Prawo do przenoszenia danych jest jednym z nowym nowych uprawnieniem uprawnień podmiotu danych, przyznanym przez RODO, którego realizacja może przysporzyć administratorom wiele praktycznych problemów.
Artykuł 20 ust. 1 RODO zapewnia osobom, których dane dotyczą:
- możliwość otrzymania w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, danych osobowych, które te osoby dostarczyły administratorowi oraz
- możliwość żądania przesłania takich danych osobowych bezpośrednio innemu administratorowi, bez przeszkód ze strony administratora, któremu dane pierwotnie dostarczono.
Należy podkreślić, że prawo do przenoszenia danych nie jest prawem bezwarunkowym. Aby administrator był zobowiązany do wykonania wniosku o przeniesienie danych, musi zostać spełnionych łącznie pięć przesłanek:
- Informacje muszą być danymi osobowymi i dotyczyć podmiotu, który zwraca się z wnioskiem o ich przeniesienie;
- Przetwarzanie danych osobowych musi odbywać się na podstawie umowy lub zgody osoby, której dane dotyczą – prawo do przenoszenia danych nie ma zastosowania do danych przetwarzanych na innych podstawach, w szczególności zaś do danych przetwarzanych przez organy administracji i inne podmioty w ramach wykonania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy publicznej.
- Dane osobowe objęte wnioskiem muszą być dostarczone administratorowi przez osobę, której dotyczą.
- Realizacja prawa do przenoszenia nie może wpływać niekorzystnie na prawa i wolności innych osób, jeśli stanowią one element nierozerwalnie związany z danymi podmiotu korzystającego z prawa do przeniesienia danych, np.: adresy osób trzecich w książce kontaktów w poczcie e-mail.
- Przetwarzanie danych odbywa się w sposób zautomatyzowany – prawo do przenoszenia nie dotyczy bowiem danych przetwarzanych w zbiorach papierowych.
Podmiot danych może wykonywać swoje prawo tak długo, jak administrator przetwarza jego dane osobowe, jednak administratorzy, którym dane pierwotnie dostarczono, nie mogą przedłużyć okresu ich przechowywania, powołując się na możliwość skorzystania przez podmiot danych z prawa do przeniesienia jego danych. Z drugiej strony, administratorzy, którzy już wykonali wniosek o przeniesienie danych, nie mają obowiązku automatycznego usunięcia tych danych ze swoich systemów.
Administratorzy odpowiedzialni za bezpieczne przekazywanie danych do innych administratorów i powinni zagwarantować, że dane osobowe będą przekazywane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, przy czym w praktyce formaty te będą się różnić pomiędzy branżami.
Administratorzy nie będą mogli pobierać opłat za realizację prawa do przenoszenia danych, chyba że żądanie będzie nieuzasadnione lub nadmierne– wówczas mogą pobrać rozsądną opłatę.
Administrator będzie także musiał, bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w celu wykonania żądania przeniesienia danych. Jeśli sprawa będzie skomplikowana, administrator będzie mógł przedłużyć termin na udzielenie odpowiedzi do 3 miesięcy, pod warunkiem, że poinformuje osobę o przyczynach takiego opóźnienia w terminie miesiąca od otrzymania pierwotnego żądania.
Administratorzy, którzy odmówią udzielenia odpowiedzi na wniosek o przeniesienie danych, będą zobowiązani, najpóźniej w terminie miesiąca od otrzymania żądania, poinformować osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego i skorzystania ze środków ochrony prawnej przed sądem.
Bezpodstawna odmowa realizacji uprawnienia podmiotu danych przez administratora może stać się podstawą nałożenia na niego przez organ nadzorczy kary pieniężnej.