Jakie dane należy przenosić na żądanie?
Prawo do przenoszenia danych uważane jest za prawo najtrudniejsze w realizacji, z uwagi na mnogość warunków technicznych i prawnych, jakie administratorzy danych muszą spełnić dla prawidłowego spełnienia żądania podmiotu danych. Nie bez przyczyny jako jedno z nielicznych praw osób określonych w art. 15–22 RODO zostało wyróżnione przez Grupę Roboczą art. 29 poprzez wydanie dedykowanych wytycznych. Z uwagi na te trudności prawo do przenoszenia danych nie jest prawem absolutnym. W początkowych projektach Rozporządzenia miało obejmować wszystkie dane podlegające przetwarzaniu w formacie elektronicznym i zorganizowanym. Uwzględniając jednak ryzyka dla administratorów (ryzyko ujawnienia know-how, metodologii profilowania, stosowanych algorytmów i metod analitycznych itp.)[1] ustawodawca europejski wprowadził szereg ograniczeń.
Prawo do przenoszenia obejmuje dane spełniające łącznie następujące warunki:
- dane osobowe;
- dostarczone administratorowi przez podmiot tych danych;
- przetwarzane na podstawie zgody (art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO) lub na podstawie umowy (art. 6 ust. 1b RODO) przez podmioty prywatne, a przez podmioty publiczne jedynie w zakresie w jakim nie jest to niezbędne do wykonania władztwa administracyjnego;
- przetwarzane w sposób zautomatyzowany;
- których przekazanie osobie lub innemu administratorowi nie może niekorzystnie wpływać na prawa i wolności innych.
Dane osobowe
Prawo przenoszenia dotyczy tylko tych informacji, które są danymi osobowymi. Zgodnie z definicją z art. 4 pkt 1 RODO to informacje o zidentyfikowanej lub możliwej do zidentyfikowania bezpośrednio lub pośrednio osobie fizycznej, takie jak: identyfikatory lub czynniki określające jej fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość. Za dane osobowe z ostrożności warto uznać także te informacje, które choćby potencjalnie mogą stać się podstawą do identyfikacji osoby, jak np. podawane w Wytycznych Grupy Roboczej przykłady: historia korzystania ze strony, historia wyszukiwania, historia zakupów w sklepie internetowym, tętno mierzone przez pulsometr, historia słuchanych utworów w serwisie streamingowym.
Dane dostarczone przez osobę, której dotyczą
Wyodrębnia się dwa sposoby dostarczania danych przez osobę: czynny i bierny. Przy dostarczeniu czynnym dane osobowe przekazywane świadomie i aktywnie przez osobę, np. przy wypełnieniu kwestionariusza osobowego. Dostarczenie bierne z kolei obejmuje dane wynikające z obserwacji osoby, wygenerowane przez jej działanie, poprzez np. odnotowywanie historii lokalizacji, historii zakupów, historii transakcji finansowych, sposobu korzystania z usługi lub strony internetowej. Zaliczenie danych zaobserwowanych do zakresu danych podlegających przenoszeniu jest odrzucane przez część doktryny z uwagi na językową wykładnię pojęcia „dane dostarczone przez osobę”. Autorzy ci zwracają także uwagę na praktyczne problemy związane z taką interpretacją. Intencją Grupy Roboczej było jednak możliwe rozszerzenie zakresu danych podlegających przenoszeniu, aby umożliwić rozwój nowych branż, takich jak Internet Rzeczy czy usługi quantified self, i tym samym wzbogacenie usług i doświadczeń konsumentów.[2]
Administrator nie ma natomiast obowiązku przenoszenia informacji, które wytworzył samodzielnie bazując na danych dostarczonych (dane pochodne), jak np. informacje wytworzone przez administratora w procesie analizy, personalizacji, rekomendacji, kategoryzacji lub profilowania użytkownika,[3] takie jak ocena zdolności kredytowej, wyliczenie wysokości składki ubezpieczeniowej, wnioskowanie o stanie zdrowotnym lub guście muzycznym, profil stworzony dla celów spersonalizowanej reklamy itp. Wyłączenie jest uzasadnione ochroną know-how administratorów, albowiem stosowane algorytmy stanowią zazwyczaj tajemnicę przedsiębiorstwa i zarazem kluczową wartość różnicującą usługodawców, a ich ujawnienie niwelowałoby przewagę biznesową nad konkurentami na rynku.
Podstawy prawne danych podlegających przenoszeniu
Kolejnym ograniczeniem stosowania art. 20 RODO jest wprowadzenie reguły, że przenosić można wyłącznie dane przetwarzane na podstawie zgody lub w celu zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą (art. 6 ust. 1 lit. a i b, art. 9 ust. 2 lit. a RODO).
Nie można zatem domagać się realizacji prawa przeniesienia w stosunku do danych przetwarzanych w celu realizacji obowiązku prawnego (np. obowiązków pracodawcy z zakresu ubezpieczeń społecznych) lub uzasadnionego interesu administratora (np. marketing bezpośredni, monitoring wizyjny, dochodzenie roszczeń), ochrony żywotnych interesów osoby, ani też przetwarzanych w zakresie władztwa administracyjnego (przy realizacji zadań w interesie publicznym lub przy sprawowaniu władzy publicznej). Nie oznacza to, że administratorzy operujący na ww. podstawach nie mogą zaoferować swoim klientom takiej funkcjonalności w ramach dobrych praktyk biznesowych. Z takiej usługi mogą skorzystać np. użytkownicy portalu Facebook, którzy mogą pobrać pakiet wszelkich danych zaimportowanych do serwisu.
Wyłączenie obowiązywania prawa do przenoszenia danych w stosunku do podmiotów publicznych działających w sferze imperium jest uzasadnione prokonsumenckim i prokonkurencyjnym charakterem tego prawa. Podmioty publiczne będą jednak zobowiązane do realizacji tego prawa, gdy występują w obrocie cywilnoprawnym.
Dane przetwarzane w sposób zautomatyzowany
Pojęcie „zautomatyzowanego przetwarzania” zdefiniowane jest w art. 2c Konwencji Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych jako „operacje wykonane w całości lub częściowo za pomocą procedur zautomatyzowanych: gromadzenie danych, stosowanie do nich operacji logicznych i/lub arytmetycznych, ich modyfikowanie, usuwanie, wybieranie lub rozpowszechnianie.” , dając wskazówkę co do rozumienia tego terminu również na gruncie przepisów ochrona danych.
Prawo do przenoszenia danych może być realizowane poprzez wydanie ich kopii w ustrukturyzowanym, powszechnie używanym, nadającym się do odczytu maszynowego i interpretacyjnym formacie takim jak np. txt, xml, czy CSV. Formaty te stosowane są z powodzeniem w wymianie danych pomiędzy Instytucjami Państwowymi takimi jak np. ZUS czy Urząd Skarbowy a przedsiębiorcami korzystającymi z systemów różnych producentów.
Objęte żądaniem z art. 20 RODO mogą zostać dane przetwarzane w sposób zautomatyzowany. Administrator nie ma obowiązku digitalizowania danych przetwarzanych w sposób ręczny czy w formie papierowej wyłącznie w celu zapewnienia realizacji omawianego prawa, gdyż uznaje się, że mogłoby nadmiernie obciążać administratorów.
Niekorzystny wpływ na prawa i wolności innych
Realizacja prawa do przenoszenia danych, zgodnie ze znaną liberalną zasadą sformułowaną przez Alexisa de Tocqueville’a, kończy się tam, gdzie zaczynają się prawa i wolności innych osób. Zgodnie art. 20 ust. 4 RODO przeniesienie danych może mieć wpływ na inne osoby, jednak ten wpływ nie może mieć charakteru negatywnego. Z takimi sytuacjami możemy mieć do czynienia przede wszystkim wówczas, gdy przetwarzane informacje dotyczące jednocześnie wielu osób (np. zbiorowe fotografie, dane komunikacyjne, dane transakcyjne, książki adresowe w skrzynkach e-mail). Co ciekawe, sam administrator, do którego skierowano żądanie, również zalicza się do katalogu owych osób innych, o których mowa w przepisie.
Prawa i wolności, o których wspomina się w art. 20 RODO, należy rozumieć szeroko: jako prawa i wolności chronione na podstawie norm ogólnych, kształtujących podstawowe zasady funkcjonowania jednostki w społeczeństwie, wliczając normy zwyczajowe. Pojęcie to odwołuje się do podstawowych gwarancji praw i wolności wywodzących się z norm konstytucyjnych i konwencji międzynarodowych, w szczególności prawa do prywatności, wolności słowa, myśli, sumienia, religii, zakazu dyskryminacji itp.[4]
Niekorzystny wpływ na prawa i wolności innych osób może mieć postać m.in.:
- utraty kontroli nad przetwarzaniem ich danych (osoby mogą nie mieć świadomości lub wpływu na to, że dane zostały przeniesione do innego administratora),
- uniemożliwienia realizacji przysługujących im uprawnień (np. praw do informacji, dostępu itp.),
- przetwarzania ich danych przez nowego administratora w celu lub w sposób niezgodny z wymogami Rozporządzenia (np. wykorzystanie danych z bazy kontaktów przenoszącego w celach marketingowych).[5]
Podsumowanie
Prawo do przenoszenia danych w założeniu ustawodawcy europejskiego zostało tak zaprojektowane, aby obejmowało tylko część przetwarzanych danych – tę część, której przenoszenie jest możliwe do zrealizowania technicznie i organizacyjnie bez nadmiernego obciążania administratorów. Mimo to jego realizacja w praktyce nadal nastręcza trudności z uwagi na konieczność wdrożenia funkcjonalności umożliwiających przeglądanie systemów administratora, globalne zebranie danych osoby, składającej żądanie, a także generowanie plików umożliwiających wydanie pakietu informacji, a także z uwagi na liczne wątpliwości interpretacyjne. Pełne zautomatyzowanie obsługi tego prawa wydaje się jednak niemożliwe do zrealizowania dla większości przedsiębiorców. Prawidłowa realizacja tego prawa będzie wymagała przeprowadzenia indywidualnej analizy każdego przypadku, gdyż w przeciwnym razie administrator mógłby narazić się na sankcje za niewłaściwe wykonanie bądź niewykonanie żądanych działań.
[1] Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.), „RODO. Ogólne rozporządzenie o ochronie danych. Komentarz”, komentarz do art. 20 RODO, opublikowano: WKP 2018.
[2] Grupa Robocza art. 29 ds. ochrony danych, „Wytyczne dotyczące prawa do przenoszenia danych z 13.12.2016 r., zmienione i przyjęte w dniu 5 kwietnia 2017 r.”, WP 242.
[3] j.w.
[4] P. Litwiński, (red.), P. Barta, M. Kawecki „Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz”, Warszawa, 2018, str. 449-450, wyd. C.H. Beck
[5] Grupa Robocza art. 29 ds. ochrony danych, „Wytyczne dotyczące prawa do przenoszenia danych z 13.12.2016 r., zmienione i przyjęte w dniu 5 kwietnia 2017 r.”, WP 242.