Wytyczne dotyczące prawa do "przenoszenia danych" Grupy Roboczej Art. 29
(Jak stanowi art. 4 pkt 2 ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, przedmiotu prawa autorskiego nie stanowią dokumenty urzędowe, materiały, znaki i symbole.)
WP242 ZAŁĄCZNIK – Często zadawane pytania
Dzięki przenoszeniu danych osoby, których dane dotyczą, mają zasadniczo możliwość uzyskania i ponownego wykorzystania „swoich” danych do własnych celów i do skorzystania z różnych usług. To prawo ułatwia tym osobom przenoszenie, kopiowanie lub przekazywanie danych osobowych między środowiskami IT bez przeszkód. Oczekuje się, że – obok wzmocnienia pozycji konsumenta poprzez uniemożliwienie uzależnienia od jednego dostawcy – prawo to będzie sprzyjać innowacji i współdzieleniu danych osobowych między administratorami danych w sposób bezpieczny i pewny, pod kontrolą osoby, której dane dotyczą.
Po pierwsze, jest to prawo do otrzymania danych osobowych („w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”) przetwarzanych przez administratora danych i do przechowywania ich do dalszego użytku własnego na urządzeniu prywatnym bez przekazywania ich innemu administratorowi danych. To prawo oferuje osobom, których dane dotyczą, łatwy sposób osobistego zarządzania swoimi danymi osobowymi.
Po drugie, prawo to daje osobom, których dane dotyczą, możliwość przekazywania ich danych osobowych przez jednego administratora danych innemu administratorowi „bez przeszkód” oraz ułatwia tym osobom przenoszenie, kopiowanie lub przekazywanie danych osobowych między środowiskami IT.
Po pierwsze, administratorzy danych powinni zaoferować osobom, których dane dotyczą, możliwość bezpośredniego pobrania danych. Po drugie, powinni umożliwić osobom, których dane dotyczą, bezpośrednie przekazanie danych innemu administratorowi danych. Można to zrealizować np. poprzez udostępnienie interfejsu programowania aplikacyjnego.
Osoby, których dane dotyczą, mogą także korzystać z usług przechowywania danych osobowych przez zaufaną osobę trzecią, która przechowuje dane osobowe i udziela administratorom danych pozwolenia na dostęp do danych i na ich przetwarzanie według potrzeb, aby dane można było łatwo przekazywać między różnymi administratorami danych.
Administratorzy danych, którzy udzielają odpowiedzi na żądania przeniesienia danych, nie odpowiadają za przetwarzanie danych przez osobę, której dane dotyczą, ani przez inne przedsiębiorstwo otrzymujące dane osobowe. Jednocześnie administrator otrzymujący dane odpowiada za zapewnienie, aby dane podlegające przeniesieniu były stosowne i nie były nadmierne w odniesieniu do nowego przetwarzania danych, aby odpowiednio poinformowano osobę, której dane dotyczą, o celu tego nowego przetwarzania, a także – w kontekście ogólnym – aby administratorzy przestrzegali zasad ochrony danych mających zastosowanie do przetwarzania przez nich danych zgodnie z przepisami określonymi w ogólnym rozporządzeniu o ochronie danych (RODO).
Osoba fizyczna korzysta ze swojego prawa do przenoszenia danych (lub innego prawa określonego w RODO) bez uszczerbku dla jakichkolwiek innych praw. Osoba, której dane dotyczą, może korzystać ze swoich praw, o ile administrator danych nadal przetwarza dane. Na przykład osoba, której dane dotyczą, może w dalszym ciągu korzystać i czerpać korzyści z usług administratora danych nawet po przeprowadzeniu operacji przeniesienia danych. Podobnie, jeżeli osoba ta chce skorzystać z przysługującego jej prawa do usunięcia danych, sprzeciwienia się usunięciu lub uzyskania dostępu do swoich danych osobowych, administrator danych nie może wykorzystać poprzedniego lub kolejnego skorzystania z prawa do przenoszenia danych jako sposobu na opóźnienie lub odmowę odpowiedzi na inne prawa osoby, której dane dotyczą. Co więcej, przenoszenie danych nie powoduje automatycznego usunięcia danych z systemów administratora danych i nie wpływa na pierwotny okres przechowywania, który ma zastosowanie do przekazanych danych zgodnie z prawem do przenoszenia danych.
To nowe prawo stosuje się, jeżeli spełnione są 3 łączne warunki.
Po pierwsze, żądane dane osobowe należy przetworzyć w sposób zautomatyzowany (tj. z wyłączeniem nośników papierowych) na podstawie wcześniejszej zgody osoby, której dane dotyczą, lub na podstawie realizacji umowy, której stroną jest osoba, której dane dotyczą.
Po drugie, żądane dane osobowe powinny dotyczyć osoby, której dane dotyczą, a także powinny być dostarczone przez tę osobę. Grupa Robocza Art. 29 zaleca, aby administratorzy danych nie przyjmowali zbyt surowej interpretacji zdania „dane osobowe dotyczące osoby, której dane dotyczą”, jeżeli dane osób trzecich znajdują się w zbiorze danych odnoszącym się do osoby, której dane dotyczą, i dostarczonych przez tę osobę oraz jeżeli osoba, której dane dotyczą i która występuje o te dane, wykorzystuje te dane do celów osobistych. Do typowych przykładów zbiorów danych zawierających dane osób trzecich należą zapisy rozmów telefonicznych (w tym rozmowy przychodzące i wychodzące), które osoba, której dane dotyczą, chciałaby otrzymać lub historia konta bankowego, która zawiera płatności przychodzące od osób trzecich.
Dane osobowe można uznać za dostarczone przez osobę, której dane dotyczą, jeżeli są one świadomie i czynnie „dostarczone” przez osobę, której dane dotyczą, jak ma to miejsce w przypadku danych konta (np. adresu e-mail, nazwy użytkownika, wieku) podawanych w formularzach online, ale również jeżeli są one generowane i gromadzone na podstawie działań użytkowników w ramach użytkowania usługi lub urządzenia. Z kolei dane osobowe, które pochodzą lub które można wywnioskować z danych dostarczonych przez osobę, której dane dotyczą, takie jak profil użytkownika stworzony w oparciu o analizę nieprzetworzonych inteligentnych pomiarów, nie mieszczą się w zakresie prawa do przenoszenia danych, ponieważ nie dostarcza ich osoba, której dane dotyczą, ale tworzą je administratorzy danych.
Zgodnie z trzecim warunkiem korzystanie z tego nowego prawa nie powinno wpływać niekorzystnie na prawa i wolności osób trzecich. Przykładowo, jeżeli w zbiorze danych przekazanym na żądanie osoby, której dane dotyczą, znajdują się dane osobowe związane z innymi osobami fizycznymi, nowy administrator danych powinien przetworzyć te dane wyłącznie wtedy, gdy istnieją ku temu odpowiednie podstawy prawne. Zazwyczaj odpowiednie będzie przetwarzanie danych pod wyłączną kontrolą osoby, której dane dotyczą, w ramach działalności czysto osobistej lub domowej.
Administratorzy danych powinni przekazać osobom, których dane dotyczą, informacje o istnieniu prawa do przenoszenia danych „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. W tym zakresie Grupa Robocza Art. 29 zaleca, aby administratorzy danych jasno wyjaśnili różnicę między rodzajami danych, które osoba, której dane dotyczą, może otrzymać poprzez skorzystanie z prawa do przenoszenia lub z prawa do dostępu, a także aby przedstawili szczegółowe informacje na temat prawa do przenoszenia danych przed zamknięciem jakiegokolwiek konta, żeby osoby, których dane dotyczą, miały możliwość odzyskania i przechowywania swoich danych osobowych.
Ponadto administratorzy danych otrzymujący dane podlegające przeniesieniu na żądanie osoby, której dane dotyczą, mogą – w ramach najlepszej praktyki – zapewnić osobom, których dane dotyczą, kompletne informacje na temat charakteru danych osobowych istotnych dla wykonywania świadczonych przez nich usług.
Grupa Robocza Art. 29 zaleca, aby administratorzy danych wprowadzili odpowiednie procedury umożliwiające osobie fizycznej złożenie żądania przeniesienia danych i otrzymanie związanych z nią danych. Administratorzy danych muszą korzystać z procedury weryfikacyjnej, aby upewnić się odnośnie do tożsamości osoby, której dane dotyczą i która składa wniosek o uzyskanie swoich danych osobowych lub, w ujęciu ogólnym, korzysta z praw przyznanych jej na mocy RODO.
W art. 12 administratorom danych zakazuje się pobierania opłaty za wydanie danych osobowych, chyba że administrator danych może wykazać, że żądania mają ewidentnie nieuzasadniony lub nadmierny charakter, „w szczególności ze względu na swój ustawiczny charakter”. W przypadku usług społeczeństwa informacyjnego lub podobnych usług online, które specjalizują się w zautomatyzowanym przetwarzaniu danych osobowych, istnieje bardzo małe prawdopodobieństwo, że udzielanie odpowiedzi na wiele żądań o przeniesienie danych może stanowić nadmierne obciążenie. W tych przypadkach Grupa Robocza Art. 29 zaleca określenie zasadnych ram czasowych dostosowanych do kontekstu i poinformowanie o nich osób, których dane dotyczą.
Dane osobowe należy przekazywać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Te specyfikacje mające zastosowanie do środków powinny gwarantować interoperacyjność formatu danych dostarczonych przez administratora danych, gdzie interoperacyjność oznacza pożądany wynik. Nie oznacza to jednak, że administratorzy danych powinni utrzymywać kompatybilne systemy. Ponadto administratorzy danych powinni zapewnić jak najwięcej metadanych o najwyższym stopniu dokładności i szczegółowości, aby zachować dokładne znaczenie wymienionych informacji.
Biorąc pod uwagę szeroki zakres potencjalnych rodzajów danych, które administrator danych może przetworzyć, w RODO nie przedstawiono szczegółowych zaleceń odnośnie do formatu przekazywanych danych osobowych. Najodpowiedniejszy format będzie zależał od sektora – odpowiednie formaty mogą już istnieć i zawsze należy je wybierać, dążąc do celu, jakim jest możliwość ich interpretacji.
Grupa Robocza Art. 29 usilnie zachęca zainteresowane strony w branży i stowarzyszenia branżowe do współpracy i opracowania wspólnego zbioru standardów i formatów interoperacyjnych, aby spełnić wymogi dotyczące prawa
Zobacz naszą ofertę wdrożenia RODO
