Jak działa prawo do przenoszenia danych?

1 marca 2019 Prawo & Podatki

Na czym polega prawo do przenoszenia danych i kogo obejmuje? Czy dane osób trzecich, wywnioskowane i wywiedzione podlegają temu prawu? Przedstawiamy dwie sytuacje, kiedy możliwe jest przesłanie danych osobowych innemu administratorowi danych, a także terminy, których każdy administrator danych powinien przestrzegać.

Na czym polega prawo przenoszenia danych?

Większość sklepów internetowych posiada rozbudowane bazy danych swoich klientów - im większy e-sklep, tym bardziej rozbudowany może być ten zbiór. Po wejściu w życie RODO w e-commerce (a także wszystkich innych branżach przetwarzających dane osobowe osób fizycznych), wprowadzono nowe przepisy zezwalające m.in. na przenoszenie danych osobowych osób fizycznych do innego administratora danych.

Każda osoba, której dane posiada administrator danych osobowych, ma prawo do otrzymania ich w formacie nadającym się do odczytu maszynowego. Osoba może zażądać przeniesienia należących do niej danych osobowych. Wówczas jej dane, jeżeli istnieje taka techniczna możliwość, zostają przesłane przez administratora bezpośrednio innemu administratorowi. Przesłanie danych innemu administratorowi jest, gdy łącznie zostaną spełnione poniższe warunki:

  • osoba wyraziła zgodę na przetwarzanie danych osobowych lub przetwarzanie odbywa się na podstawie umowy,
  • przetwarzanie danych osobowych użytkownika odbywa się w sposób zautomatyzowany.

Formaty danych

Po skierowanym do administratora danych żądania do otrzymania dostępu do danych, dane na temat osoby fizycznej powinny być wydane w “ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”. Jakie formaty będą odpowiednie? Tego przepisy nie precyzują, ale w myśl jednej z interpretacji mogą to być popularne formaty, takie jak XML czy CSV.

Termin spełnienia żądania

Po skierowaniu do administratora danych żądania jest on zobowiązany do udzielenia informacji o podjętych działaniach w związku ze sprawą. W jakim terminie? Maksymalnie miesiąca od otrzymania żądania.

Termin ten można wydłużyć o dodatkowe 2 miesiące w określonych sytuacjach:

  • skomplikowany charakter żądania,
  • dużą liczba żądań.

Jeżeli zaistnieje konieczność wydłużenia miesięcznego terminu o dodatkowe tygodnie, to administrator danych ma obowiązek poinformować o tym użytkownika, który wysunął  żądanie. Należy również podać powód tego opóźnienia.

Inny scenariusz to niepodejmowanie działań. Administrator danych może podjąć taką decyzję, wówczas powinien poinformować użytkownika, który wysunął żądanie, o powodzie, dlaczego nie podejmie tych działań. Użytkownik ma wtedy możliwość wnieść skargę do organu nadzorczego i skorzystać z prawa do skutecznego środka ochrony prawnej przed sądem.

Dane osób trzecich

W przypadku niektórych usług, na przykład wykonywania połączeń telefonicznych czy robienia przelewu za pomocą bankowości internetowej, administrator danych przetwarza nie tylko dane osobowe na temat klienta korzystającego z powyższych usług, ale również dane innych osób. Dane osobowe osób trzecich również podlegają prawu przenoszenia danych. Jedna z interpretacji wskazuje, że te dane są traktowane jako dane osoby wysuwającej żądanie o ich przeniesienie.

Dane wywnioskowane i dane wywiedzione

Dane wywnioskowane i wywiedzione to dane, których nie otrzymuje się wprost od użytkownika. Z posiadanego zbioru danych i informacji na temat użytkownika administrator danych wytwarza kolejne dane, wyciągając wnioski i dedukując. Przykłady danych wywnioskowanych: ocena zdolności kredytowej i przypisanie określonej liczby punktów w ramach oceny zdolności kredytowej lub ocena stanu zdrowia. Zarówno danych wywnioskowanych, jak i danych wywiedzionych nie obejmuje prawo do przenoszenia danych.

 

Artykuł partnera

1 marca 2019 Prawo & Podatki

0 Komentarze