Wniosek o przeniesienie danych osobowych

Jedną z wielu nowości, jakie wprowadziło RODO – unijne rozporządzenie o ochronie danych osobowych – jest prawo do przenoszenia danych. Jak powinien wyglądać wniosek osoby, która chce skorzystać z tego prawa i kiedy przeniesienie danych pomiędzy Administratorami jest możliwe?

  • Rafał Stępniewski
  • /
  • 29 kwietnia 2018

Jedną z wielu nowości, jakie wprowadziło RODO – unijne rozporządzenie o ochronie danych osobowych – jest prawo do przenoszenia danych. Jak powinien wyglądać wniosek osoby, która chce skorzystać z tego prawa i kiedy przeniesienie danych pomiędzy Administratorami jest możliwe?

 

Etapy przenoszenia danych osobowych

Aby możliwe było przenoszenie danych osobowych, muszą zostać spełnione przesłanki wskazane w RODO. Administratorzy powinni zatem w każdym przypadku dokonać analizy, czy wniosek jest podstawny. Jakie kroki należy podjąć?

Wniosek osoby, której dane dotyczą

Proces przenoszenia danych  może zostać podjęty na żądanie osoby, której dane dotyczą. Powodem wystąpienia z wnioskiem o przeniesienie danych może być na przykład zmiana dostawcy danej usługi.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Wyłączenie prawa do przenoszenia danych

Po wpłynięciu wniosku o przeniesienie danych następuje jego ocena przez Administratora. W pierwszym kroku należy sprawdzić, czy prawo do przeniesienia danych nie zostanie ograniczone na podstawie art. 23 ust. 1 RODO. Zgodnie z przepisem, ograniczenie praw może nastąpić w sytuacji, gdy służyć będzie bezpieczeństwu narodowemu, ochronie, zapobieganiu przestępczości i innym zagrożeniom.

Przetwarzanie na podstawie zgody

RODO – w artykule 20 – określa również, w jakich sytuacjach możliwe jest zastosowanie prawa do przeniesienia danych osobowych. Pierwszą przesłanką jest zgoda osoby, której dane dotyczą. Zgoda powinna zostać wyrażona na podstawie zapisów znajdujących się w unijnym rozporządzeniu, a więc:

  • Musi być wyrażona w sposób dobrowolny i świadomy, a także powinna być wyraźnym działaniem ze strony potwierdzającego;
  • Jej treść powinna być zapisana zrozumiałym językiem;
  • Osoba powinna wyrazić odrębną zgodę na każdy rodzaj przetwarzania (realizacja usługi, działania marketingowe i inne);
  • Wyrażenie zgody nie powinno wpływać na możliwość wykonywania umowy (zgoda nie może być przymusowa);
  • Wraz ze zgodą powinny zostać przedstawione  najważniejsze informacje, wynikające z obowiązku informacyjnego.

Przetwarzanie zautomatyzowane

Drugą przesłanką jest sposób, w jaki przetwarzane są dane osobowe. Aby możliwe było skorzystanie z prawa do przeniesienia danych zgodnie z RODO, powinny być one przetwarzane w sposób zautomatyzowany. Oznacza to, że wszelkie działania na danych osobowych powinny być wykonywane np. przez systemy informatyczne.

Co ważne – obie te przesłanki muszą być spełnione jednocześnie. Jeśli zatem zgoda na przetwarzanie danych została pozyskana zgodnie z prawem, jednak nie są one przetwarzane automatycznie, Administrator może odmówić wykonania wniosku o przeniesienie danych.

Przetwarzanie na podstawie umowy

Kolejna przesłanka, która daje możliwość przeniesienia danych osobowych, to ich dotychczasowe przetwarzanie na podstawie wcześniej zawartej umowy. Tutaj również Administrator powinien zwrócić uwagę na to, czy dane są przetwarzane w sposób zautomatyzowany – tylko w przypadku spełnienia obu tych przesłanek możliwe jest skorzystanie z prawa do przeniesienia danych.

A kiedy odmowa?

Nie każdy wniosek o przeniesienie danych osobowych może być rozpatrzony pozytywnie. Odmowa może nastąpić w sytuacji, kiedy żądanie wymaga nadmiernych działań lub jest nieuzasadnione. Zgodnie z art. 12 ust. 5 RODO – Administrator może w takim przypadku zażądać od osoby składającej wniosek o przeniesienie danych stosownej i rozsądnej opłaty, która pokryje koszty administracyjne udzielenia informacji czy wykonania działania.

Administrator może również odmówić wykonania żądania, jednak obowiązkowe jest wskazanie powodu oraz uzasadnienia, dlaczego żądanie przeniesienia danych osobowych jest nadmierne i przedstawienie tych informacji osobie, której dane dotyczą nie jest możliwe.

Realizacja wniosku o przeniesienie danych osobowych

Jeśli wszystkie przesłanki zostały spełnione, a przeprowadzona przez Administratora ocena nie wykazała przeciwskazań, może on przystąpić do realizacji wniosku o przeniesienie danych osobowych. Działanie to może zostać wykonane na dwa sposoby.

Pierwszy z nich to udostępnienie zbioru danych osobie, której one dotyczą. W jaki sposób? Zgodnie z  art. 20 ust. 1 RODO – dane osobowe powinny zostać przekazane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Ustawodawca jednak nie określił dokładnych wskazań, jednak przykładem takiego ustrukturyzowanego formatu może być np. format XML, który odczytać można na większości różnych systemów.

Drugim sposobem jest z przekazanie danych osoby bezpośrednio innemu, wskazanemu we wniosku, Administratorowi.

Sposób realizacji zależy przede wszystkim od treści wniosku oraz od tego, czy istnieją techniczne możliwości, aby spełnić wskazane przez wnioskującego żądania.

Administratorzy mogą napotkać trudność związaną z interpretacją wskazanego w art. 20 ust. 1 RODO zakresu danych objętych przeniesieniem. Nie jest jednoznaczne, czy określenie „dane osobowe, (...) które dostarczyła osoba składająca wniosek administratorowi”, dotyczy tylko informacji przekazanych „świadomie” poprzez formularz rejestracyjny, czy całego zakresu danych, łącznie z aktywnością użytkownika w systemie. Dla ochrony praw osoby, należałoby przyjąć tę pierwszą wersję.

Informacja o realizacji wniosku

Ostatnim krokiem w procesie przenoszenia danych osobowych jest poinformowanie przez Administratora osoby składającej wniosek o sposobie jego realizacji. Informacja taka powinna zostać przekazana jak najszybciej – najpóźniej do miesiąca od daty wpłynięcia wniosku o przeniesienie danych do Administratora. Jeśli proces przenoszenia wydłuży się z uwagi na ilość przenoszonych danych lub inne niespodziewane komplikacje, Administrator może przedłużyć termin o następne 2 miesiące, jednak musi wskazać powód opóźnienia.

Jeśli jednak wniosek nie może zostać wykonany – z uwagi na niespełnienie wskazanych wcześniej przesłanek – Administrator musi poinformować o tym fakcie osobę, której dane dotyczą. W informacji powinien znaleźć się zapis na temat prawa osoby wnioskującej do złożenia skargi do organu nadzorczego.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!