Prawo do przenoszenia danych w wytycznych Grupy Roboczej Art. 29
Art. 20 RODO ustanawia prawo do przenoszenia danych (przysługujące podmiotom danych uprawnienie do otrzymywania od administratora danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz prawo do przesłania tych danych innemu administratorowi). W swoich ostatnich wytycznych Grupa Robocza art. 29 wyjaśniła najważniejsze wątpliwości dotyczące implementacji tego nowego uprawnienia.
****
Zgodnie z treścią art. 20 Rozporządzenia ogólnego o ochronie danych (dalej “RODO”) “osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe (…)”. Jak zauważa Grupa Robocza art. 29 w swoich wytycznych z dnia 13 grudnia 2016 r. (WP 242, 16/EN, dostępne w języku angielskim tutaj), to nowe uprawnienie ma umożliwić sprawowanie szerszej kontroli nad swoimi danymi przed podmioty danych, ułatwiając przeniesienie danych pomiędzy administratorami, co w konsekwencji ma wspierać swobodny przepływ danych w Unii Europejskiej i wzmacniać konkurencję pomiędzy dostawcami, a także ułatwiać wprowadzanie na rynek nowych usług zgodnie ze strategią Komisji Europejskiej, dotyczącą Jednolitego Rynku Cyfrowego.
W swoich wytycznych mających na celu interpretację charakteru tego nowego prawa oraz wskazówki dotyczące jego implementacji, Grupa Robocza odniosła się w szczególności do następujących zagadnień: (i) charakteru (elementów) prawa do przenoszenia danych; (ii) warunków, w jakich prawo do przenoszenia danych znajduje zastosowanie; (iii) prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych; (iv) w jaki sposób dane powinny zostać przekazane.
Jakie są główne elementy prawa do przenoszenia danych?
Zgodnie w wytycznymi Grupy Roboczej na prawo do przenoszenia danych składają się następujące elementy:
- Prawo do otrzymania danych osobowych – w pierwszej kolejności należy zaznaczyć, iż prawo do przenoszenia danych oznacza przede wszystkim prawo do otrzymania danych osobowych przetwarzanych przez administratora danych. Jest to prawo odmienne, acz komplementarne wobec prawa do dostępu do danych osobowych. W tym aspekcie oznacza ono, iż podmioty danych są uprawnione do żądania przekazania im swoich danych osobowych, aby to sami użytkownicy mogli przechowywać je w celach osobistych na prywatnych urządzeniach (bez przekazywania ich do kolejnego administratora), co ma umożliwić im samodzielne zarządzanie własnymi danymi oraz ich ponowne wykorzystanie. Jako przykład takiego ponownego wykorzystania danych Grupa Robocza wskazuje, iż użytkownik aplikacji poczty elektronicznej może być zainteresowany otrzymaniem swojej listy kontaktowej, aby przygotować listę gości, których chciałby zaprosić na przyjęcie weselne.
- Prawo do przeniesienia danych osobowych od jednego administratora danych osobowych do drugiego administratora – zgodnie z treścią art. 20 ust. 1 RODO podmiot danych uprawniony jest do przesłania “bez przeszkód” swoich danych osobowych do innego administratora danych osobowych. Grupa Robocza wyjaśnia, iż to prawo ma zapobiec zjawisku tzw. vendor “lock-in”, czyli uzależnienia od konkretnego dostawcy usług. Możliwość łatwego dostępu do danych i ich przeniesienia do innego usługodawcy służy także rozwojowi nowych, innowacyjnych modeli usług.
- Narzędzia służące przenoszeniu danych – według Grupy Roboczej administratorzy danych powinni zapewnić różnorodne możliwości skorzystania z prawa do przeniesienia danych. Przykładowymi rozwiązaniami może być udostępnienie bezpośredniej możliwości pobrania danych osobowych czy możliwość bezpośredniego przeniesienia danych do innego administratora, w tym poprzez udostępnienie odpowiedniego interfejsu (API).
- Status administratora danych – Grupa Robocza art. 29 zaznacza, iż administrator danych w przypadku wykonania prawa do przenoszenia danych przez podmiot danych, nie ponosi odpowiedzialności za przetwarzanie danych osobowych przez podmiot danych lub podmiot otrzymujący dane od podmiotu danych. Co istotne uprawnienie, o którym mowa nie nakłada na administratora obowiązku przechowywania danych osobowych przez czas dłuższy niż jest to konieczne lub niż wskazany uprzednio okres. Jednocześnie podmiot otrzymujący dane osobowe, będący ich nowym administratorem jest odpowiedzialny za zapewnienie, aby dane, które nie są istotne z punktu widzenia nowej operacji przetwarzania danych nie były przechowywane i przetwarzane. Podmiot otrzymujący dane, stając się nowym administratorem danych osobowych, jest zobowiązany do stosowania zasad, o których mowa w art. 5 RODO, w tym w szczególności musi “jasno i bezpośrednio” wskazać nowy cel przetwarzania danych przed zrealizowaniem żądania przeniesienia danych, a także nie powinien przetwarzać danych, które nie są niezbędne do realizacji nowego celu.
- Prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych – zgodnie z wyjaśnieniami Grupy Roboczej realizacja uprawnienia do przeniesienia danych następuje to bez uszczerbku dla innych praw przyznanych osobie, której dane dotyczą na mocy RODO. Wykonanie prawa do przeniesienia danych nie pociąga za sobą automatycznie usunięcia danych z systemów administratora danych ani nie powinno mieć wpływu na ustalony okres przechowywania danych, które były przedmiotem wykonywanego prawa do przenoszenia danych. Podmiot danych może wykonywać swoje uprawnienia tak długo, jak administrator przetwarza jego dane osobowe.
W jakich przypadkach prawo do przenoszenia danych znajduje zastosowanie?
Zgodnie z treścią art. 20 ust. 1 lit. a) RODO, prawo do przenoszenia danych znajduje zastosowanie wobec operacji przetwarzania danych na podstawie:
- zgody podmiotu danych;
- umowy, której podmiot danych jest stroną.
Ponadto, przetwarzanie to musi odbywać się w sposób zautomatyzowany, o czym stanowi art. 20 ust. 1 lit. b) RODO.
Grupa Robocza art. 29 wskazała, jakie rodzaje danych osobowych zostały objęte zakresem tego nowego prawa. Zgodnie z treścią art. 20 ust. 1 RODO, chodzi jedynie o (i) dane osobowe dotyczące podmiotu danych oraz (ii) które osoba, której dane dotyczą dostarczyła administratorowi danych. Dodatkowo, art. 20 ust. 4 RODO stanowi, że prawo, o którym mowa w ust. 1, nie może niekorzystnie wpływać na prawa i wolności innych. Wyżej wymienione kryteria zostały szczegółowo omówione przez Grupę Roboczą:
- Dane osobowe dotyczące podmiotu danych – zgodnie z wyjaśnieniami Grupy Roboczej dane zanonimizowane nie będą mieściły się w zakresie zastosowania art. 20 RODO, w przeciwieństwie do danych spseudonimizowanych, które wyraźnie mogą zostać powiązane z podmiotem danych. Ponadto, zwrócono uwagę na konieczność unikania zbyt restrykcyjnej interpretacji pojęcia “dane osobowe dotyczące podmiotu danych”.
- Dane dostarczone administratorowi danych przez osobę, której dane dotyczą – w opinii Grupy Roboczej, administrator danych powinien uwzględnić nie tylko dane “świadomie i aktywnie” dostarczone przez podmiot danych, ale także dane osobowe, które są generowane i zbierane w wyniku działalności użytkownika. Ta ostatnia kategoria jednakże nie powinna obejmować danych wygenerowanych wyłącznie przez administratora danych w wyniku przetwarzania danych, w tym na przykład danych dotyczących kategoryzacji użytkownika ani jego profilu opracowanego przez administratora.
- Prawo do przenoszenia danych nie może niekorzystnie wpływać na prawa i wolności innych – Grupa Robocza art. 29 zauważa, iż o ile podmiot danych, który wykonuje swoje prawo do przenoszenia danych wyraził zgodę na przetwarzanie swoich danych osobowych przez nowego administratora danych lub zawarł z nim umowę, o tyle osoby trzecie, których dane są uwzględnione w zbiorze danych, który zostaje przeniesiony mogły nawet o tym nie wiedzieć. W takich przypadkach konieczne jest znalezienie innej podstawy przetwarzania takich danych. Podkreślono także, iż nowy administrator danych otrzymujący dane nie może wykorzystywać “przeniesionych” danych osób trzecich dla swoich własnych celów (np. marketingowych).
Prawo do przenoszenia danych a pozostałe uprawnienia podmiotów danych
Grupa Robocza art. 29 zaznacza, iż administrator danych jest zobowiązany informować podmioty danych o przysługującym im prawie do przenoszenia danych, zgodnie z postanowieniami art. 13 ust. 2 lit. b) oraz 14 ust. 2 lit. c) RODO. Rekomendowane jest precyzyjne wyjaśnienie różnic pomiędzy różnymi prawami przysługującymi osobom, których dane dotyczą, w tym w szczególności pomiędzy tym, jakie rodzaje danych podmiot danych może otrzymać w wyniku wykonania prawa dostępu do danych, a jakie w przypadku prawa do przenoszenia danych. Ponadto, sugeruje się, aby w ramach procedury zamknięcia konta w danej usłudze, użytkownik otrzymywał informacje na temat prawa do przenoszenia danych.
W odniesieniu do administratorów danych, którzy mają otrzymać “przenoszone” dane, Grupa Robocza rekomenduje, aby wskazywali oni, jakie rodzaje danych osobowych są istotne z punktu widzenia świadczonych przez nich usług. Pozwoli to na ograniczenie ryzyka związanego z przenoszeniem danych osób trzecich, a także zapobiegnie niepotrzebnej duplikacji danych osobowych, w przypadku gdy nie są one niezbędne do świadczenia danej usługi.
Zgodnie z treścią art. 12 ust. 3 RODO, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22 RODO. Termin ten może być przedłużony maksymalnie do trzech miesięcy z uwagi na skomplikowany charakter żądania lub liczbę żądań, pod warunkiem udzielenia informacji osobie, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia w ciągu miesiąca. Grupa Robocza zauważa, że administratorzy danych, którzy świadczą usługi drogą elektroniczną powinni co do zasady być w stanie spełniać żądania podmiotów danych w zakresie ich prawa do przenoszenia danych w stosunkowo krótkim czasie. Sugeruje także, aby administratorzy danych wskazywali czas, w którym przeciętnie realizowane są takie żądania. Terminy, o których mowa powyżej znajdują także zastosowanie w przypadku, gdy administrator odmawia spełnienia żądania podmiotu danych.
Grupa Robocza art. 29 stwierdza w swoich wytycznych, że administratorzy danych nie powinni pobierać opłat za realizację żądań podmiotów danych w zakresie prawa do przenoszenia danych osobowych, chyba że mogą wykazać, że żądania te są “oczywiście nieuzasadnione lub nadmierne, w szczególności ze względu na ich powtarzający się charakter”.
W jaki sposób dane powinny zostać przekazane?
O ile Rozporządzenie nie wskazuje żadnego szczególnego formatu, w jakim dane powinny być przesyłane w wyniku realizacji żądania z art. 20 RODO, dane te muszą być udostępnione w “ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”, co ma na celu ułatwienie późniejszego ponownego wykorzystania tych danych. Jak wskazuje się w motywie 68 preambuły RORO, “administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych”.
Grupa Robocza wskazuje także, że administratorzy danych powinni udostępniać jak najwięcej metadanych na jak największym poziomie szczegółowości, co ma pozwolić zachować dokładne znaczenie wymienianych danych, np. udostępnianie poczty elektronicznej w formacie .pdf nie byłoby celowe, gdyż metadane będą niezbędne do efektywnego wykorzystania udostępnionych danych. Jednakże przetwarzanie dodatkowych metadanych poza tymi, które są konieczne, tylko na wypadek żądania w zakresie prawa do przenoszenia danych, nie będzie stanowiło legalnej podstawy przetwarzania takich danych.
Na zakończenia, Grupa Robocza zaznacza, iż administartorzy danych są odpowiedzialni za bezpieczne przekazywanie danych, jednakże stosowane zabezpieczenia nie powinny stanowić utrudnień w przekazywaniu danych ani stanowić dodatkowego obciążenia finansowego po stronie podmiotu danych. Grupa Robocza rekomenduje, aby administratorzy danych informowali podmioty danych o możliwych do podjęcia środkach, mających na celu zabezpieczenie otrzymanych informacji (w tym dostępne formaty danych lub szyfrowanie).
Pomimo, iż opracowane przez Grupę Roboczą wytyczne nie odpowiadają na wszystkie pytania i z całą pewnością można stwierdzić, że w momencie, gdy Rozporządzenie zacznie być stosowane pojawią się nowe wątpliwości, należy uznać je za cenne wskazówki dla administratorów danych.
****
Wytyczne w języku angielskim dostępne są tutaj. Nieoficjalne tłumaczenie udostępnione przez GIODO dostępne jest tutaj.
Najczęściej zadawane pytania w języku angielskim dostępne są tutaj.
Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących inspektorów ochrony danych tutaj oraz wiodącego organu nadzorczego tutaj.