Tak jak możemy przenieść numer telefonu do innego operatora bez konieczności jego zmiany, tak możemy żądać przeniesienia swoich danych od jednego administratora do drugiego albo, po prostu, otrzymania ich kopii na nasz własny użytek. Dokumentacja medyczna, dane z mediów społecznościowych, opasek sportowych czy aplikacji – we wszystkich tych przypadkach przysługuje nam to uprawnienie (data portability). W praktyce jednak, jego zastosowanie może być źródłem wielu problemów zarówno dla osoby, której dane dotyczą, jak i dla administratora.

Zgodnie z treścią art. 20 RODO prawo przenoszenia danych osobowych zapewnia osobom, których dane dotyczą, możliwość otrzymywania i przesyłania danych osobowych, które dostarczyły administratorowi, innemu administratorowi w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Jest to możliwe tylko w odniesieniu do zautomatyzowanego przetwarzania na podstawie zgody lub umowy. W praktyce będzie to oznaczało możliwość otrzymania danych zgromadzonych na nasz temat w formacie umożliwiającym ich odczytanie: wytyczne zalecają formaty CSV, XML i JSON, ale nie są to wyłączne opcje. Głównym celem tego rozwiązania miało być przede wszystkim przywrócenie równowagi utraconej w wyniku udzielenia zgody na przetwarzanie danych osobowych w ramach korzystania z usług oferowanych przez serwisy internetowe. W praktyce operacja ta wiązała się bowiem z utratą realnej kontroli nad dalszym przetwarzaniem przekazanych administratorowi danych. Prawo przenoszalności danych uzupełnia prawo dostępu. W przypadku tego ostatniego dysponujemy dużo szerszym katalogiem informacji, ale to w przypadku prawa przenoszalności przysługuje nam możliwość otrzymania naszych danych w nadającym się do odczytu maszynowego formacie.

Poszczególne sformułowania zaproponowane przez ustawodawcę unijnego rodzą jednak szereg pytań i wątpliwości co do ich praktycznego znaczenia. Badania przeprowadzone na St. Andrews University wykazały, że spośród 230 próśb o przeniesienie danych wysłanych przez naukowców do różnych administratorów danych tylko 74.8% w pełni zrealizowało swój obowiązek[1]. Co więcej, czas odpowiedzi, sposób przekazania danych i interpretacja ich zakresu znacząco się różniły w zależności od poszczególnych administratorów – tylko części z nich udawało się odpowiedzieć w ciągu ustawowego miesiąca i przekazać dane w odpowiednim formacie. Skąd takie rozbieżności?

Po pierwsze, skorzystanie z przysługującego użytkownikom uprawnienia do przeniesienia swoich danych ma zastosowanie jedynie co do danych przez nich uprzednio przekazanych administratorowi. Zgodnie z interpretacją tego przepisu są to dane przekazane świadomie i aktywnie przez osobę, której dane dotyczą, jak również wygenerowane poprzez jej działanie. O ile więc działalność operacyjna administratora odbywa się w oparciu o te informacje, które użytkownik przez swoje działanie wprowadził do systemu, będzie mógł on ubiegać się o ich wydanie w formie elektronicznego zapisu. W przypadku jednak tak zwanych danych wywiedzionych czy wyinterpretowanych bazujących na aktywności użytkownika, administrator ma prawo wyłączyć je spod obowiązku przekazania użytkownikowi w ramach data portability. Oznacza to, że żądając od Facebooka kopii swoich danych otrzymamy wyczerpujące informacje o działalności w serwisie: wszystkie zdjęcia, rozmowy, polubione strony i posty. Nie otrzymamy jednak informacji, które Facebook wyinterpretował na podstawie naszych aktywności i wszystkich szczegółów na podstawie których dokonywał np. decyzji o targetowaniu konkretnych reklam (obecnie możemy to sprawdzić tylko do pewnego stopnia). Nie dowiemy się też, jakie wnioski na nasz temat wysnuł bank czy sklep internetowy obserwując nas w trakcie dokonywania transakcji. Z aplikacji śledzącej postępy treningowe otrzymamy informacje o wynikach czy godzinach snu, ale już nie to, jakie konkluzje są z nich wyciągane na temat rytmu pracy[2].

Tak ukształtowana dyspozycja administratorów może pozwolić na manipulowanie pojęciem danych przekazanych i pozwolić na stopniowe, elastyczne rozszerzanie się katalogu danych wyinterpretowanych w taki sposób, by uchylić się od prawem przewidzianego obowiązku. Ocena, czy takie dane nie powinny również znaleźć się w zakresie obligatoryjnie udostępnianych na żądanie uprawnionego, pozostaje do rozstrzygnięcia. Administratorzy, którzy działają w tej samej branży niechętnie będą dzielić się ze sobą informacjami o sposobie, w jaki interpretują dane swoich użytkowników i jak wykorzystują je w swoich modelach biznesowych czy rozwiązaniach technicznych. Na przykład sprawia to, że niemożliwe będzie przeniesienie ocen z jednego serwisu coachsurfingowego do drugiego[3] lub informacji o filmach sugerowanych przez serwis streamingowy. Realizacja obowiązku przeniesienia danych może w takich wypadkach naruszać tajemnicę przedsiębiorstwa, a niekiedy także prawo własności intelektualnej.

Potencjalne pole do interpretacji daje też fakt, iż dane, których możemy żądać przeniesienia, mogą być przetwarzane tylko na podstawie zgody lub umowy. Nie obejmuje to więc przetwarzania niezbędnego do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, lecz także przetwarzania niezbędnego do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Właśnie ta ostatnia podstawa jest często wskazywana przez administratorów do przetwarzania danych behawioralnych i tworzenia profili konsumenckich[4].

Niewyjaśniona jest również kwestia ustrukturyzowania i powszechności formatu, w formie którego dane mają zostać przekazane. Wykonując prawo do przenoszenia danych, osoba, której dane dotyczą, ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe. Jak to zostało wspomniane powyżej, dotychczasowa praktyka nie jest ujednolicona, a ponadto, pomimo zapisu w formie elektronicznej, nie nadaje się do odczytu maszynowego, który ustawodawca unijny zapewne miał na myśli (nadający się do odczytu jest taki format pliku, który „dzięki swojemu ustrukturyzowaniu pozwoli aplikacjom na łatwe identyfikowanie, rozpoznawanie i wyodrębnianie określonych danych, a także indywidualne analizowanie faktów i ich wewnętrzną strukturę”).

Ratio legis uprawnienia do przenoszenia swoich danych zakłada również interoperacyjność i współpracę podmiotów w kwestii zapewnienia takiego formatu, który nie tylko pozwoli na efektywne skorzystanie z przysługującego uprawnienia, ale też przyczyni się do prężnego rozwoju konkurencji w tym zakresie. Dobrą praktyką ze strony administratorów byłoby zatem opracowywanie takich środków, które przyczynią się do udzielania odpowiedzi na wnioski o przeniesienie danych, takie jak narzędzia do pobierania i interfejsy programowania aplikacji oraz oferowanie użytkownikom w miarę możliwości jak albo samodzielnego wyboru formatu albo zdecydowania się na ten, który zgodnie z utartą praktyką będzie najbardziej rozpowszechniony wśród innych usługodawców.

Ponadto, problem wyegzekwowania niniejszego uprawnienia pojawia się również w związku kolizją z prawami osób trzecich. W zakresie danych przekazanych przez użytkownika mogą się znaleźć dane dotyczące innych osób niż sam uprawniony, np. w postaci listy znajomych, wiadomości czy zdjęć pobieranych z serwisu społecznościowego. Przenoszenie swoich praw do innego administratora uniemożliwia stronom trzecim realizację ich innych praw wynikających z RODO (np. praw do informacji, dostępu, etc.). Ważne jest, by zapewnić tym osobom bezpieczeństwo w zakresie wyłączenia możliwości korzystania przez nowych administratorów z danych ich dotyczących np. w celu składania im własnej oferty usług, prowadzenia wobec nich działalności marketingowej itd. Przetwarzanie tych danych mogłoby stanowić naruszenie prawa w związku z koniecznością udzielenia wyraźnej zgody na przetwarzanie danych, którą to w tym przypadku administratorzy by nie dysponowali. Jeżeli jednak chcieliby z tych danych skorzystać, administratorzy powinni wdrożyć takie mechanizmy wyrażania zgody dla osób trzecich, aby ułatwić przesyłanie danych w tych przypadkach, gdy takie strony chcą wyrazić zgodę.

Wreszcie, operacja przenoszenia danych z jednej bazy do drugiej budzi duże ryzyko naruszeń. Może do niego dojść na wielu etapach procedury z uwagi na różnice w systemach stosowanych przez administratorów. Przykładowo, w niektórych przypadkach problematyczne może być chociażby właściwe zweryfikowanie, czy osoba, która żąda przeniesienia danych jest do tego na pewno uprawniona[5]. Wątpliwości może budzić też bezpieczeństwo transferu i słabsza ochrona danych na prywatnych urządzeniach. Co istotne, przeniesienie danych od jednego administratora do drugiego nie oznacza ich jednoczesnego usunięcia u tego pierwszego – jeżeli jest ku temu podstawa, dane dalej będą przetwarzane, o ile nie zażądamy tego zaprzestania.

Prawo do przenoszenia danych zostało wprowadzone do RODO, by umożliwić osobom, których dane dotyczą sprawowanie kontroli nad danymi i ich transferami. Jego stosowanie jest jednak ograniczone: dotyczy tylko danych osobowych bezpośrednio przekazanych administratorowi i tylko na podstawie zgody albo umowy. Umożliwia więc zebranie jedynie tego, co sami wcześniej udostępniliśmy. Brak ujednoliconej praktyki w zakresie przenoszalności danych osobowych i mnogość możliwych do wykorzystania w tym celu formatów przekazywania danych może wprowadzić dodatkowe niepotrzebne zamieszanie. Wydaje się zatem, że szansą na uniknięcie takiego stanu rzeczy byłoby uprzednie uregulowanie, zapewniające zarówno użytkownikom, jak i administratorom przejrzyste warunki zastosowania tego uprawnienia w praktyce. Tak, by móc jak najswobodniej i bez zbędnych komplikacji przetransferować dane od jednego administratora do drugiego, wspierając tym samym pełnowymiarowy rozwój konkurencji na obszarze Unii Europejskiej.

Koło naukowe European Horizons UW
Maria Magierska, Marta Musidłowska

[1] Janis Wong, Tristan Henderson, ‘The Right to Data Portability in Practice: Exploring the Implications of the Technologically Neutral GDPR’, International Data Privacy Law, 9.3 (2019), 173–91 <https://doi.org/10.1093/idpl/ipz008>.

[2] Orla Lynskey, ‘Article 20. Right to Data Portability’, The EU General Data Protection Regulation (GDPR)

A Commentary, red. Christopher Kuner, Lee A. Bygrave, Christopher Docksey, Oxford University Press 2020.

[3] Helena Ursic, ‘Unfolding the New-Born Right to Data Portability: Four Gateways to Data Subject Control’, SCRIPT-Ed, 15.1 (2018), 42–69 <https://doi.org/10.2966/scrip.150118.42>.

[4] Ibid.

[5] O. Lynskey.