Ogólne rozporządzenie o ochronie danych osobowych zacznie obowiązywać 25 maja 2018 roku. Jego celem jest stworzenie jednolitego i efektywnego systemu ochrony prywatności użytkowników sieci. Jedną z wprowadzanych nowości jest tzw. portability – przenoszalność danych. Czym jest nowe prawo użytkowników do przenoszenia danych dla przedsiębiorców?
Joanna Mazur, Młodszy Analityk DELab UW
Dane osobowe jako waluta
Poprawna interpretacja i stosowanie art. 20 ogólnego rozporządzenia o ochronie danych osobowych (RODO) może stanowić problem. Prawo do przenoszenia danych jest nowością w katalogu możliwości, które należy zapewnić użytkownikom danych serwisów internetowych. Jego istotą jest umożliwienie osobom korzystającym z danych sieci społecznościowych lub platform internetowych prostego i szybkiego przekazywania udostępnionych przez siebie danych innym usługodawcom.
Sensu takiej regulacji można doszukiwać się w przekonaniu, że obecnie dane osobowe stanowią rodzaj waluty. Przekazując informacje o sobie danym usługodawcom stajemy się łatwiej osiągalnym celem dla reklamodawców. W rzeczywistości zatem użytkownicy płacą swoją prywatnością za darmowe usługi. Żeby ułatwić przenoszenie cyfrowego portfela z danymi między usługodawcami, a tym samym zwiększyć między nimi konkurencję, w RODO sformułowane zostało prawo do przenoszenia danych:
„Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe (…)”
Fragment art. 20 Ogólnego rozporządzenia o ochronie danych osobowych
Aby ułatwić przedsiębiorcom przystosowanie się do stawianych im wymagań potrzebne są dokładniejsze wytyczne. Ich przygotowaniem zajęła się tzw. grupa robocza art. 29, czyli działający w obszarze ochrony danych osobowych i ich swobodnego przepływu niezależny podmiot doradczy powołany na mocy jednej z dyrektyw unijnych. Poniżej przedstawione jest podsumowanie uwag sformułowanych w dokumencie.
Prawo do przenoszenia (wybranych) danych
Prawo do przenoszenia danych ograniczone jest do ich wybranych kategorii. Po pierwsze, podstawą przetwarzania musi być zgoda użytkownika lub umowa między użytkownikiem a usługodawcą (administratorem danych). RODO nie przewiduje obowiązku umożliwienia przenoszenia danych zebranych na innych podstawach. Po drugie, dane muszą dotyczyć danego użytkownika i nie być zanonimizowane. Mogą być one jednak pseudonimizowane. Oznacza to, że jeśli dane zbierane są pod przypisanym użytkownikowi numerem, który bez nadmiernego wysiłku można połączyć np. z jego nazwiskiem, dane objęte są regulacją. Po trzecie, dane muszą być aktywnie przekazane przez użytkownika lub automatycznie wygenerowane poprzez jego działanie. Przenoszalność dotyczy zatem zarówno danych przekazanych w formularzach, jak i tych wygenerowanych automatycznie, np. lista adresów mailowych, na które wysyłane były maile. Po czwarte ich przekazanie nie może negatywnie wpłynąć na wolności innych. Nie należy jednak zbyt restrykcyjnie interpretować tego warunku. Zgodnie z wytycznymi prawem do przenoszenia danych objęte powinny być np. numery telefonów osób trzecich, z którymi kontaktowała się dana osoba.
W praktyce warunki te oznaczają, że prawem do przenoszenia danych będą objęte np. statystyki dotyczące tego, ile razy przesłuchiwany był przez użytkownika dany utwór w ramach usługi streamingu muzycznego. Przetwarzanie odbywa się w tym wypadku na podstawie umowy, dane dotyczą użytkownika, są automatycznie generowane w związku z jego działaniem, a ich przekazanie nie wpływa negatywnie na wolności innych.
Przepisy rozporządzenia nie obejmują jednak danych, które są interpretacją informacji przekazanych przez użytkownika. Dlatego nie powstaje obowiązek przekazywania jednostce tzw. danych wywiedzionych lub wywnioskowanych, czyli sformułowanych na podstawie jej aktywności w sieci ocen dotyczących np. jej preferencji konsumenckich czy sytuacji materialnej.
Przenoszenie: między kim a kim?
Prawo do przenoszenia danych obejmuje trzy możliwe układy ich przekazywania. Przede wszystkim jest to prawo użytkownika do otrzymania własnych danych. W tej konfiguracji użytkownik może chcieć wykorzystać własne dane na urządzeniu prywatnym, niekoniecznie zaś przenosić je do innego administratora.
Portability obejmuje jednak również właśnie przesyłanie danych do innego usługodawcy. Ponadto przewidziana została możliwość przenoszenia danych, na życzenie użytkownika, bezpośrednio między administratorami danych. W takim wypadku nowy administrator ma jednak prawo wykorzystywać jedynie te dane, które są niezbędne do wykonywania celu w jakim zostały przekazane.
W tym kontekście dużą wagę ma wyrażona w wytycznych konieczność tworzenia mechanizmów związanych z ochroną danych osób trzecich. Powinna zostać zapewniona możliwość ograniczenia przenoszenia niejako przy okazji informacji dotyczących np. znajomych użytkownika portalu społecznościowego. Rozwiązaniem tego problemu mógłby być mechanizm pozyskiwania uprzedniej zgody dotyczącej wybranych przez użytkownika typów danych. W takiej sytuacji rejestrując się na danym portalu użytkownicy mogliby wybrać, które z umieszczanych przez nich treści mogłyby podlegać następnie przenoszeniu – niezależnie od tego, kto byłby jego inicjatorem.
Istota portability tkwi w szczegółach
Prawo do przenoszenia danych wiąże się z szeregiem dość drobiazgowych regulacji, które określają zasady, na jakich ma być gwarantowane. Po pierwsze dotyczą one formatu, w którym dane mają być przekazywane. Musi on zapewniać możliwość ich ponownego wykorzystania. Forma przekazu ma spełniać trzy warunki: być ustrukturyzowana, powszechnie używania i nadawać się do odczytu maszynowego. Dlatego przesłanie danych zawierających np. listy odtwarzania użytkownika w formacie pdf nie będzie uznane za realizację prawa do przenoszenia danych. Ponadto dostępność stosowanego formatu nie może być ograniczona np. wysokimi cenami licencji programów go odczytujących.
W wytycznych podkreślona została również konieczność przekazywania danych wraz z dotyczącymi ich metadanymi. Przykładem może być sposób przekazywania billingu: niewystarczające będzie przekazanie samych numerów telefonów w pliku pdf. Istotne będzie uwzględnienie czasu wykonywania połączenia i jego trwania oraz innych zbieranych przez operatora danych.
Zgodnie z rozporządzeniem przekazywanie danych powinno być bezpłatne. Sytuacją wyjątkową pod tym względem są ewidentnie nieuzasadnione, nadmierne żądania przenoszenia danych. Ustawiczny charakter takich próśb może stanowić podstawę do wprowadzenia opłaty za ich wykonywanie. Ponadto RODO wprowadza miesięczny termin na realizację żądania użytkownika lub przesłanie informacji dotyczącej odmowy wykonania danego żądania. W szczególnie skomplikowanych wypadkach termin ten, po poinformowaniu użytkownika w przeciągu miesiąca o przyczynach takiej decyzji, może być przedłużony do trzech miesięcy.
Informowanie: siebie i innych
Przede wszystkim jednak wraz z wejściem w życie rozporządzenia powstanie obowiązek informowania użytkowników o ich nowym prawie. Dlatego działający w internecie przedsiębiorcy nie mogą być nim zaskoczeni – to oni mają być stroną przekazującą informacje o portability użytkownikom. W realizacji tego obowiązku pomocne są treściwe i przystępne wytyczne grupy roboczej art. 29.
Więcej informacji:
Ogólne rozporządzenie o ochronie danych osobowych dostępne tutaj.
Nieoficjalne tłumaczenie wytycznych Grupy roboczej art. 29 dotyczących prawa do przenoszenia danych tutaj.