W grudniu ubiegłego roku, na łamach naszego bloga opublikowany został artykuł rozpoczynający serię poświęconą realizacji praw osób, których dane dotyczą. Jest on przez nas przywołany na początku każdej publikacji z cyklu, w celu podkreślenia, że każde z uprawnień podmiotu danych powinno być realizowane z uwzględnieniem trybu wykonywania praw oraz ogólnych zasad przejrzystej komunikacji. Zostały one uregulowane w art. 12 RODO, któremu został poświęcony grudniowy artykuł.
Niniejsza publikacja jest kontynuacją wspomnianego cyklu. Tym razem pochyliliśmy się nad prawem do przenoszenia danych, które zostało przez unijnego prawodawcę uregulowane w art. 20 RODO.
Po lekturze artykułu czytelnik może dowiedzieć się:
Istota prawa do przenoszenia danych
Prawo do przenoszenie danych jest uprawnieniem stosunkowo nowym, ponieważ nie występowało ono na gruncie poprzednich regulacji prawnych dotyczących ochrony danych osobowych. Unijny prawodawca uregulował je w art. 20 RODO po raz pierwszy. Uprawienie to pozwala osobie, której dane dotyczą uzyskać swoje dane osobowe „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”. Takie uprawnienie daje już prawo dostępu uregulowane w art. 15 RODO, jednak prawo do przenoszenia danych umożliwia coś więcej. Osoba, której dane dotyczą może domagać się, aby jej dane zostały bezpośrednio przesłane przez administratora innemu ADO, jeżeli jest to technicznie możliwe. Realizacja przez administratora wniosku opartego na art. 20 RODO jest więc namacalnym dowodem na realną kontrolę podmiotu danych nad swoimi danymi.
Jakie są warunki realizacji prawa z art. 20 RODO
Prawo do przenoszenia danych nie ma charakteru absolutnego. Oznacza to, że aby z niego skorzystać należy spełnić określone w art. 20 RODO przesłanki. Jeżeli nie wystąpią one jednocześnie, to prawo do przenoszenia danych nie będzie mogło zostać zrealizowane.
Pierwszym warunkiem determinującym realizację prawa do przenoszenia danych jest właściwa przesłanka legalizująca ich przetwarzanie (co zostało określone w art. 20 ust. 1 lit. a RODO). Otóż uprawnienie to przysługuje tylko w zakresie danych przetwarzanych na podstawie zgody, wyrażonej przez podmiot danych (art. 6 ust. 1 lit. a oraz art. 9 ust. 1 lit. a RODO) lub w związku z wykonaniem umowy, której podmiot danych jest stroną (art. 6 ust. 1 lit. b RODO). W związku z tym, jeżeli administrator przetwarza dane osobowe na podstawie zgody lub umowy, musi liczyć się z możliwością otrzymania żądania dotyczącego przeniesienia danych. Przy innych podstawach przetwarzania żądanie podmiotu danych będzie nieuzasadnione i wniosek może zostać odrzucony przez ADO, w trybie określonym w art. 12 RODO.
Drugim warunkiem umożliwiającym skorzystanie z prawa do przenoszenia danych jest forma ich przetwarzania. W art. 20 ust. 1 lit. b RODO legislator unijny wprost wskazał, że tylko dane przetwarzane w sposób zautomatyzowany podlegają omawianej regulacji. Za zautomatyzowane przetwarzanie należy uznać, przetwarzanie odbywające się z użyciem systemów informatycznych, niewymagających każdorazowego działania ludzkiego.
Po trzecie, prawo to przysługuje wyłącznie wówczas, gdy dane są dostarczone przez podmiot danych. Zgodnie z wytycznymi EROD (dawnej Grupy Roboczej art. 29) dostarczenie danych przez osobę, której one dotyczą należy rozumieć szeroko. Co prawda doktryna rozróżnia pasywne i aktywne przekazanie danych osobowych. Jednak istnieje istotna zależność pomiędzy danymi, które użytkownik administratorowi dostarczył samodzielnie, a danymi, które na podstawie informacji dostarczonych, zostały przez administratora zebrane już bez aktywności podmiotu danych. Na przykład użytkownik smartwatcha rejestruje się w aplikacji, która pozwala na wykorzystanie funkcjonalności zegarka, podając aktywnie dane go identyfikujące. Natomiast aplikacja już niejako sama rejestruje dane na temat np. tętna, aktywności fizycznej, jakości snu i oddechu, gromadząc je przy pasywności użytkownika. Te zgromadzone dane są przetwarzane przez administratora jako dostarczone przez osobę, której one dotyczą.
Ograniczenia prawa do przenoszenia danych
Zgodnie z art. 30 ust. 4 korzystanie z prawa do przenoszenia danych nie może negatywnie wpływać na prawa i wolności innych, w tym też ADO. Oznacza to, że administrator w procesie przygotowania danych do przeniesienia musi poddać je wnikliwej analizie. Powinna ona dotyczyć przede wszystkim weryfikacji obecności informacji pozwalających na zidentyfikowanie innych osób fizycznych, niż wnioskodawca. W obliczu ich stwierdzenia, należy dokonać oceny czy przeniesienie danych nie naruszy praw i wolności tych osób wynikających z RODO, dóbr osobistych czy np. praw autorskich osób, których one dotyczą. Jeżeli ADO zidentyfikuje ryzyko ich naruszenia, musi podjąć kroki, których efektem będzie eliminacja ryzyka, tj. dokonać odpowiedniej anonimizacji przenoszonych danych.
Prawodawcza unijny wprowadzając uprawnienie do przenoszenia danych doskonale skalkulował prawdopodobieństwo nadużyć wynikających z prokonsumenckiej i prokonkurencyjnej właściwości prawa do przenoszenia danych. Dostrzeżono bowiem ryzyko związane z ujawnieniem w drodze przekazywania kopii danych algorytmów przetwarzania będących tajemnicą przedsiębiorstwa oraz innych danych związanych z wykorzystanymi w organizacji środkami bezpieczeństwa. Dlatego prawo to zostało obarczone ograniczeniem, którego zadaniem jest troska nie tylko o interes podmiotów danych, ale i administratora, któremu przyjdzie zmierzyć się z jego realizacją.
Jeżeli pasywnie dostarczona informacja podczas jej przenoszenia, stanowiłaby dla administratora ryzyko naruszenia jego własności intelektualnej lub innych praw, uprawnienie podmiotu danych w zakresie takich informacji nie będzie miało zastosowania. Przykładowo wynik analizy zdolności kredytowej lub dane pozyskane z profilowania mogą ujawnić stosowane przez administratora algorytmy. Co istotne, realizacja prawa nie obejmie danych poddanych anonimizacji, jednak informacje spseudonimizowane należy w ujęciu art. 20 RODO traktować jako podlegające przeniesieniu.
Czy przeniesienie danych oznacza ich usunięcie
Istotne jest też wskazanie, że przeniesienie danych nie oznacza ich usunięcia, co bywa właśnie tak mylnie interpretowane. Realizacja prawa do przeniesienia danych nie wpływa na status ADO, administrator nadal nim pozostaje. Nadal wykonuje wszelkie obowiązki wynikające z przepisów RODO, o ile nie zajdą przesłanki stanowiące o konieczności usunięcia danych (np. osiągnięcie celu przetwarzania i zakończenie okresu przechowywania). Przykładowo gdy zostanie wycofana zgoda, która była podstawą przetwarzania danych.
Format przenoszonych danych
Format przenoszonych danych wynika bezpośrednio z treści art. 20 ust. 1 RODO, zgodnie z którym „Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane (…)”. Wskazówką jest również motyw (68) Preambuły RODO:
„Aby zyskać większą kontrolę nad swoimi danymi w ramach zautomatyzowanego przetwarzania danych osobowych, osoba, której dane dotyczą, powinna także mieć możliwość otrzymywania dotyczących jej danych osobowych, których dostarczyła administratorowi, w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interoperacyjnym formacie oraz przesyłania ich innemu administratorowi. Administratorów danych należy zachęcać do opracowywania interoperacyjnych formatów, które umożliwiają przenoszenie danych (…)”
Określając narzędzia do przekazania przygotowanej kopii danych można rozważyć udzielenie podmiotowi lub odbiorcy możliwości samodzielnego pobrania danych. Będzie to tym bardziej uzasadnione w przypadku dużej ilości przenoszonych danych. Niezależnie jednak od obranego rozwiązania, trzeba brać pod uwagę ryzyko naruszenia poufności tych danych, dlatego przekazywany plik powinien zostać zabezpieczony hasłem lub przesłany szyfrowanym kanałem komunikacji.
Jaki jest status i zadania administratora, który otrzyma dane
Warto przyjrzeć się jeszcze drugiej stronie medalu, czyli administratorowi, który wskutek przeniesienia danych stanie się ich odbiorcą w rozumieniu art. 4 pkt. 9 RODO.
Wytyczne EROD stanowią, że administratorzy nie odpowiadają za przetwarzanie danych, którego dokona podmiot danych, czy administrator przekazujący lub otrzymujący. Oznacza to, że każda ze stron tego procesu, za swoje działania odpowiada samodzielnie. W relacji administratora przekazującego i odbierającego nie dochodzi ani do współadministrowania, ani do powierzenia przetwarzania danych, ale do ich udostepnienia.
W związku z tym odbiorca stanie się odrębnym administratorem, który samodzielnie będzie ustalał cele i sposoby przetwarzania otrzymanych danych. Oznacza to, że będzie ciążył na nim obowiązek wykazania, że pozyskane dane są stosowne co do celu przetwarzania i nie naruszają zasad „ograniczenie celu” i minimalizacji danych. Dlatego warto skonsultować z podmiotem danych, jakiego celu i zakresu danych będzie dotyczył wniosek skierowany na podstawie art. 20 RODO. Ponadto z chwilą otrzymania danych i wejścia w rolę administratora odbiorca odpowiada za rzetelność ich przetwarzania, przyjmując na siebie wszelkie obowiązki związane z tą rolą, począwszy na poinformowaniu podmiotu danych zgodnie z art. 14 RODO.
W praktyce, jeśli podmiot, któremu dane udostępniono nie zostanie uprzedzony przez przekazującego, ani przez podmiot danych, że zostaną mu one dostarczone w związku z realizacją art. 20 RODO, powinien zrealizować obowiązek informacyjny warstwowo. To znaczy najpierw powinien przedstawić osobie, której dane dotyczą:
- swoją tożsamość oraz dane kontaktowe,
- źródło i kategorie otrzymanych danych,
- a także potencjalne cele przetwarzania wraz z pytaniem o intencje tej osoby związane ze skorzystaniem przez nią z prawa do przenoszenia danych wobec ADO, który je przekazał.
Jeżeli kontakt ten okaże się nieskuteczny należy poinformować administratora, który dane udostępnił o możliwej pomyłce i ujawnieniu danych, a następnie je usunąć. Jeżeli podmiot danych udzieli odpowiedzi, wówczas należy określić zakres danych i cel ich przetwarzania oraz przedstawić tej osobie pozostałe informacje wymagane art. 14 RODO.
Podsumowanie
Realizacja prawa do przenoszenia danych nie jest prosta. Nakłada na administratora konieczność zastosowania stosownych narzędzi pozwalających na jego wykonanie, zwłaszcza w przypadku, gdy przetwarzany jest szeroki zakres danych. W momencie wpłynięcia wniosku konieczne będzie najpierw wykonanie pracy polegającej na analizie jego zasadności w kontekście zastosowania prawa do przetwarzanych danych. Jeśli wniosek jest zasadny, dalej podejmowane działania będą polegały na odpowiednim przygotowaniu danych, z uwzględnieniem ograniczeń dotyczących wpływu na inne osoby. I na koniec jeszcze pewien wysiłek może stanowić bezpieczne przekazanie danych, zwłaszcza jeśli rozmiar danych nie pozwala na ich wysłanie w postaci pliku. Sprostanie tym wzywaniom może wymagać specjalistycznej wiedzy i zastosowania adekwatnych rozwiązań, ze względu na mnogość warunków technicznych i prawnych, jakie ADO musi wypełnić w celu prawidłowego spełnienia żądania podmiotu danych.