Firmy będą musiały wkrótce umożliwić przenoszenie danych wytworzonych przez klientów. Zarówno treści z serwisów internetowych, jak i zestawienie informacji o szkodowości u ubezpieczyciela.
Od 25 maja 2018 r. każdy będzie mógł zażądać od administratora, aby ten przekazał jemu lub bezpośrednio innej firmie swoje dane osobowe. Uprawnienie to przewidziano w art. 20 rozporządzenia o ochronie danych osobowych (2016/679; dalej: RODO). Jak wynika z wytycznych Grupy Roboczej art. 29 (gremium skupiającego rzeczników ochrony danych osobowych ze wszystkich państw UE), nie chodzi tu wyłącznie o takie dane jak imię, nazwisko czy adres zamieszkania. Użytkownik serwisu społecznościowego będzie mógł zażądać przekazania w zasadzie wszystkich informacji, jakie sam wygenerował.
– Nie mam wątpliwości, że wszystko, co użytkownik sam zamieszcza w serwisie internetowym, czy to będą jego zdjęcia, czy komentarze, czy jakiekolwiek inne treści, jest informacją możliwą do powiązania z osobą fizyczną, a więc stanowi dane osobowe. Warto bowiem pamiętać, że danymi osobowymi są nie tylko dane identyfikujące. Warunkiem jest to, aby osoba chcąca skorzystać z przeniesienia danych same je wprowadziła – wyjaśnia dr Wojciech Wiewiórowski, zastępca europejskiego inspektora ochrony danych.
Przykładów zastosowań nowego prawa może być wiele. Użytkownik serwisów streamingowych będzie mógł zażądać przekazania listy tego, czego słuchał czy oglądał, klient zmieniający bank – przekazania do nowego historii swych transakcji, osoba zmieniająca dostawcę prądu – danych o jego zużyciu. Ważne, by dane te były wytworzone przez użytkownika, a ich przetwarzanie odbywało się w sposób zautomatyzowany.
Nie wszyscy eksperci podzielają interpretację Grupy Roboczej art. 29.
– Jest ona bardzo szeroka i w mojej opinii daleko wykracza poza obszar regulacji RODO. Nadinterpretacją jest w szczególności objęcie obowiązkiem przenoszenia danych wytworzonych w związku z korzystaniem z usługi lub urządzenia. Celem rozporządzenia jest przecież ochrona danych osobowych, a nie ułatwienia dla konsumentów w zmianie usługodawców – uważa Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka i ekspert Polskiej Izby Informatyki i Telekomunikacji.
Rzeczywiście w preambule RODO trudno znaleźć bezpośrednie nawiązania do ułatwienia życia konsumentom przy korzystaniu z usług. Mowa w niej natomiast (motyw 68) o zwiększaniu kontroli nad swoimi danymi w ramach ich zautomatyzowanego przetwarzania.
– Wbrew pozorom to właśnie ułatwienie możliwości zmiany usługodawcy jest jednym z celów RODO. Chodzi o uwolnienie danych, o to, by klient mógł sam decydować, co z nimi zamierza zrobić – przekonuje dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.
Firmy sceptyczne
Jedno jest pewne – nowe przepisy będą oznaczać dodatkowe obowiązki dla przedsiębiorców (administracja publiczna jest wyłączona), te zaś wymagają nie tylko przygotowań, ale i poniesienia kosztów. RODO narzuca, by każdy administrator przekazywał osobie zainteresowanej jej dane w „ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”. Co więcej, można też żądać, by przekazywał je bezpośrednio innemu przedsiębiorcy. Rejestrując się np. w nowej księgarni internetowej, klient mógłby sobie zażyczyć, aby dotychczasowa przekazała jej całą historię zakupów. Czy w praktyce będzie to wykonalne? Branża informatyczna jest tu sceptyczna. – W ramach PIIT powołaliśmy grupę roboczą, która ma przygotować kodeks postępowania, a w nim zasady przenoszenia danych. Aby wypracować standardy techniczne ich przenoszenia, utworzyliśmy zespół złożony z przedstawicieli operatorów telekomunikacyjnych i wiodących firm informatycznych. Jedynie operatorzy telekomunikacyjni mają w tym doświadczenie, związane choćby z przenoszeniem numerów i na nich prawdopodobnie będziemy bazować. Nie sądzę jednak, by była możliwość przenoszenia pełnego zakresu danych, np. z jednego serwisu internetowego do drugiego – zauważa Wojciech Dziomdziora.
Z oczywistych względów nie da się przenieść wszystkich danych z Facebooka do Twittera, bo chociaż obydwa są serwisami społecznościowymi, to działają na innych zasadach. Bardziej prawdopodobne jest przenoszenie informacji między podmiotami bliźniaczymi, jak choćby wspomniani operatorzy telekomunikacyjni. Doświadczenia mają w tym też banki, które na mocy porozumienia mogą przekazywać historie rachunków.
Służebna rola
Prawo do przenoszenia danych osobowych, chociaż wynikające z przepisów o ich ochronie, paradoksalnie może wpływać na prywatność osób postronnych. Przy przenoszeniu zapisu czatów z jednego serwisu internetowego do drugiego przekazane zostaną przecież nie tylko dane osoby, która tego żąda, ale także jej rozmówców. Ci mogą nawet nie mieć świadomości, że ktoś inny przetwarza ich dane. Pojawia się pytanie, czy nowy administrator ma do tego prawo.
– Wydaje się, że dane innej osoby można przetwarzać jedynie w takim zakresie, w jakim jest to niezbędne do dostarczenia usługi temu, kto przenosi te dane. Sądzę, że globalni gracze mają już te problemy zdefiniowane i będą potrafili dokonać podziału. Problem mogą mieć firmy, które już przetwarzają duże zbiory, ale nie mają aż tak rozbudowanego zaplecza administracyjnego – mówi dr Wojciech Wiewiórowski.
Artykuł 20 ust. 4 RODO gwarantuje, że przenoszenie danych nie może niekorzystnie wpływać na prawa i wolności innych. W praktyce jednak będzie je ograniczać choćby właśnie przy przetwarzaniu danych przez nowego administratora.
– Uważam, że przetwarzanie to będzie w pełni dopuszczalne. Jeśli przeniosę swoją historię rachunku z jednego banku do drugiego, to oczywiście będą tam również dane nadawców czy odbiorców przelewów. Podobnie przy przenoszeniu danych między ubezpieczycielami. Siłą rzeczy będą w nim uwzględnione szkody spowodowane przeze mnie innym osobom bądź też mnie przez innych kierowców. Można powiedzieć, że dane osobowe innych osób zaczną wówczas pełnić funkcję służebną wobec przysługującego mi prawa do ich przenoszenia – uważa dr Paweł Litwiński.