Realizowanie praw osób

Nowością jest prawo do przenoszenia danych zdefiniowane w art. 20 rozporządzenia, wskazującym, że: 
Osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane innemu administratorowi bez przeszkód ze strony administratora, któremu dane te dostarczono.

Będzie to możliwe wtedy, kiedy:

  • przetwarzanie jest automatyczne (komputerowe) oraz
  • dane przetwarza się w celu zawarcia bądź realizacji umowy (dane zwykłe) bądź na podstawie zgody (dane wrażliwe i zwykłe).
     

Celem przenoszenia danych jest nie tyle ochrona danych, ale ułatwienie zamiany jednego dostawcy usług na innego, w ten sposób zwiększając konkurencję wśród dostawców usług (ułatwiając osobom zmianę dostawców usług). Umożliwia ono tworzenie nowych usług w kontekście strategii jednolitego rynku cyfrowego. Przenoszenie ma też na celu tworzenie „interoperacyjnych systemów, a nie kompatybilnych systemów”. W Wytycznych WP242 Grupy Roboczej Art. 29 można przeczytać, że chodzi o: możliwość łatwego przenoszenia, kopiowania lub przesyłania danych osobowych z jednego środowiska IT do innego1.

(…) Administratorzy danych powinni zacząć opracowywać środki, które przyczynią się do udzielania odpowiedzi na wnioski o przeniesienie danych, takie jak narzędzia do pobierania, interfejsy programowania aplikacji (Application Programming Interfaces – API). Powinni oni zagwarantować, że dane osobowe będą przekazywane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz powinni być zachęcani do zapewnienia interoperacyjności formatu danych przekazywanych w ramach realizacji wniosku o przeniesienie danych.

 

Artykuł 12 ust. 3 podkreśla, że dane należy przekazać bez zbędnej zwłoki lub w terminie miesiąca od otrzymania żądania, lub w ciągu maksymalnie trzech miesięcy w przypadku naprawdę skomplikowanych spraw, pod warunkiem że poinformuje się osobę o przyczynach takiego odległego terminu. Ustęp 4 stanowi natomiast, że w przypadku gdy administrator nie podjął żadnych działań, do miesiąca musi wyjaśnić tego powody i przekazać informację o prawie skargi do organu nadzorczego (GIODO, w przyszłości do Prezesa Urzędu Ochrony Danych Osobowych). Nie jest jasne, czy wspomniane trzy miesiące stanowią termin na przekazanie danych czy też na informowanie o podejmowanych działaniach; bezpieczniej będzie założyć, że w tym czasie żądanie powinno zostać zrealizowane.

 

Prawo dostępu do danych

 

Osoby mają prawo wiedzieć, kto ich dane osobowe przetwarza, jakie dane i w jakim celu. Obecnie to prawo uzys­kują na mocy art. 32 ust. 1 ustawy o ochronie danych osobowych. Artykuł 15 RODO podtrzymuje to prawo, rozszerzając zakres podawanych danych. Zarówno w poprzednim, jak i nowym stanie prawnym jest ono nieco kontrowersyjne – ustawa wprowadziła obowiązek podania w powszechnie zrozumiałej formie treści tych danych, a rozporządzenie mówi o tym, że osobie należy dostarczyć kopię danych osobowych podlegających przetwarzaniu. Nie jest do końca jasne, o jaki zakres danych ma chodzić (czy wszystkie dane, czy tylko najbardziej istotne), jednak pewne jest, że systemy informatyczne będą musiały wyprodukować informacje, o których mowa w art. 15.