Możliwość przenoszenia danych to nowe prawo przyznane osobom, których dane dotyczą, przez ogólne rozporządzenie o ochronie danych (RODO). Dowiedz się, w jaki sposób trzeba będzie realizować je w praktyce. Sprawdź, czy w każdej sytuacji i każdemu takie prawo będzie przysługiwać.
Na podstawie ogólnego rozporządzenia o ochronie danych (RODO) osoba fizyczna ma prawo otrzymać dotyczące jej dane, które uprzednio dostarczyła administratorowi, a następnie ma prawo przesłać je innemu administratorowi bez przeszkód ze strony pierwotnego administratora. Osoba ta jest uprawniona do otrzymania tych danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
Prawo do przenoszenia danych może być zrealizowane, jeżeli dane uprawnionej osoby są przetwarzane:
Wytyczne Grupy Roboczej Art. 29 dotyczące prawa do przenoszenia danych zawierają przykłady realizacji tego prawa.
PRZYKŁAD Osoba, której dane dotyczą, jest zainteresowana uzyskaniem swojej listy odtwarzania (lub historii słuchanych utworów) z serwisu strumieniowej transmisji muzyki, aby sprawdzić, ile razy odsłuchała konkretne utwory, lub których utworów chce posłuchać w ramach korzystania z innego serwisu. |
Jednocześnie, w ramach prawa do przenoszenia danych, osoba, której dane dotyczą, może żądać, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, jeśli jest to technicznie możliwe.
Z tego uprawnienia wynika, że:
Osoba, której dane dotyczą, może nadal korzystać z usług administratora danych, nawet po zakończeniu operacji przenoszenia danych. Przenoszenie danych nie powoduje automatycznego ich usunięcia z systemów administratora danych. Osoba, której dane dotyczą, może korzystać ze swoich pozostałych praw (np. prawa do sprostowania danych), jeśli administrator danych nadal przetwarza dane. Jeżeli osoba, której dane dotyczą, zamierza wykonać przysługujące jej prawo do usunięcia danych (prawo do bycia zapomnianym), administrator danych nie może wykorzystać przenoszenia danych jako powodu opóźnienia lub odmowy takiego usunięcia.
Tym samym prawo do przenoszenia danych oznacza dla administratora:
PRZYKŁAD Naruszenie praw i wolności osób trzecich nastąpi np., gdy nowy administrator danych wykorzysta przeniesione dane osobowe do innych celów (np. jeżeli w przypadku usługi webmail administrator ten wykorzysta przeniesione dane osobowe innych osób fizycznych figurujących w spisie kontaktów osoby, której dane dotyczą, do celów marketingowych). Nie jest również dopuszczalne wzbogacanie profili konkretnych użytkowników, gdy ich dane jako osób trzecich zostały objęte przeniesieniem. |
Prawo do przenoszenia danych nie jest również nieograniczone. Otóż, zgodnie z RODO:
PRZYKŁAD Wspólnik spółki cywilnej nie może żądać od banku przeniesienia do innego banku danych osobowych pozostałych wspólników. |
1) Opracuj procedurę wewnętrzną
W celu realizacji prawa do przenoszenia danych należy opracować i wprowadzić wewnętrzną procedurę przekazywania danych. Trzeba uwzględnić w niej schemat przekazywania danych (w tym np. zapewnić, że rodzaj przesyłanych danych osobowych pokrywa się faktycznie z rodzajem danych, jaki osoba, której dane dotyczą, pragnie przesłać poprzez uzyskanie potwierdzenia od tej osoby).
Trzeba się także przygotować na techniczne problemy związane z przekazywaniem danych, a w szczególności danych o dużej objętości.
PRZYKŁAD Jeżeli rozmiar danych żądanych przez osobę, której one dotyczą, powoduje, że ich przesłanie za pośrednictwem Internetu może być problematyczne, zamiast potencjalnego skorzystania z możliwości przedłużenia terminu na spełnienie żądania o maksymalnie trzy miesiące można również rozważyć alternatywne środki dostarczenia danych, takie jak transmisja strumieniowa lub zapisanie ich na płycie DVD lub na innym nośniku fizycznym. |
W odniesieniu do formy przekazywania należy pamiętać, że gdy osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także trzeba przekazywać elektronicznie, chyba że osoba ta zażąda innej formy przekazania.
Ponadto w przypadku wszystkich administratorów danych (zarówno przesyłających, jak i otrzymujących dane) warto wdrożyć narzędzia umożliwiające osobom, których dane dotyczą, wybór istotnych danych, które chcą one otrzymać i przesłać.
Administrator musi również ocenić szczególne zagrożenia związane z przenoszeniem danych i podjąć właściwe środki zmniejszające ryzyko,np. poprzez wykorzystanie dodatkowych informacji uwierzytelniających. Zastosowane środki bezpieczeństwa nie mogą jednak utrudniać ani uniemożliwiać użytkownikom wykonywania przysługujących im praw, np. poprzez nałożenie dodatkowych kosztów. Dodatkowo dobrą praktyką będzie rekomendowanie osobom fizycznym przez administratora podjęcia właściwych środków zabezpieczeniaprzekazanych danych.
2) Zidentyfikuj wnioskodawcę
Jeżeli ktokolwiek zwraca się do administratora z wnioskiem o przeniesienie danych, ADO musi mieć pewność, że dane te dotyczą tego wnioskodawcy. W tym celu należy go zidentyfikować. Na podstawie art. 12 ust. 2 RODO można odmówić wnioskodawcy realizacji jego prawa, jeżeli administrator nie będzie w stanie go zidentyfikować. W takim przypadku procedura przenoszenia danych nie powinna zostać wszczęta, aż do czasu, gdy osoba, której dane dotyczą, dostarczy dodatkowe informacje, które pozwolą ją zidentyfikować. Z kolei administrator danych może skorzystać z prawa do żądania od tej osoby dodatkowych informacji, które są w jego ocenie niezbędne do potwierdzenia jej tożsamości.
WAŻNE
Dane osobowe wykorzystywane do rejestracji osoby fizycznej, której dotyczy przetwarzanie, mogą być również wykorzystywane jako dowód jej uwierzytelnienia do celów związanych z przeniesieniem. Przykładowo, jeżeli przetwarzanie danych jest związane z kontem użytkownika, dostarczenie odpowiedniego loginu i hasła może być wystarczające do identyfikacji osoby, której dane dotyczą.
3) Dochowaj terminu
Realizacja prawa do przeniesienia danych powinna nastąpić, zgodnie z RODO, bez zbędnej zwłoki i nie później niż w terminie:
W przypadku decyzji dotyczącej niepodjęcia działań zmierzających do przekazania danych administrator ma obowiązek poinformować osobę, której dane dotyczą, niezwłocznie (najpóźniej w terminie miesiąca od otrzymania żądania) o powodach niepodjęcia działańoraz o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz skorzystania ze środków ochrony prawnej przed sądem.
4) Oszacuj koszty dokonania operacji
Komunikacja i działania podejmowane w związku z realizacją prawa do przenoszenia danych są na podstawie ogólnego rozporządzenia o ochronie danych wolne od opłat. Jeżeli jednak żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, można:
To administrator musi wykazać, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter.
5) Pamiętaj o odpowiedniej formie komunikacji
Zarówno komunikacja z interesantem, jak i treść informacji, które administrator mu przekazuje, powinny zostać sformułowane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. Osoba, której dane dotyczą, powinna zawsze dysponować jednoznacznymi informacjami na temat danych, jakie należy pobrać lub przesłać innemu administratorowi danych w związku z określonym celem.
6) Nie utrudniaj realizacji tego prawa
Osoby, których dane dotyczą, mają prawo przesłać dane innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe.
Tego rodzaju przeszkody, zgodnie z wytycznymi Grupy Roboczej Art. 29, można określić jako bariery prawne, techniczne lub finansowe ustanowione przez administratora danych w celu powstrzymania lub spowolnienia dostępu, przesyłania lub ponownego wykorzystania przez osobę, której dane dotyczą, lub przez innego administratora danych.
PRZYKŁAD Niedopuszczalną przeszkodę ze strony administratora mogą stanowić np.:
|
W sytuacji gdy dane osobowe zostają administratorowi przekazane na skutek dyspozycji osoby, której one dotyczą, przez innego administratora, należy pamiętać, że administrowanie nimi musi być zgodne z przepisami ogólnego rozporządzenia o ochronie danych. Przede wszystkim, zgodnie z art. 5 ogólnego rozporządzenia o ochronie danych, dane osobowe muszą być m.in.:
W przypadku otrzymania danych osobowych na podstawie prawa do przenoszenia danych administrator może uzyskać dane, które z punktu widzenia celu ich przetwarzania, nie będą mogły być przez niego przetwarzane zgodnie z prawem.
PRZYKŁAD W przypadku żądania przeniesienia danych wniesionego do dostawcy aplikacji webmail, w ramach którego osoba, której dane dotyczą, wykorzystuje wniesione żądanie w celu uzyskania wiadomości e-mail i przesłania ich na zabezpieczoną platformę służącą archiwizacji, nowy administrator danych nie musi przetwarzać danych kontaktowych korespondentów osoby, której dane dotyczą. Jeżeli informacje te nie są stosowne w odniesieniu do celu nowego przetwarzania, nie należy ich przechowywać ani przetwarzać. |
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl