Przenoszalność danych: prawo użytkownika – obowiązki przedsiębiorcy

Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych zacznie obo­wią­zy­wać 25 maja 2018 roku. Jego celem jest stwo­rze­nie jed­no­li­te­go i efek­tyw­ne­go sys­te­mu ochro­ny pry­wat­no­ści użyt­kow­ni­ków sie­ci. Jed­ną z wpro­wa­dza­nych nowo­ści jest tzw. por­ta­bi­li­ty – prze­no­szal­ność danych. Czym jest nowe pra­wo użyt­kow­ni­ków do prze­no­sze­nia danych dla przedsiębiorców?

Joan­na Mazur, Młod­szy Ana­li­tyk DELab UW

Dane oso­bo­we jako waluta

Popraw­na inter­pre­ta­cja i sto­so­wa­nie art. 20 ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych oso­bo­wych (RODO) może sta­no­wić pro­blem. Pra­wo do prze­no­sze­nia danych jest nowo­ścią w kata­lo­gu moż­li­wo­ści, któ­re nale­ży zapew­nić użyt­kow­ni­kom danych ser­wi­sów inter­ne­to­wych. Jego isto­tą jest umoż­li­wie­nie oso­bom korzy­sta­ją­cym z danych sie­ci spo­łecz­no­ścio­wych lub plat­form inter­ne­to­wych pro­ste­go i szyb­kie­go prze­ka­zy­wa­nia udo­stęp­nio­nych przez sie­bie danych innym usługodawcom.

Sen­su takiej regu­la­cji moż­na doszu­ki­wać się w prze­ko­na­niu, że obec­nie dane oso­bo­we sta­no­wią rodzaj walu­ty. Prze­ka­zu­jąc infor­ma­cje o sobie danym usłu­go­daw­com sta­je­my się łatwiej osią­gal­nym celem dla rekla­mo­daw­ców. W rze­czy­wi­sto­ści zatem użyt­kow­ni­cy pła­cą swo­ją pry­wat­no­ścią za dar­mo­we usłu­gi. Żeby uła­twić prze­no­sze­nie cyfro­we­go port­fe­la z dany­mi mię­dzy usłu­go­daw­ca­mi, a tym samym zwięk­szyć mię­dzy nimi kon­ku­ren­cję, w RODO sfor­mu­ło­wa­ne zosta­ło pra­wo do prze­no­sze­nia danych:

„Oso­ba, któ­rej dane doty­czą, ma pra­wo otrzy­mać w ustruk­tu­ry­zo­wa­nym, powszech­nie uży­wa­nym for­ma­cie nada­ją­cym się do odczy­tu maszy­no­we­go dane oso­bo­we jej doty­czą­ce, któ­re dostar­czy­ła admi­ni­stra­to­ro­wi, oraz ma pra­wo prze­słać te dane oso­bo­we inne­mu admi­ni­stra­to­ro­wi bez prze­szkód ze stro­ny admi­ni­stra­to­ra, któ­re­mu dostar­czo­no te dane osobowe (…)”

Frag­ment art. 20 Ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych osobowych
Aby uła­twić przed­się­bior­com przy­sto­so­wa­nie się do sta­wia­nych im wyma­gań potrzeb­ne są dokład­niej­sze wytycz­ne. Ich przy­go­to­wa­niem zaję­ła się tzw. gru­pa robo­cza art. 29, czy­li dzia­ła­ją­cy w obsza­rze ochro­ny danych oso­bo­wych i ich swo­bod­ne­go prze­pły­wu nie­za­leż­ny pod­miot dorad­czy powo­ła­ny na mocy jed­nej z dyrek­tyw unij­nych. Poni­żej przed­sta­wio­ne jest pod­su­mo­wa­nie uwag sfor­mu­ło­wa­nych w dokumencie.

Pra­wo do prze­no­sze­nia (wybra­nych) danych

Pra­wo do prze­no­sze­nia danych ogra­ni­czo­ne jest do ich wybra­nych kate­go­rii. Po pierw­sze, pod­sta­wą prze­twa­rza­nia musi być zgo­da użyt­kow­ni­ka lub umo­wa mię­dzy użyt­kow­ni­kiem a usłu­go­daw­cą (admi­ni­stra­to­rem danych). RODO nie prze­wi­du­je obo­wiąz­ku umoż­li­wie­nia prze­no­sze­nia danych zebra­nych na innych pod­sta­wach. Po dru­gie, dane muszą doty­czyć dane­go użyt­kow­ni­ka i nie być zano­ni­mi­zo­wa­ne. Mogą być one jed­nak pseu­do­ni­mi­zo­wa­ne. Ozna­cza to, że jeśli dane zbie­ra­ne są pod przy­pi­sa­nym użyt­kow­ni­ko­wi nume­rem, któ­ry bez nad­mier­ne­go wysił­ku moż­na połą­czyć np. z jego nazwi­skiem, dane obję­te są regu­la­cją. Po trze­cie, dane muszą być aktyw­nie prze­ka­za­ne przez użyt­kow­ni­ka lub auto­ma­tycz­nie wyge­ne­ro­wa­ne poprzez jego dzia­ła­nie. Prze­no­szal­ność doty­czy zatem zarów­no danych prze­ka­za­nych w for­mu­la­rzach, jak i tych wyge­ne­ro­wa­nych auto­ma­tycz­nie, np. lista adre­sów mailo­wych, na któ­re wysy­ła­ne były maile. Po czwar­te ich prze­ka­za­nie nie może nega­tyw­nie wpły­nąć na wol­no­ści innych. Nie nale­ży jed­nak zbyt restryk­cyj­nie inter­pre­to­wać tego warun­ku. Zgod­nie z wytycz­ny­mi pra­wem do prze­no­sze­nia danych obję­te powin­ny być np. nume­ry tele­fo­nów osób trze­cich, z któ­ry­mi kon­tak­to­wa­ła się dana osoba.

W prak­ty­ce warun­ki te ozna­cza­ją, że pra­wem do prze­no­sze­nia danych będą obję­te np. sta­ty­sty­ki doty­czą­ce tego, ile razy prze­słu­chi­wa­ny był przez użyt­kow­ni­ka dany utwór w ramach usłu­gi stre­amin­gu muzycz­ne­go. Prze­twa­rza­nie odby­wa się w tym wypad­ku na pod­sta­wie umo­wy, dane doty­czą użyt­kow­ni­ka, są auto­ma­tycz­nie gene­ro­wa­ne w związ­ku z jego dzia­ła­niem, a ich prze­ka­za­nie nie wpły­wa nega­tyw­nie na wol­no­ści innych.

Prze­pi­sy roz­po­rzą­dze­nia nie obej­mu­ją jed­nak danych, któ­re są inter­pre­ta­cją infor­ma­cji prze­ka­za­nych przez użyt­kow­ni­ka. Dla­te­go nie powsta­je obo­wią­zek prze­ka­zy­wa­nia jed­no­st­ce tzw. danych wywie­dzio­nych lub wywnio­sko­wa­nych, czy­li sfor­mu­ło­wa­nych na pod­sta­wie jej aktyw­no­ści w sie­ci ocen doty­czą­cych np. jej pre­fe­ren­cji kon­su­menc­kich czy sytu­acji materialnej.

Prze­no­sze­nie: mię­dzy kim a kim?

Pra­wo do prze­no­sze­nia danych obej­mu­je trzy moż­li­we ukła­dy ich prze­ka­zy­wa­nia. Przede wszyst­kim jest to pra­wo użyt­kow­ni­ka do otrzy­ma­nia wła­snych danych. W tej kon­fi­gu­ra­cji użyt­kow­nik może chcieć wyko­rzy­stać wła­sne dane na urzą­dze­niu pry­wat­nym, nie­ko­niecz­nie zaś prze­no­sić je do inne­go administratora.

Por­ta­bi­li­ty obej­mu­je jed­nak rów­nież wła­śnie prze­sy­ła­nie danych do inne­go usłu­go­daw­cy. Ponad­to prze­wi­dzia­na zosta­ła moż­li­wość prze­no­sze­nia danych, na życze­nie użyt­kow­ni­ka, bez­po­śred­nio mię­dzy admi­ni­stra­to­ra­mi danych. W takim wypad­ku nowy admi­ni­stra­tor ma jed­nak pra­wo wyko­rzy­sty­wać jedy­nie te dane, któ­re są nie­zbęd­ne do wyko­ny­wa­nia celu w jakim zosta­ły przekazane.

W tym kon­tek­ście dużą wagę ma wyra­żo­na w wytycz­nych koniecz­ność two­rze­nia mecha­ni­zmów zwią­za­nych z ochro­ną danych osób trze­cich. Powin­na zostać zapew­nio­na moż­li­wość ogra­ni­cze­nia prze­no­sze­nia nie­ja­ko przy oka­zji infor­ma­cji doty­czą­cych np. zna­jo­mych użyt­kow­ni­ka por­ta­lu spo­łecz­no­ścio­we­go. Roz­wią­za­niem tego pro­ble­mu mógł­by być mecha­nizm pozy­ski­wa­nia uprzed­niej zgo­dy doty­czą­cej wybra­nych przez użyt­kow­ni­ka typów danych. W takiej sytu­acji reje­stru­jąc się na danym por­ta­lu użyt­kow­ni­cy mogli­by wybrać, któ­re z umiesz­cza­nych przez nich tre­ści mogły­by pod­le­gać następ­nie prze­no­sze­niu – nie­za­leż­nie od tego, kto był­by jego inicjatorem.

Isto­ta por­ta­bi­li­ty tkwi w szczegółach

Pra­wo do prze­no­sze­nia danych wią­że się z sze­re­giem dość dro­bia­zgo­wych regu­la­cji, któ­re okre­śla­ją zasa­dy, na jakich ma być gwa­ran­to­wa­ne. Po pierw­sze doty­czą one for­ma­tu, w któ­rym dane mają być prze­ka­zy­wa­ne. Musi on zapew­niać moż­li­wość ich ponow­ne­go wyko­rzy­sta­nia. For­ma prze­ka­zu ma speł­niać trzy warun­ki: być ustruk­tu­ry­zo­wa­na, powszech­nie uży­wa­nia i nada­wać się do odczy­tu maszy­no­we­go. Dla­te­go prze­sła­nie danych zawie­ra­ją­cych np. listy odtwa­rza­nia użyt­kow­ni­ka w for­ma­cie pdf nie będzie uzna­ne za reali­za­cję pra­wa do prze­no­sze­nia danych. Ponad­to dostęp­ność sto­so­wa­ne­go for­ma­tu nie może być ogra­ni­czo­na np. wyso­ki­mi cena­mi licen­cji pro­gra­mów go odczytujących.

W wytycz­nych pod­kre­ślo­na zosta­ła rów­nież koniecz­ność prze­ka­zy­wa­nia danych wraz z doty­czą­cy­mi ich meta­da­ny­mi. Przy­kła­dem może być spo­sób prze­ka­zy­wa­nia bil­lin­gu: nie­wy­star­cza­ją­ce będzie prze­ka­za­nie samych nume­rów tele­fo­nów w pli­ku pdf. Istot­ne będzie uwzględ­nie­nie cza­su wyko­ny­wa­nia połą­cze­nia i jego trwa­nia oraz innych zbie­ra­nych przez ope­ra­to­ra danych.

Zgod­nie z roz­po­rzą­dze­niem prze­ka­zy­wa­nie danych powin­no być bez­płat­ne. Sytu­acją wyjąt­ko­wą pod tym wzglę­dem są ewi­dent­nie nie­uza­sad­nio­ne, nad­mier­ne żąda­nia prze­no­sze­nia danych. Usta­wicz­ny cha­rak­ter takich próśb może sta­no­wić pod­sta­wę do wpro­wa­dze­nia opła­ty za ich wyko­ny­wa­nie. Ponad­to RODO wpro­wa­dza mie­sięcz­ny ter­min na reali­za­cję żąda­nia użyt­kow­ni­ka lub prze­sła­nie infor­ma­cji doty­czą­cej odmo­wy wyko­na­nia dane­go żąda­nia. W szcze­gól­nie skom­pli­ko­wa­nych wypad­kach ter­min ten, po poin­for­mo­wa­niu użyt­kow­ni­ka w prze­cią­gu mie­sią­ca o przy­czy­nach takiej decy­zji, może być prze­dłu­żo­ny do trzech miesięcy.

Infor­mo­wa­nie: sie­bie i innych

Przede wszyst­kim jed­nak wraz z wej­ściem w życie roz­po­rzą­dze­nia powsta­nie obo­wią­zek infor­mo­wa­nia użyt­kow­ni­ków o ich nowym pra­wie. Dla­te­go dzia­ła­ją­cy w inter­ne­cie przed­się­bior­cy nie mogą być nim zasko­cze­ni – to oni mają być stro­ną prze­ka­zu­ją­cą infor­ma­cje o por­ta­bi­li­ty użyt­kow­ni­kom. W reali­za­cji tego obo­wiąz­ku pomoc­ne są tre­ści­we i przy­stęp­ne wytycz­ne gru­py robo­czej art. 29.

Wię­cej informacji:

Ogól­ne roz­po­rzą­dze­nie o ochro­nie danych oso­bo­wych dostęp­ne tutaj.

Nie­ofi­cjal­ne tłu­ma­cze­nie wytycz­nych Gru­py robo­czej art. 29 doty­czą­cych pra­wa do prze­no­sze­nia danych tutaj.

Scroll to Top