Право на перенесення даних (data portability) згідно з GDPR

17 Лютого 2021

Право на перенесення даних (data portability) є одним з основних прав, які надаються суб’єктам даних у відповідності із Загальним Регламентом Захисту Даних (GDPR). Право на перенесення персональних даних є новим та амбіційним.

Суть права про перенесення даних

По суті, право на перенесення даних – це право на перенесення персональних даних від однієї компанії (контролера) до іншої компанії, структури або суб’єкту даних у контексті використання цифрових персональних даних (наборів даних) та застосування автоматизованої обробки. Це може звучати легко, але на практиці може виникнути багато запитань.

Право на перенесення персональних даних, безумовно, також слід розглядати на тлі цифрової ери та використання цифрової трансформації, коли особисті дані стали частиною практично всіх сфер суспільства, життя, бізнесу та багатьох процесів, починаючи від купівлі в Інтернеті та закінчуючи Інтернет-обслуговуванням клієнтів та обробкою великих об’ємів даних, що здійснюються в межах безлічі цифрових процесів.

Більше того, ми повинні усвідомити, що, наприклад, в рамках використання IoT (Інтернету речей), ми насправді все ще перебуваємо на самому початку усвідомлення того як дані переносяться та як формуються потоки даних. Типи та обсяги даних, а також кількість процесів обробки пов’язані з ними, безупинно зростають, причому основне зростання припадає на неструктуровані дані. Тож не слід дивуватись тому, що перенесення даних стосується автоматизованої діяльності з обробки цифрових даних.

Роз’яснення WP29 щодо перенесення даних чітко вказують на цифровий та ІТ-аспект перенесення даних.  Роз’яснення WP29 декларують, що право на перенесення даних має на меті розширення можливостей суб’єктів даних щодо власних персональних даних, оскільки це полегшує їх здатність переміщувати, копіювати або легко переносити персональні дані з одного ІТ-середовища в інше.

Перенесення даних від одного ІТ-середовища до іншого може відбуватися:

  • Від ІТ- середовища контролера до системи суб’єкта даних.
  • Від ІТ-середовища контролера до систем даних надійних третіх сторін.
  • Від ІТ- середовища контролера до іншого контролера даних.

Право на перенесення в GDPR

У відповідності зі статтею 20 GDPR, суб’єкт даних має право на отримання своїх персональних даних, які він надав контролеру, в структурованому, загальноприйнятому форматі, що легко зчитується машиною. Разом з тим, суб’єкт даних має право на передавання таких даних іншому контролеру без перешкод від контролера, якому спочатку було надано персональні дані.

Для можливості скористатися цим правом, необхідна наявність деяких умов. Зокрема, потрібно впевнитися, що:

  • Обробка персональних даних здійснюється на підставі згоди суб’єкта даних на обробку його персональних даних для однієї чи декількох спеціальних цілей;
  • Обробка персональних даних здійснюється на підставі явної згоди суб’єкта даних на обробку його персональних даних для однієї чи декількох спеціальних цілей, за винятком тих випадків, якщо законодавством ЄС чи держави-члена ЄС передбачено, що суб’єкт даних не може зняти заборону на обробку персональних даних, що розкривають расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування, чи членство в професійних спілках, і опрацювання
  • Обробка персональних даних є автоматизованою.

Які дані підпадають під data portability

Право на перенесення даних не охоплює всі особисті дані, однак, коли персональні дані не підпадають під право перенесення даних, вони, звичайно, все ще можуть підпадати під дію права про надання суб’єктам даних доступу до персональних даних, у відповідності зі статтею 15 GDPR.

WP 29 у своїх роз’ясненнях розкрили, які типи персональних даних підпадають під право перенесення даних, а які ні.

У роз’ясненнях пропонують розглянути дві категорії особистих даних, які вважаються наданими контролеру даних та до яких може застосовуватися право на перенесення даних:

  • Очевидна категорія персональних даних, які активно та свідомо надаються суб’єктом даних;
  • Моніторингові дані, завдяки яким суб’єкт даних опосередковано надає дані під час користування послугою, пристроєм тощо. Сюди входять необроблені дані, що стосуються суб’єкта даних, такі як місцезнаходження, дані, що відстежуються за допомогою пристроїв, журналів активності, історії використання та пошуку веб-сайтів тощо.

Інші особливості data portability

Забезпечуючи реалізацію права на перенесення даних, потрібно слідкувати, щоб не відбувалося  обмеження суб’єкта даних в реалізації права на видалення персональних даних, у відповідності до статті 17 GDPR.

Право на перенесення даних не застосовується до обробки, необхідної для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. В цьому випадку мова йде, наприклад, про державні органи, які діють в ролі контролера.

Забезпечуючи реалізацію права на перенесення даних, потрібно впевнитися в тому, що така реалізація не впливає негативно на права та свободи інших осіб.

Висновок

Будь-яка компанія, яка діє в якості контролера зобов’язана забезпечити реалізацію прав суб’єктів даних, передбачених GDPR, а тим більше коли мова йде про нові права, такі як право на перенесення даних. Це допоможе компанії забезпечити GDPR compliance та працювати у відповідності з законом.