Prawo do przenoszenia danych – jak realizować je w praktyce

Na podstawie ogólnego rozporządzenia o ochronie danych (RODO) osoba fizyczna ma prawo otrzymać dotyczące jej dane, które uprzednio dostarczyła administratorowi, a następnie ma prawo przesłać je innemu administratorowi bez przeszkód ze strony pierwotnego administratora. Osoba ta jest uprawniona do otrzymania tych danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.

Prawo do przenoszenia danych może być zrealizowane, jeżeli dane uprawnionej osoby są przetwarzane:

• w sposób zautomatyzowany,
• na podstawie zgodyosoby, której dane dotyczą (bez względu na to, czy zgoda dotyczy danych zwykłych, czy wrażliwych), lub 
• na podstawie umowy, której stroną jest osoba, której dane dotyczą.

Wytyczne Grupy Roboczej Art. 29 dotyczące prawa do przenoszenia danych zawierają przykłady realizacji tego prawa. 

Jednocześnie, w ramach prawa do przenoszenia danych, osoba, której dane dotyczą, może żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, jeśli jest to technicznie możliwe. 

Z tego uprawnienia wynika, że:

• można żądać od administratora danych zebrania ich w ustrukturyzowanej formie, a następnie przekazania ich innemu administratorowi – bez względu np. na to, czy odbiorca jest przedsiębiorcą działającym w tej samej, czy też w innej branży, 
• administrator może jednak odmówić przekazania danych, jeżeli nie będzie to technicznie możliwe – przepisy nie nakazują bowiem administratorom danych, np. z tej samej branży dostosowania swych systemów do realizacji prawa do przenoszenia danych.

Tym samym prawo do przenoszenia danych oznacza dla administratora:

• obowiązek ich przekazania osobie, której dane dotyczą, w formacie tak zorganizowanym, aby aplikacje komputerowe mogły łatwo zidentyfikować, rozpoznać i uzyskać określone dane,
• obowiązek ich przekazania w czytelnej formieinnemu administratorowi na życzenie osoby, której dane dotyczą (jeśli będzie to technicznie możliwe),
• zakaz usuwania danych ze swoich systemów, jeżeli uprawniona osoba tego nie zażąda,
• wyłączenie jego odpowiedzialności za przetwarzanie przekazanych danychprzez osobę, której dane dotyczą, oraz przez innego administratora, któremu te dane zostały przesłane,
• brak obowiązku realizacji tego prawa, jeśli dane objęte żądaniem są przetwarzane w sposób inny niż zautomatyzowany(np. większość dokumentacji papierowej) lub są przetwarzane na innej podstawie niż zgoda lub umowa(np. na podstawie obowiązku, jaki na administratora nakłada ustawa),
• brak obowiązku realizacji tego prawa, jeśli dane objęte żądaniem nie były uprzednio dostarczone administratorowiprzez osobę, której dane dotyczą (np. gdy są to automatycznie wygenerowane dane dotyczące oceny zdrowia użytkownika w kontekście zarządzania ryzykiem i regulacji finansowych),
• brak obowiązku przekazania danych innemu administratorowi, gdy nie jest to technicznie możliwe(administrator nie ma obowiązku wprowadzenia kompatybilnych technicznie systemów przetwarzania),
• prawo do odmowy realizacji prawa, jeśli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter,
• zakaz podejmowania działań, które mogą niekorzystnie wpływać na prawa i wolności osób trzecich.

Prawo do przenoszenia danych nie jest również nieograniczone. Otóż, zgodnie z RODO:

• prawo to nie ma zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
• prawo to nie ma zastosowania do danych przetwarzanych w sposób inny niż zautomatyzowany,
• jego realizacja nie może niekorzystnie wpływać na prawa i wolności osób trzecich,
• prawem tym nie mogą zostać objętedane uniemożliwiające identyfikację osoby fizycznej lub nieodnoszące się do osoby, której dotyczą. 

1) Opracuj procedurę wewnętrzną

W celu realizacji prawa do przenoszenia danych należy opracować i wprowadzić wewnętrzną procedurę przekazywania danych. Trzeba uwzględnić w niej schemat przekazywania danych (w tym np. zapewnić, że rodzaj przesyłanych danych osobowych pokrywa się faktycznie z rodzajem danych, jaki osoba, której dane dotyczą, pragnie przesłać poprzez uzyskanie potwierdzenia od tej osoby).

Trzeba się także przygotować na techniczne problemy związane z przekazywaniem danych, a w szczególności danych o dużej objętości. 

W odniesieniu do formy przekazywania należy pamiętać, że gdy osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także trzeba przekazywać elektronicznie, chyba że osoba ta zażąda innej formy przekazania.

Ponadto w przypadku wszystkich administratorów danych (zarówno przesyłających, jak i otrzymujących dane) warto wdrożyć narzędzia umożliwiające osobom, których dane dotyczą, wybór istotnych danych, które chcą one otrzymać i przesłać.

Administrator musi również ocenić szczególne zagrożenia związane z przenoszeniem danych i podjąć właściwe środki zmniejszające ryzyko,np. poprzez wykorzystanie dodatkowych informacji uwierzytelniających. Zastosowane środki bezpieczeństwa nie mogą jednak utrudniać ani uniemożliwiać użytkownikom wykonywania przysługujących im praw, np. poprzez nałożenie dodatkowych kosztów. Dodatkowo dobrą praktyką będzie rekomendowanie osobom fizycznym przez administratora podjęcia właściwych środków zabezpieczeniaprzekazanych danych.

2) Zidentyfikuj wnioskodawcę

Jeżeli ktokolwiek zwraca się do administratora z wnioskiem o przeniesienie danych, ADO musi mieć pewność, że dane te dotyczą tego wnioskodawcy. W tym celu należy go zidentyfikować. Na podstawie art. 12 ust. 2 RODO można odmówić wnioskodawcy realizacji jego prawa, jeżeli administrator nie będzie w stanie go zidentyfikować. W takim przypadku procedura przenoszenia danych nie powinna zostać wszczęta, aż do czasu, gdy osoba, której dane dotyczą, dostarczy dodatkowe informacje, które pozwolą ją zidentyfikować. Z kolei administrator danych może skorzystać z prawa do żądania od tej osoby dodatkowych informacji, które są w jego ocenie niezbędne do potwierdzenia jej tożsamości.

WAŻNE

Dane osobowe wykorzystywane do rejestracji osoby fizycznej, której dotyczy przetwarzanie, mogą być również wykorzystywane jako dowód jej uwierzytelnienia do celów związanych z przeniesieniem. Przykładowo, jeżeli przetwarzanie danych jest związane z kontem użytkownika, dostarczenie odpowiedniego loginu i hasła może być wystarczające do identyfikacji osoby, której dane dotyczą. 

3) Dochowaj terminu

Realizacja prawa do przeniesienia danych powinna nastąpić, zgodnie z RODO, bez zbędnej zwłoki i nie później niż w terminie: 

• miesiąca od otrzymania żądanialub
• trzech miesięcy z uwagi na skomplikowany charakter żądania lub liczbę żądań(po uprzednim poinformowaniu osoby, której dane dotyczą, o przyczynach takiego opóźnienia w terminie miesiąca od dnia wniesienia pierwotnego żądania). 

W przypadku decyzji dotyczącej niepodjęcia działań zmierzających do przekazania danych administrator ma obowiązek poinformować osobę, której dane dotyczą, niezwłocznie (najpóźniej w terminie miesiąca od otrzymania żądania) o powodach niepodjęcia działańoraz o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz skorzystania ze środków ochrony prawnej przed sądem.

4) Oszacuj koszty dokonania operacji

Komunikacja i działania podejmowane w związku z realizacją prawa do przenoszenia danych są na podstawie ogólnego rozporządzenia o ochronie danych wolne od opłat. Jeżeli jednak żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, można:

• pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo
• odmówić podjęcia działańw związku z żądaniem.

To administrator musi wykazać, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.

5) Pamiętaj o odpowiedniej formie komunikacji

Zarówno komunikacja z interesantem, jak i treść informacji, które administrator mu przekazuje, powinny zostać sformułowane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. Osoba, której dane dotyczą, powinna zawsze dysponować jednoznacznymi informacjami na temat danych, jakie należy pobrać lub przesłać innemu administratorowi danych w związku z określonym celem.

6) Nie utrudniaj realizacji tego prawa

Osoby, których dane dotyczą, mają prawo przesłać dane innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. 

Tego rodzaju przeszkody, zgodnie z wytycznymi Grupy Roboczej Art. 29, można określić jako bariery prawne, techniczne lub finansowe ustanowione przez administratora danych w celu powstrzymania lub spowolnienia dostępu, przesyłania lub ponownego wykorzystania przez osobę, której dane dotyczą, lub przez innego administratora danych. 

W sytuacji gdy dane osobowe zostają administratorowi przekazane na skutek dyspozycji osoby, której one dotyczą, przez innego administratora, należy pamiętać, że administrowanie nimi musi być zgodne z przepisami ogólnego rozporządzenia o ochronie danych. Przede wszystkim, zgodnie z art. 5 ogólnego rozporządzenia o ochronie danych, dane osobowe muszą być m.in.:

• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami oraz
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W przypadku otrzymania danych osobowych na podstawie prawa do przenoszenia danych administrator może uzyskać dane, które z punktu widzenia celu ich przetwarzania, nie będą mogły być przez niego przetwarzane zgodnie z prawem.