Prawo do przenoszenia danych, czyli nowe obowiązki dla przedsiębiorców w zakresie ochrony danych osobowych już od maja przyszłego roku.
RODO - nowe obowiązki dla przedsiębiorców
Wraz z początkiem obowiązywania nowych przepisów dotyczących ochrony danych osobowych (25.05.2018 r.) zawartych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. "RODO"), na przedsiębiorców zostaną nałożone liczne dodatkowe obowiązki.
Wiele z tych obowiązków będą z pewnością stanowiły spore wyzwanie dla przedsiębiorców, którzy mogą mieć trudności natur technicznej przy ich realizacji. Tym bardziej warto już teraz zadbać o dostosowanie wewnętrznych procedur i infrastruktury technicznej oraz informatycznej do wymogów RODO.
Jednym z takich obowiązków, które mogą przysporzyć nieco problemów przedsiębiorcom będzie z pewnością obowiązek przekazania danych osobowych osobie, której te dane dotyczą, na jej żądanie, w ustrukturyzowanej formie, oraz konieczność pogodzenia tego obowiązku z ograniczeniami dotyczącymi ilości, czasu i zakresu przetwarzania danych osobowych, nałożonymi przez RODO.
Prawo do przenoszenia danych
Ww. obowiązek został przewidziany w art. 20 RODO.
Zgodnie z jego treścią osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe, jeżeli:
- przetwarzanie odbywa się na podstawie zgody lub umowy określonej w przepisach; oraz
- przetwarzanie odbywa się w sposób zautomatyzowany.
Ponadto osoba wykonująca swoje prawo może żądać, by dane osobowe zostały przekazane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe.
Oznacza to, iż każdy podmiot będzie musiał, co do zasady, dysponować odpowiednią infrastrukturą techniczną i informatyczną, umożliwiającą sprawne wygenerowanie dokumentu zawierającego otrzymane dane osobowe, i to w ustrukturyzowanej formie i w powszechnie używanym formacie nadającym się jednocześnie do odczytu maszynowego.
Niejasne przepisy stawiają przedsiębiorców w trudnej sytuacji
W związku z ww. przepisami już teraz zrodziło się wiele pytań dotyczących faktycznego zakresu wspomnianego obowiązku. Nieostre sformułowania zawarte w rozporządzeniu rodzą szereg wątpliwości u administratorów i wskazują na konieczność doprecyzowania wymogów związanych z prawem do przenoszenia danych osobowych.
"Dane dostarczone administratorowi"
Jednym z podstawowych zagadnień wymagających wyjaśnienia jest pojęcie "danych dostarczonych administratorowi".
Zgodnie ze stanowiskiem specjalnego zespołu doradców - Zespołu roboczego ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych (dalej "Zespół") - pod pojęciem "danych dostarczonych administratorowi" należy rozumieć dwie kategorie danych:
- dane przekazane świadomie, poprzez aktywne działanie (np. podane w formularzach zgłoszeniowych: adres email, numer telefonu itp.);
- dane zaobserwowane (np. zbierane automatycznie przez system pliki cookies, historia przeglądanych stron itp.).
Obie ww. kategorie zawierają się zdaniem Zespołu w pojęciu danych dostarczonych administratorowi.
Tak szerokie rozumienie tego pojęcia rodziłoby bardzo poważne konsekwencje dla przedsiębiorców, którzy oprócz danych faktycznie podawanych przez uprawnionych w różnego rodzaju formularzach zgłoszeniowych, musieliby generować zestawienia zawierające m.in. surowe dane, które co do zasady nie są zapisywane w sposób pozwalający na ich spersonalizowany odczyt (tj. przypisany do konkretnej osoby).
W związku z powyższym za słuszne należy uznać stanowisko prezentowane przez część specjalistów, którzy postulują, żeby w tym przypadku ograniczyć pojęcie danych dostarczonych administratorowi do danych świadomie oraz aktywnie udostępnianych administratorowi przez uprawnionych.
Przetwarzanie mna podstawie zgody lub umowy
Obowiązek, o którym mowa w art. 20 rozporządzenia obejmuje jedynie te dane osobowe dostarczone administratorowi, które zostały mu przekazane na podstawie stosownej zgody lub umowy.
W związku z powyższym powstało pytanie, czy dotyczy to również wszystkich danych osobowych pracowników, zbieranych przez pracodawców w związku ze stosunkiem prac.
Dokładna analiza przepisów wskazywałaby jedna, że obowiązek z art. 20 nie dotyczy danych osobowych przetwarzanych przez pracodawcę, jeżeli jest to niezbędne do wypełnienia ciążącego na nim obowiązku prawnego (np. do celów podatkowych).
Wynika to z treści art. 20 ust. 1 lit. a, który zarówno w przypadku zgody, jak i umowy odwołuje się odpowiednio do art. 6 ust. 1 lit a) oraz art. 6 ust. 1 lit b).
Niezależnie od tego, potencjalna zakres danych osobowych oraz ilość osób uprawnionych, które mogą domagać się od przedsiębiorcy wydania im zestawienia swoich danych osobowych jest bardzo duży.
Powyższe sprawia, że w przypadku braku odpowiedniej infrastruktury technicznej oraz informatycznej, która umożliwi przedsiębiorcom w łatwy oraz szybki sposób wygenerować stosowne zestawienie dla uprawnionego, spełnienie obowiązków wynikających z RODO będzie bardzo trudne lub wręcz niemożliwe.
Podsumowanie
RODO nakłada na przedsiębiorców będących administratorami danych osobowych szereg nowych obowiązków, których implementacja może się okazać nie tylko skomplikowana, ale również czasochłonna, albowiem często będzie wymagać od przedsiębiorców zmian oraz uaktualnień w obowiązującej u nich infrastrukturze technicznej oraz informatycznej. Warto zatem jak najszybciej przystąpić do działań, aby nie dać sie zaskoczyć w przyszłym roku.
Więcej informacji dotyczących ochrony danych osobowych oraz innych tematów znajdziecie Państwo w naszej zakładce "Aktualności"