Baza wiedzy

Prawo do przenoszenia danych to jedno z uprawnień przysługujących na gruncie RODO osobom fizycznym, których dane są przetwarzane przez określony podmiot (administratora danych). W określonych przypadkach osoby te będą mogły skorzystać z tego uprawnienia kierując żądanie do administratora, który przetwarza ich dane. Na czym dokładnie polega to żądanie i w jaki sposób powinien do niego odnieść się administrator danych?

Kiedy i komu przysługuje prawo przenoszenia danych?

Prawo do przenoszenia danych uregulowane w art. 20 RODO jest silnie powiązane z uprawnieniem dostępu do danych, o którym mowa w art. 15 RODO (więcej na jego temat przeczytasz TUTAJ), jednakże wymagany sposób realizacji jak i przypadki, w których ma zastosowanie są bardziej specyficzne.

Z prawa do przenoszenia danych może skorzystać wyłącznie osoba, której dane osobowe są przetwarzane przez administratora danych:

• w sposób zautomatyzowany (a więc w formie elektronicznej - za pomocą systemów informatycznych) oraz

• na określonej podstawie prawnej – na podstawie udzielonej zgody na przetwarzanie danych lub na podstawie zawartej z osobą fizyczną umowy (tj. gdy przetwarzanie danych jest niezbędne do wykonania umowy zawartej z tą osobą lub gdy przetwarzanie danych jest niezbędne do podjęcia określonych działań na żądanie tej osoby przed zawarciem umowy).

Tylko w powyższych przypadkach konkretna osoba fizyczna będzie mogła skierować wobec administratora żądanie dotyczące przenoszenia danych.

Na czym polega prawo przenoszenia danych?

Z kolei samo prawo do przenoszenia danych polega na prawie żądania od administratora informacji (kopii danych), które osoba fizyczna mu dostarczyła (przekazała) na potrzeby zawarcia i realizacji umowy lub na podstawie udzielonej zgody (np. na przetwarzanie danych w celach marketingowych), przy czym dane te muszą zostać wydane przez administratora w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”.

Ponadto Rozporządzenie stanowi, że osoba fizyczna (podmiot danych) wykonując prawo do przenoszenia danych „ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe”.

Oznacza to, że zgodnie z wymaganiami RODO administratorzy danych mogą zostać zobowiązani do stosowania interoperacyjnych formatów danych, dających możliwość ponownego wykorzystania danych osobowych pierwotnie przekazanych przez osobę, której one dotyczą.

"Interoperacyjne" formaty danych czyli jakie?

Na chwilę obecną jedyne wytyczne, w oparciu o które istniałaby możliwość ustalenia jakiego typu formaty danych należy uznać za „powszechnie używane”, „ustrukturyzowane” oraz „nadające się do odczytu maszynowego” zostały opracowane w dokumencie WP 242 z dnia 13 grudnia 2016 r. (zaktualizowane w dniu 5 kwietnia 2017 r.) autorstwa Grupy roboczej ds. art. 29.  

Zgodnie z przedstawioną opinią w tym dokumencie terminy „ustrukturyzowany”, „powszechnie używany” oraz „nadający się do odczytu maszynowego” stanowią zestaw minimalnych wymogów, które powinny umożliwiać interoperacyjność danych przekazanych przez administratora danych. W ten sposób terminy „ustrukturyzowany, powszechnie używany i nadający się do odczytu maszynowego” stanowią określenie środków, podczas gdy interoperacyjność to oczekiwany wynik”.

Tym samym kluczowym efektem (wynikiem) jaki powinien być zapewniony osobie fizycznej (podmiotowi danych), to możliwość ponownego i pełnego wykorzystania jej danych osobowych zapisanych w formacie udostępnianego pliku przez administratora danych.

Na chwilę obecną jako przykłady formatów zapewniających możliwie szeroką interoperacyjność Grupa ds. art. 29 wskazuje takie formaty jak XML, JSON, CSV, co pokrywa się również z powszechną praktyką polskich urzędów oraz organów państwowych wykorzystywania w relacjach z obywatelami tego typu formatów danych (np. wykorzystywany format XML w systemie e-deklaracje).

Zgodnie z opinią Grupy ds. art. 29 powszechne formaty danych powinny być wykorzystywane wraz z przydatnymi metadanymi na możliwie najwyższym poziomie szczegółowości, przy jednoczesnym zachowaniu wysokiego poziomu abstrakcji. Metadane powinny być wykorzystane do prawidłowego opisania znaczenia informacji będących przedmiotem wymiany w celu umożliwienia funkcjonowania i ponownego wykorzystywania tych danych.

Administrator danych ma zasadniczo miesiąc na spełnienie żądania

Wobec opisywanego uprawnienia zastosowanie mają ogólne reguły dotyczące realizacji żądań osób fizycznych (podmiotów danych) oraz prowadzenia wobec nich polityki informacyjnej, wskazane w art. 12 RODO. Zgodnie z tym przepisem w przypadku skierowania określonego żądania przez podmiot danych, administrator danych zobowiązany jest do udzielenia informacji o podjętych działaniach w związku
ze złożonym żądaniem w terminie miesiąca od jego otrzymania.

W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub dużą liczbę żądań. W takim jednak wypadku w terminie miesiąca od otrzymania żądania administrator musi poinformować osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia.

Jeżeli administrator nie zamierza podejmować działań w związku z żądaniem osoby, której dane dotyczą, jest zobowiązany niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – poinformować osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.