Wniosek o przeniesienie danych osobowych
Jedną z wielu nowości, jakie wprowadziło RODO – unijne rozporządzenie o ochronie danych osobowych – jest prawo do przenoszenia danych. Jak powinien wyglądać wniosek osoby, która chce skorzystać z tego prawa i kiedy przeniesienie danych pomiędzy Administratorami jest możliwe?
- Rafał Stępniewski
- /
- 29 kwietnia 2018
Jedną z wielu nowości, jakie wprowadziło RODO – unijne rozporządzenie o ochronie danych osobowych – jest prawo do przenoszenia danych. Jak powinien wyglądać wniosek osoby, która chce skorzystać z tego prawa i kiedy przeniesienie danych pomiędzy Administratorami jest możliwe?
Etapy przenoszenia danych osobowych
Aby możliwe było przenoszenie danych osobowych, muszą zostać spełnione przesłanki wskazane w RODO. Administratorzy powinni zatem w każdym przypadku dokonać analizy, czy wniosek jest podstawny. Jakie kroki należy podjąć?
Wniosek osoby, której dane dotyczą
Proces przenoszenia danych może zostać podjęty na żądanie osoby, której dane dotyczą. Powodem wystąpienia z wnioskiem o przeniesienie danych może być na przykład zmiana dostawcy danej usługi.
możemy Ci pomóc w analizie i zgłoszeniu do UODOWyciekły w Twojej firmie dane osobowe
Wyłączenie prawa do przenoszenia danych
Po wpłynięciu wniosku o przeniesienie danych następuje jego ocena przez Administratora. W pierwszym kroku należy sprawdzić, czy prawo do przeniesienia danych nie zostanie ograniczone na podstawie art. 23 ust. 1 RODO. Zgodnie z przepisem, ograniczenie praw może nastąpić w sytuacji, gdy służyć będzie bezpieczeństwu narodowemu, ochronie, zapobieganiu przestępczości i innym zagrożeniom.
Przetwarzanie na podstawie zgody
RODO – w artykule 20 – określa również, w jakich sytuacjach możliwe jest zastosowanie prawa do przeniesienia danych osobowych. Pierwszą przesłanką jest zgoda osoby, której dane dotyczą. Zgoda powinna zostać wyrażona na podstawie zapisów znajdujących się w unijnym rozporządzeniu, a więc:
- Musi być wyrażona w sposób dobrowolny i świadomy, a także powinna być wyraźnym działaniem ze strony potwierdzającego;
- Jej treść powinna być zapisana zrozumiałym językiem;
- Osoba powinna wyrazić odrębną zgodę na każdy rodzaj przetwarzania (realizacja usługi, działania marketingowe i inne);
- Wyrażenie zgody nie powinno wpływać na możliwość wykonywania umowy (zgoda nie może być przymusowa);
- Wraz ze zgodą powinny zostać przedstawione najważniejsze informacje, wynikające z obowiązku informacyjnego.
Przetwarzanie zautomatyzowane
Drugą przesłanką jest sposób, w jaki przetwarzane są dane osobowe. Aby możliwe było skorzystanie z prawa do przeniesienia danych zgodnie z RODO, powinny być one przetwarzane w sposób zautomatyzowany. Oznacza to, że wszelkie działania na danych osobowych powinny być wykonywane np. przez systemy informatyczne.
Co ważne – obie te przesłanki muszą być spełnione jednocześnie. Jeśli zatem zgoda na przetwarzanie danych została pozyskana zgodnie z prawem, jednak nie są one przetwarzane automatycznie, Administrator może odmówić wykonania wniosku o przeniesienie danych.
Przetwarzanie na podstawie umowy
Kolejna przesłanka, która daje możliwość przeniesienia danych osobowych, to ich dotychczasowe przetwarzanie na podstawie wcześniej zawartej umowy. Tutaj również Administrator powinien zwrócić uwagę na to, czy dane są przetwarzane w sposób zautomatyzowany – tylko w przypadku spełnienia obu tych przesłanek możliwe jest skorzystanie z prawa do przeniesienia danych.
A kiedy odmowa?
Nie każdy wniosek o przeniesienie danych osobowych może być rozpatrzony pozytywnie. Odmowa może nastąpić w sytuacji, kiedy żądanie wymaga nadmiernych działań lub jest nieuzasadnione. Zgodnie z art. 12 ust. 5 RODO – Administrator może w takim przypadku zażądać od osoby składającej wniosek o przeniesienie danych stosownej i rozsądnej opłaty, która pokryje koszty administracyjne udzielenia informacji czy wykonania działania.
Administrator może również odmówić wykonania żądania, jednak obowiązkowe jest wskazanie powodu oraz uzasadnienia, dlaczego żądanie przeniesienia danych osobowych jest nadmierne i przedstawienie tych informacji osobie, której dane dotyczą nie jest możliwe.
Realizacja wniosku o przeniesienie danych osobowych
Jeśli wszystkie przesłanki zostały spełnione, a przeprowadzona przez Administratora ocena nie wykazała przeciwskazań, może on przystąpić do realizacji wniosku o przeniesienie danych osobowych. Działanie to może zostać wykonane na dwa sposoby.
Pierwszy z nich to udostępnienie zbioru danych osobie, której one dotyczą. W jaki sposób? Zgodnie z art. 20 ust. 1 RODO – dane osobowe powinny zostać przekazane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Ustawodawca jednak nie określił dokładnych wskazań, jednak przykładem takiego ustrukturyzowanego formatu może być np. format XML, który odczytać można na większości różnych systemów.
Drugim sposobem jest z przekazanie danych osoby bezpośrednio innemu, wskazanemu we wniosku, Administratorowi.
Sposób realizacji zależy przede wszystkim od treści wniosku oraz od tego, czy istnieją techniczne możliwości, aby spełnić wskazane przez wnioskującego żądania.
Administratorzy mogą napotkać trudność związaną z interpretacją wskazanego w art. 20 ust. 1 RODO zakresu danych objętych przeniesieniem. Nie jest jednoznaczne, czy określenie „dane osobowe, (...) które dostarczyła osoba składająca wniosek administratorowi”, dotyczy tylko informacji przekazanych „świadomie” poprzez formularz rejestracyjny, czy całego zakresu danych, łącznie z aktywnością użytkownika w systemie. Dla ochrony praw osoby, należałoby przyjąć tę pierwszą wersję.
Informacja o realizacji wniosku
Ostatnim krokiem w procesie przenoszenia danych osobowych jest poinformowanie przez Administratora osoby składającej wniosek o sposobie jego realizacji. Informacja taka powinna zostać przekazana jak najszybciej – najpóźniej do miesiąca od daty wpłynięcia wniosku o przeniesienie danych do Administratora. Jeśli proces przenoszenia wydłuży się z uwagi na ilość przenoszonych danych lub inne niespodziewane komplikacje, Administrator może przedłużyć termin o następne 2 miesiące, jednak musi wskazać powód opóźnienia.
Jeśli jednak wniosek nie może zostać wykonany – z uwagi na niespełnienie wskazanych wcześniej przesłanek – Administrator musi poinformować o tym fakcie osobę, której dane dotyczą. W informacji powinien znaleźć się zapis na temat prawa osoby wnioskującej do złożenia skargi do organu nadzorczego.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?