renew set up as a password to combination puzzle box (cryptex)

Prawo do przenoszenia danych to nowe narzędzie wprowadzone przepisami Rozporządzenia w sprawie ochrony osób fizycznych.

W założeniu, od 25 maja 2018 r. każda osoba będzie mogła zgłosić się do administratora danych osobowych i poprosić o przesłanie jej w (1) ustrukturyzowanym,  (2) powszechnie używanym formacie nadającym się do (3) odczytu maszynowego dane osobowe ją dotyczące. Zastrzeżenie wynikające z nowej regulacji jest takie, że chodzi wyłącznie o dane osobowe, które ta osoba sama dostarczyła administratorowi.

Każdy będzie miał też prawo przesłać tak pozyskane dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono je pierwotnie (jeżeli przetwarzanie odbywa się na podstawie zgody/umowy, a dodatkowo w sposób zautomatyzowany).

W oparciu o wytyczne opublikowane przez Grupę Roboczą Art. 29 dot. data portability, podjęliśmy się opracowania odpowiedzi na najczęściej zadawane przez administratorów/przedsiębiorców pytania:

1. Czy za realizację prawa do przenoszenia danych administrator może pobrać opłatę?

Na poziomie przepisów RODO taka opłata nie jest z góry przekreślona. Jej wprowadzenie jednak nie będzie wcale takie proste.

Grupa Robocza Art. 29 przypomniała o zasadzie obowiązującej w RODO, mianowicie że komunikacja i działania podejmowane m.in. w zakresie prawa do przenoszenia danych są wolne od opłat.

Jeżeli żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może pobrać rozsądną opłatę.

W opinii GR 29 pojawia się jednak takie stwierdzenie, że w przypadku prawa do przenoszenia danych bardzo trudno jest wyobrazić sobie sprawę, w której taka opłata mogłaby być faktycznie uzasadniona.

2. Jak często prawo do przenoszenia danych może być wykonywane przez podmiot danych i ile czasu ma administrator na realizację żądania?

RODO nie przewiduje ograniczeń w częstotliwości proszenia przez podmiot danych (przez nas jako osoby fizyczne) o realizację prawa do przenoszenia danych.

Administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w ramach data portability. W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

3. Co oznacza „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”?

Tylko jedno z ww. elementów ma swoje wyjaśnienie w przepisach prawa, mianowicie „odczyt maszynowy”. Zresztą ten element to doskonały przykład, że dokumenty unijne powinno się czytać w oryginale ponieważ to samo pojęcie „machine-readable format” zostało przetłumaczone w różnych aktach prawnych raz jako „odczyt maszynowy”, a raz jako „odczyt komputerowy”.

Zgodnie z Dyrektywą 2013/37/EU:

Dokument należy uznać za sporządzony w formacie przeznaczonym do odczytu komputerowego, jeżeli występuje w formacie pliku zorganizowanego w sposób umożliwiający aplikacjom komputerowym łatwe identyfikowanie, rozpoznawanie i pozyskiwanie z niego określonych danych. Dane zakodowane w plikach zorganizowanych w formacie przeznaczonym do odczytu komputerowego to dane przeznaczone do odczytu komputerowego. Formaty przeznaczone do odczytu komputerowego mogą być otwarte lub zastrzeżone; mogą one występować jako standardy formalne lub nie. Dokumentów zakodowanych w formacie pliku ograniczającym przetwarzanie automatyczne z powodu niemożności pozyskania danych lub utrudnień w ich pozyskaniu z tych dokumentów nie należy uznawać za sporządzone w formacie przeznaczonym do odczytu komputerowego. Państwa członkowskie powinny w stosownych przypadkach zachęcać do korzystania z formatów otwartych przeznaczonych do odczytu komputerowego.

GR 29 wyraziła swoją opinię, że RODO nie narzuca jednego słusznego formatu i metody realizacji tego prawa. Została wyrażona wręcz zachęta dla przedsiębiorców aby ci ustalili między sobą w jakim formacie będą przekazywać dane, tak aby zapewnić możliwie ich interoperacyjność.

4. Które konkretnie kategorie danych osobowych administrator ma obowiązek przekazać?

RODO zawęża ilość informacji jakie można otrzymać w ramach data portability, posługując się następującym stwierdzeniem: „dane osobowe jej dotyczące, które dostarczyła administratorowi”. Czyli po pierwsze – muszą to być dane osobowe, a po drugie – chodzi o dane osobowe, które osoba sama dostarczyła do ADO.

Pierwszy element jest łatwiejszy do rozstrzygnięcia – dane osobowe będziemy oceniać z punktu widzenia definicji RODO.

Drugi element doprecyzowała GR 29 w swoich wytycznych w ten sposób, że chodzi nie tylko o dane przekazane przez podmiot danych np. informacje wpisane w formularzu rejestracyjnym, lecz także dane osobowe wynikające z używania urządzenia czy usługi np. historia przeglądania, dane dotyczące ruchu czy lokalizacja. Ponadto takimi danymi mogą być np. odczyty tętna z smartwatcha. GR 29 równolegle wskazała, że dane które są wynikiem analiz podejmowanych przez ADO np. ocena zdolności kredytowej – już nie mieszczą się w pojęciu danych, które osoba ADO dostarczyła i nie podlegają data portability.

5. Jakie są sankcje za niestosowanie nowej instytucji?

Naruszenia przepisów dotyczących praw osób, których dane dotyczą (czyli m.in. data portability) podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zachęcamy do zadawania dodatkowych pytań dot. data portability w komentarzach.

Michał Kluska

Michał Kluska
Adwokat, Senior Associate

michal.kluska@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *