także powinny być dostarczone przez tę osobę. Grupa Robocza Art. 29 zaleca, aby administratorzy danych nie przyjmowali zbyt surowej interpretacji zdania „dane osobowe dotyczące osoby, której dane dotyczą”, jeżeli dane osób trzecich znajdują się w zbiorze danych odnoszącym się do osoby, której dane dotyczą, i dostarczonych przez tę osobę oraz jeżeli osoba, której dane dotyczą i która występuje o te dane, wykorzystuje te dane do celów osobistych. Do typowych przykładów zbiorów danych zawierających dane osób trzecich należą zapisy rozmów telefonicznych (w tym rozmowy przychodzące i wychodzące), które osoba, której dane dotyczą, chciałaby otrzymać lub historia konta bankowego, która zawiera płatności przychodzące od osób trzecich.

Dane osobowe można uznać za dostarczone przez osobę, której dane dotyczą, jeżeli są one świadomie i czynnie „dostarczone” przez  osobę,  której  dane  dotyczą,  jak  ma  to  miejsce w przypadku danych konta (np.  adresu  e-mail,  nazwy  użytkownika,  wieku)  podawanych w formularzach online, ale również jeżeli są one generowane i gromadzone na podstawie działań użytkowników w ramach użytkowania usługi lub urządzenia. Z kolei dane osobowe, które pochodzą lub które można wywnioskować z danych dostarczonych przez osobę, której dane dotyczą, takie jak profil użytkownika stworzony w oparciu o analizę nieprzetworzonych inteligentnych pomiarów, nie mieszczą się w zakresie prawa do przenoszenia danych, ponieważ nie dostarcza ich osoba, której dane dotyczą, ale tworzą je administratorzy danych.

Zgodnie z trzecim warunkiem korzystanie z tego nowego prawa nie powinno wpływać niekorzystnie na prawa i wolności osób trzecich. Przykładowo, jeżeli w zbiorze danych przekazanym na żądanie  osoby, której dane dotyczą, znajdują  się  dane  osobowe związane  z innymi osobami fizycznymi, nowy administrator danych powinien przetworzyć te dane wyłącznie wtedy, gdy istnieją ku temu odpowiednie podstawy prawne. Zazwyczaj odpowiednie będzie przetwarzanie danych pod wyłączną kontrolą osoby, której dane dotyczą, w ramach działalności czysto osobistej lub domowej.

  1. W jaki sposób poinformować osoby, których dane dotyczą, o tym nowym prawie? 

Administratorzy  danych  powinni  przekazać  osobom,  których  dane  dotyczą,  informacje   o istnieniu prawa do przenoszenia danych „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. W tym zakresie Grupa Robocza Art. 29 zaleca, aby administratorzy danych jasno wyjaśnili różnicę między rodzajami danych, które osoba, której dane dotyczą, może otrzymać poprzez skorzystanie z prawa do przenoszenia lub z prawa do dostępu, a także aby przedstawili szczegółowe informacje na temat prawa do przenoszenia danych przed zamknięciem jakiegokolwiek konta, żeby osoby, których dane dotyczą, miały możliwość odzyskania i przechowywania swoich danych osobowych.

Ponadto administratorzy danych otrzymujący dane podlegające przeniesieniu na żądanie osoby, której dane dotyczą, mogą – w ramach najlepszej praktyki – zapewnić osobom, których dane dotyczą, kompletne informacje na temat charakteru danych osobowych istotnych dla wykonywania świadczonych przez nich usług.

  1. W jaki sposób administrator danych może zidentyfikować osobę, której dane dotyczą, przed udzieleniem odpowiedzi na jej żądanie?

Grupa Robocza Art. 29 zaleca, aby administratorzy danych wprowadzili odpowiednie procedury umożliwiające osobie fizycznej złożenie żądania przeniesienia danych i otrzymanie związanych z nią danych. Administratorzy danych muszą korzystać z procedury weryfikacyjnej, aby upewnić się odnośnie do tożsamości osoby, której dane dotyczą i która składa wniosek  o uzyskanie  swoich  danych  osobowych  lub,  w ujęciu  ogólnym,  korzysta z praw przyznanych jej na mocy RODO.

  1. Jaki termin wyznaczono na udzielenie odpowiedzi na żądanie przeniesienia?

W art. 12 administratorom danych zakazuje się pobierania opłaty za wydanie danych osobowych, chyba że administrator danych może wykazać, że żądania mają ewidentnie nieuzasadniony lub nadmierny charakter, „w szczególności ze względu na swój ustawiczny charakter”. W przypadku usług społeczeństwa informacyjnego lub podobnych usług online, które specjalizują się w zautomatyzowanym przetwarzaniu danych osobowych, istnieje bardzo małe prawdopodobieństwo, że udzielanie odpowiedzi na wiele żądań o przeniesienie danych może stanowić nadmierne obciążenie. W tych przypadkach Grupa Robocza Art. 29 zaleca określenie zasadnych ram czasowych dostosowanych do kontekstu i poinformowanie  o nich osób, których dane dotyczą.

  1. W jaki sposób należy przekazywać dane podlegające przeniesieniu?

Dane osobowe należy przekazywać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Te specyfikacje mające zastosowanie do środków powinny gwarantować interoperacyjność formatu danych dostarczonych przez administratora danych, gdzie interoperacyjność oznacza pożądany wynik. Nie oznacza to jednak, że administratorzy danych powinni utrzymywać kompatybilne systemy. Ponadto administratorzy danych powinni  zapewnić  jak  najwięcej  metadanych  o najwyższym  stopniu  dokładności  i szczegółowości, aby zachować dokładne znaczenie wymienionych informacji.

Biorąc pod uwagę szeroki zakres potencjalnych rodzajów danych, które administrator danych może przetworzyć, w RODO nie przedstawiono szczegółowych zaleceń odnośnie do formatu przekazywanych danych osobowych. Najodpowiedniejszy format będzie zależał od sektora – odpowiednie formaty mogą już istnieć i zawsze należy je wybierać, dążąc do celu, jakim jest możliwość ich interpretacji.

Grupa Robocza Art. 29 usilnie zachęca zainteresowane strony w branży i stowarzyszenia branżowe do współpracy i opracowania wspólnego zbioru standardów i formatów interoperacyjnych, aby spełnić wymogi dotyczące prawa

Zobacz naszą ofertę wdrożenia RODO

audyt-rodo-audyt-zgodnosci-gdpr — kopia