Ogólne rozporządzenie o ochronie danych osobowych (RODO) zacznie obowiązywać 25 maja 2018 roku. Jego celem jest stworzenie jednolitego i efektywnego systemu ochrony prywatności użytkowników sieci. Jedną z wprowadzanych nowości jest tzw. portability – przenoszalność danych.
Czym jest nowe prawo użytkowników do przenoszenia danych?
Prawo do przenoszenia danych osobowych oznacza, że osoba, której dane dotyczą, będzie miała prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące. Dzięki prawu do przenoszenia danych, osoby uprawnione będą mogły zarządzać swoimi danymi, a także wykorzystywać je do celów prywatnych. Ponadto osoba wykonująca swoje prawo może żądać, by dane osobowe zostały przekazane przez administratora bezpośrednio innemu administratorowi
Warunki
Prawo do przenoszenia danych przysługuje wyłącznie w przypadku spełnienia następujących warunków. Po pierwsze, przetwarzanie danych musi odbywać się w sposób zautomatyzowany. Po drugie, dane, które mają być przeniesione muszą dotyczyć osoby żądającej ich przeniesienia. Zatem prawo to nie obejmuje danych anonimowych ani danych, które nie są w żaden sposób powiązane z osobą korzystającą z prawa. Niemniej jednak, w wielu sytuacjach dane dotyczą kilku osób na raz. Jako przykład można wskazać rejestry połączeń, które zawierają informacje o osobach trzecich, które brały udział w rozmowach. W takim przypadku, zgodnie z wytycznymi, administratorzy danych powinni przekazać cały zestaw danych wraz z informacjami na temat osób trzecich, pod warunkiem, że takie działanie nie naruszy ich praw i wolności. Za naruszenie można uznać sytuację, w której na skutek przekazania danych nowemu administratorowi dane osoby trzeciej będą przetwarzane bez odpowiedniej podstawy prawnej, na przykład w postaci zgody czy zawartej umowy. Po trzecie, dane, które mogą zostać przeniesione, muszą być dostarczone przez osobę pragnącą skorzystać z prawa do ich przeniesienia. Wytyczne precyzują, że jako dane „dostarczone” przez konkretną osobę, należy uważać dane bezpośrednio przez nią udostępnione, przykładowo poprzez wypełnienie ankiety, a także dane, które zostały wygenerowane z obserwacji działalności tej osoby. Z kolei, dane, które są wynikiem analiz administratora danych (np. profil użytkownika), nie są postrzegane jako „dostarczone” przez wskazaną osobę, a zatem nie mogą podlegać przeniesieniu na jej wniosek. Ponad to, prawo do przeniesienia danych stosuje się, jeśli przetwarzanie opiera się na podstawie zgody lub umowy. Nie obejmuje ono administratorów, którzy przetwarzają dane niezbędne do wykonania zadania realizowanego w interesie publicznych lub w ramach sprawowania władzy publicznej powierzonej administratorowi.
Jak się przygotować? – Obowiązki administratora
Prawo do przenoszenia danych oznacza, że administratorzy danych osobowych będą musieli przygotować swoje systemy do sprawnego odpowiadania na zgłoszone żądania. W przypadku długotrwałych relacji administratora z osobą, której dane są przetwarzane, ilość danych osobowych będzie bardzo duża. Jednak RODO nie limituje ilości przekazywanych danych. Administrator na żądania zobligowany jest do przekazania wszystkich danych, które zgromadził. Może to być kłopotliwe dla administratorów i wymagać dużego wysiłku organizacyjnego. Dane osobowe powinny być przekazywane w powszechnie używanym formacie, który pozwoli je odczytać maszynowo, np. w formacie PDF, XML, CSV albo JSON.
„Nowy” administrator danych będzie odpowiedzialny za zapewnienie, aby przekazane mu dane osobowe nie były nadmierne w stosunku do nowego celu przetwarzania danych, dlatego ważne jest wyraźne i bezpośrednie określenie celów, dla których będzie przetwarzał dane osobowe.
Prawo do przeniesienia danych nie jest tym samym co prawo do bycia zapomnianym, o którym pisaliśmy w artykule Co zmienia RODO – Prawo do bycia zapomnianym. „Stary” administrator danych nie będzie miał automatycznie obowiązku usunięcia przeniesionych danych, jednak na żądanie podmiotu danych będzie musiał te dane usunąć.
Wyjątki!
Przenoszalność danych nie ma zastosowania do ich przetwarzania w zakresie:
- niezbędnym do wykonania zadania realizowanego w interesie publicznym,
- niezbędnym w ramach sprawowania władzy publicznej powierzonej administratorowi.
Jakie grożą sankcje?
Brak przekazania danych zgodnie z art. 20 RODO może narazić administratora danych na karę pieniężną do 20.000.000 euro. Przy wymiarze kary GIODO będzie zobowiązane do wzięcia pod uwagę m.in. uprzednich naruszeń RODO czy stopień współpracy administratora w trakcie postępowania kontrolnego. Okolicznością łagodzącą może być posiadanie certyfikatu ochrony danych osobowych.
Na czym będzie polegał nowy obowiązek do uzyskiwania zgody dziecka na przetwarzanie danych osobowych? Dowiedź się z kolejnego artykułu. Zapraszamy!