Prawo do przenoszenia danych
GDPR daje osobom, których dotyczy przetwarzanie danych osobowych, pewne prawa podmiotu danych w art. 13 ff GDPR. Służą one ochronie danych osobowych.
Jednym z tych praw osób, których dane dotyczą, jest prawo do przenoszenia danych zgodnie z art. 20 GDPR. Ale co właściwie oznacza przenoszenie danych?
Sens i cel
W GDPR prawo do przenoszenia danych zostało stworzone na nowo w porównaniu z jego prawnymi poprzednikami. Ma ono zapewnić osobom, których dane dotyczą, większą kontrolę nad ich danymi osobowymi (motyw 68 GDPR). Zmiana administratora danych powinna być znacznie łatwiejsza.
W ten sposób nie tylko promuje się systemy bardziej przyjazne ochronie danych z punktu widzenia polityki konkurencji, na które osoby, których dane dotyczą, chcą się przestawić, ale także zapobiega się wiązaniu osób, których dane dotyczą, istotnemu z punktu widzenia prawa antymonopolowego. Ustawodawca miał na myśli przede wszystkim związanie dostawców usług internetowych. Art. 20 GDPR ma jednak zastosowanie w równym stopniu do portali społecznościowych, serwisów streamingu muzyki, aplikacji webmail, banków, firm ubezpieczeniowych i wszystkich innych administratorów danych.
Wymagania
Warunki skorzystania z prawa do przeniesienia danych są określone w art. 20 GDPR:
- Osoba, której dane dotyczą, musi złożyć wniosek do administratora danych.
- Musi być ona dochodzona dokładnie przez osobę, której dane dotyczą, to znaczy, że przedmiotowe dane muszą dotyczyć tej osoby.
- Dane muszą być przekazane administratorowi danych przez osobę, której dane dotyczą. Dane dostarczone przez strony trzecie nie są uwzględniane. Dane uzyskane na podstawie dostarczonych danych (np. poprzez profilowanie) również nie są uwzględniane. Z kolei dane, które są jedynie powiązane z danymi osób trzecich, są uwzględniane, o ile nie narusza to praw i wolności innych osób (art. 20 IV GDPR), co należy oceniać indywidualnie w każdym przypadku.
- Przetwarzanie przez administratora odbywa się na podstawie skutecznej zgody lub umowy.
- Dane są przetwarzane automatycznie.
Czego może żądać osoba zainteresowana?
Prawo do przenoszenia danych nie tylko daje osobie, której dane dotyczą, prawo do żądania przekazania jej danych osobowych przekazanych administratorowi, ale także prawo do tego, by dane te zostały przekazane bezpośrednio nowemu administratorowi przez pierwotnego administratora.
Administrator pierwotny jest wówczas zobowiązany do przekazywania danych w formacie interoperacyjnym, tj. ustrukturyzowanym, wspólnym i nadającym się do odczytu maszynowego. Nie jest on jednak zobowiązany do utrzymywania lub przyjęcia technicznie kompatybilnych systemów przetwarzania danych.
Realizacja w praktyce
Zakres prawa do przenoszenia danych pokazuje, że jest to temat, którym inspektorzy ochrony danych powinni zająć się na wczesnym etapie. Należy szczegółowo skonsultować się z odpowiednim inspektorem ochrony danych.
Przede wszystkim należy wyjaśnić, jak silny wpływ na własne przedsiębiorstwo mogłyby mieć wnioski o przekazanie danych i jaka ilość zasobów byłaby do tego potrzebna. Należy również rozważyć, których danych przedsiębiorstwa prawo do przekazywania danych mogłoby konkretnie dotyczyć i gdzie dokładnie te dane są przechowywane.
Jeśli chodzi o wniosek o przekazanie danych, pierwszą rzeczą, którą zawsze należy zrobić, jest dokładne wyjaśnienie tożsamości osoby składającej wniosek. Proces ten musi być również udokumentowany, aby móc go później udowodnić.
Następnie należy również poczynić rozważania dotyczące praktycznej realizacji przekazu. Ważnymi punktami są tutaj możliwe formaty spełniające wymogi prawne oraz szyfrowanie (szczególną uwagę należy zwrócić na dane osobowe szczególnej kategorii).
Jeżeli podmiot danych składa jedynie wniosek o przekazanie danych, nie obejmuje to automatycznie wniosku o usunięcie danych od pierwotnego administratora danych, co jest w rzeczywistości sprzeczne z zasadą gospodarności danych. Wniosek o usunięcie danych musi być wyraźnie wskazany przez osobę, której dane dotyczą.
W indywidualnych przypadkach najlepiej jest więc skontaktować się ze swoim inspektorem ochrony danych.