Prawo do przenoszenia danych – nowe prawo w systemie ochrony danych osobowych

Prawo do przenoszenia danych, które ustanawia artykuł 20 RODO, jest nowym uprawnieniem w prawie ochrony danych osobowych, mającym na celu ułatwienie swobodnego przepływu danych osobowych w UE i sprzyjanie rozwojowi konkurencji pomiędzy administratorami. Zasadniczym celem regulacji jest zapobieganie uzależnieniu od dotychczasowego usługodawcy („lock-in”). Nowe prawo do przenoszenia danych ułatwia osobom, których dane dotyczą, przenoszenie, kopiowanie lub przesyłanie danych osobowych z jednego środowiska IT do innego (czy to do własnych systemów, systemów zaufanych stron trzecich czy też systemów nowych administratorów danych). Prawo do przenoszenia danych ma zatem gwarantować wymianę danych osobowych między administratorami danych w bezpieczny sposób, pod kontrolą osoby, której dane dotyczą.

Prawo do przenoszenia danych zapewnia osobom, których dane dotyczą, możliwość otrzymywania danych osobowych, które dostarczyły administratorowi, w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, oraz możliwość przesyłania tych danych innemu administratorowi bez przeszkód ze strony administratora, któremu pierwotnie dostarczono dane. Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Prawo to ma zastosowanie tylko do sytuacji, gdy przetwarzanie odbywa się w sposób zautomatyzowany. Uprawnienie to ułatwia zmianę dostawcy usługi, np. zmianę banku, pozwalając na przeniesienie ustawionych zleceń przelewów, zdefiniowanych odbiorców czy historii konta. Praktyczne zastosowanie uprawnienie to znajdzie także przy przenoszeniu listy zakupów pomiędzy sklepami internetowymi oraz przy przenoszeniu konta na portalu społecznościowym.

Prawo do przenoszenia danych dotyczy wyłącznie danych przetwarzanych na podstawie zgody osoby, której dane dotyczą, bądź niezbędnych do wykonania umowy, której stroną jest osoba, której dane te dotyczą, lub niezbędnych do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy, jak również wyłącznie danych dostarczonych administratorowi przez podmiot tych danych.

Zgodnie z opinią Grupy Roboczej ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych za „dostarczone” przez osobę, której dane dotyczą, można uznać dane aktywnie i świadomie przekazywane przez osobę, której dane dotyczą, oraz dane zaobserwowane przez administratora w związku z korzystaniem z usług lub urządzeń przez taką osobę. Przykładem danych zaobserwowanych jest historia wyszukiwania osoby, dane o ruchu lub dane lokalizacyjne. Celem takiej szerokiej wykładni jest dostosowanie uprawnienia do przenoszenia danych do rzeczywistości Internetu rzeczy i rozwoju usług, które zbierają dane o użytkownikach.

Prawo do przenoszenia danych nie dotyczy danych wywiedzionych i wywnioskowanych przez administratora (jak na przykład danych uzyskanych przez profilowanie). Prawo do przenoszenia danych nie ma również zastosowania do przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Co istotne, w przypadku skorzystania z prawa do przenoszenia danych u „pierwotnego” administratora nie następuje automatyczne usunięcie danych, może on w dalszym ciągu przetwarzać dane, o ile dalej dysponuje podstawą prawną do przetwarzania danych.

Artykuł 20 ust. 1 RODO stanowi, że dane osobowe mają być przekazane „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”. W motywie 68 RODO  wyjaśniono, że format ten powinien być interoperacyjny. Terminy „ustrukturyzowany”, „powszechnie używany” oraz „nadający się do odczytu maszynowego” określają więc zestaw minimalnych wymogów, które powinny umożliwiać interoperacyjność danych przekazanych przez administratora danych. Administratorzy danych są zobowiązani do przekazywania danych innym administratorom danych „o ile jest to technicznie możliwe”. Z motywu 68 RODO wynika, że „nie powinno to nakładać na administratorów obowiązku prowadzenia lub wprowadzenia kompatybilnych technicznie systemów przetwarzania”. Oznacza to, że w przypadku braku możliwości komunikacji pomiędzy dwoma systemami, administrator powinien przekazać informację o istniejących przeszkodach. W przeciwnym razie jego decyzja będzie miała podobny skutek jak odmówienie podjęcia działań na żądanie osoby, której dane dotyczą.