Prawo do przenoszenia danych zostało wprowadzone przez Rozporządzenie o Ochronie Danych Osobowych ( RODO). Nie występowało ono bowiem we wcześniejszych regulacjach prawnych z zakresu ochrony danych osobowych.
Co to jest prawo do przenoszenia danych?
Prawo do przenoszenia danych osobowych określone jest przez artykuł 20 RODO. Pozwala na uzyskanie przez osobę, której dane dotyczą, swoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu maszynowego. Osoba, której dane dotyczą może uzyskać te dane od administratora, któremu wcześniej je przekazała. Ponadto, osoba ma prawo żądać, aby administrator, który uprzednio uzyskał te dane, przekazał je bez przeszkód innemu administratorowi.
Można zatem powiedzieć, że artykuł 20 RODO wskazuje 2 elementy prawa do przenoszenia danych. Oba te uprawnienia mogą być wykonywane niezależnie od siebie.
Prawo do przenoszenia danych – ograniczenia
Prawo do przenoszenia danych ma jednak swoje ograniczenia. Artykuł 20 RODO wskazuje, że omawiane uprawnienie powinno mieć zastosowanie, gdy osoba, której dane dotyczą dostarczyła dane w dwóch przypadkach. Pierwszy z nich to wyrażenie zgody. Mowa o zgodzie z art. 6 ust. 1 lit. a oraz art. 9 ust. 2 lit. a RODO. Oznacza to, że omawiane prawo dotyczy danych zwykłych, a także danych szczególnej kategorii, których przetwarzanie odbywa się na podstawie zgody. Drugi przypadek zachodzi, gdy przetwarzanie jest niezbędne do wykonania umowy (art. 6 ust. 1 lit. b RODO).
Po drugie, należy uwzględnić zautomatyzowany sposób przetwarzania danych. Realizacja uprawnienia polegającego na przekazaniu danych do innego administratora, będzie możliwa tylko w przypadku, gdy dane przetwarzane będą w sposób zautomatyzowany. Oznacza to, że omawiane prawo nie obejmuje tzw. zbiorów papierowych. Administrator nie ma obowiązku digitalizować danych przetwarzanych, np. ręcznie tylko w celu realizacji tego prawa. Narzucenie administratorowi takiego obowiązku mogłoby prowadzić do nadmiernego obciążenia administratorów.
Prawo do przenoszenia danych – kiedy nie przysługuje
Prawo do przenoszenia danych nie może być egzekwowane w stosunku do administratorów przetwarzających dane osobowe w ramach wykonywanych obowiązków publicznych, czyli w przypadku, gdy przetwarzanie danych jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator lub do wykonania zadania zrealizowanego w interesie publicznym w ramach sprawowania władzy publicznej powierzonemu administratorowi.
Prawo do przenoszenia danych- do kogo kierować
Prawo do przenoszenia danych z reguły może być kierowane jedynie do podmiotów prywatnych. RODO wprost wskazuje, że omawiane żądanie nie ma zastosowania w przypadku przetwarzania, które jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Oznaczać by to mogło, że nie ma możliwości kierowania tego żądania do administratorów sektora publicznego. Należy natomiast zauważyć, że zdarzają się sytuacje, w których podmiot publiczny przetwarza dane i nie następuje to w wyżej określonym celu. W takich przypadkach można domagać się realizacji omawianego prawa, również przez podmioty sektora publicznego.
Artykuł 20 RODO artykuł 15 RODO – czy coś je łączy?
Prawo dostępu do danych określone w artykule 15 RODO po części zawiera się w prawie do przenoszenia danych ujęte artykuł 20 RODO. Różnica pomiędzy tymi uprawnieniami skupia się na formie uzyskania danych. W przypadku prawa do przenoszenia danych mówimy o „ustrukturyzowanym, powszechnie używanym formacie, nadającym się do odczytu masowego”. Takiego wymogu nie ma w przypadku danych uzyskanych w wyniku wykonania prawa do dostępu do danych osobowych.
Prawo do przenoszenia danych – zakres danych
RODO zobowiązuje administratora do przekazania tych danych osobowych, osoby występującej z żądaniem, które dostarczyła ona administratorowi.
O jakie dane chodzi? W pierwszej kolejności, wyróżnić można czynny sposób dostarczenia danych. Następuje to przez świadome i aktywne przekazanie danych administratorowi, np. poprzez uzupełnienie danych na swoim koncie w sklepie internetowym.
Przyjmuje się jednak, że omawiane prawo powinno obejmować także dane, które administrator zebrał na podstawie obserwacji działań jednostki, np. na podstawie podejmowanych przez osobę czynności, historii zakupów, historii korzystania ze strony internetowej lub wyszukiwarki. Jeżeli administrator dysponuje takimi danymi, mowa jest o realizacji biernego prawa do przenoszenia danych.
Przesłanie danych osoby składającej żądanie innemu administratorowi może zostać zrealizowane, jak wskazuje artykuł 20 RODO ,”o ile jest to technicznie możliwe”. RODO w motywie 68 wskazuje, że obowiązek administratora wynikający z omawianego prawa nie powinien zmuszać administratorów do wprowadzenia kompatybilnych pod względem technicznym systemów przetwarzania danych.
Praktyczny aspekt artykułu 20 RODO polega zatem na wzmocnieniu kontroli osoby, której dane dotyczą nad jej danymi osobowymi i zapewnieniu jej możliwości uczestnictwa w obiegu jej danych.
Prawo do przenoszenia danych ma także wydźwięk praktyczny w odniesieniu do szybkiego rozwoju usług opartych na nowych technologiach Powstało w odpowiedzi na konieczność zapewnienia możliwości migracji danych pomiędzy różnymi usługodawcami. Ma za zadanie w sposób szybszy i mniej problematyczny pozwolić na zmianę dostawcy usług. Jak wskazuje Grupa Robocza Art. 29, prawo do przenoszenia danych można postrzegać jako czynnik wywierający wpływ na konkurencję między usługodawcami, sprzyjając tym samym rozwojowi nowych technologii.