Право на перенос данных (data portability) по GDPR

17 февраля 2021

Право на перенос данных (data portability) является одним из основных прав, предоставляемых субъектам данных в соответствии с Общим Регламентом защиты данных (GDPR). Право на перенос персональных данных является новым и амбициозным.

Суть права о переносе данных

По сути, право на перенос данных — это право на перенос персональных данных от одной компании (контроллера) в другую компанию, структуры или субъекту данных в контексте использования цифровых персональных данных (наборов данных) и применения автоматизированной обработки. Это может звучать легко, но на практике может возникнуть много вопросов.

Право на перенос персональных данных, безусловно, также следует рассматривать на фоне цифровой эры и использования цифровой трансформации, когда личные данные стали частью практически всех сфер общества, жизни, бизнеса и многих процессов, начиная от покупки в Интернете и заканчивая Интернет-обслуживанием клиентов и обработкой больших объемов данных, осуществляются в пределах множества цифровых процессов.

Более того, мы должны осознать, что, например, в рамках использования IoT (Интернета вещей), мы на самом деле все еще находимся в самом начале осознание того как данные переносятся и как формируются потоки данных. Типы и объемы данных, а также количество процессов обработки связанные с ними, непрерывно растут, причем основной рост приходится на неструктурированные данные. Поэтому не следует удивляться тому, что перенос данных касается автоматизированной деятельности по обработке цифровых данных.

Разъяснение WP29 о переносе данных четко указывают на цифровой и ИТ-аспект переноса данных. Разъяснение WP29 декларируют, что право на перенос данных имеет целью расширение возможностей субъектов данных относительно собственных персональных данных, поскольку это облегчает их способность перемещать, копировать или легко переносить персональные данные с одной ИТ-среды в другую.

Перенос данных от одного ИТ-среды к другому может происходить:

От ИТ среды контроллера к системе субъекта данных.
От ИТ-среды контроллера к системам данных надежных третьих сторон.
От ИТ среды контроллера к другому контроллера данных.

Право на перенос в GDPR

В соответствии со статьей 20 GDPR, субъект данных имеет право на получение своих персональных данных, которые он предоставил контроллеру, в структурированном, общепринятом формате, легко считывается машиной. Вместе с тем, субъект данных имеет право на передачу таких данных другому контроллеру без помех от контроллера, которому сначала было предоставлено персональные данные.

Для возможности воспользоваться этим правом, необходимо наличие некоторых условий. В частности, нужно убедиться, что:

Обработка персональных данных осуществляется на основании согласия субъекта данных на обработку его персональных данных для одной или нескольких специальных целей;
Обработка персональных данных осуществляется на основании явного согласия субъекта данных на обработку его персональных данных для одной или нескольких специальных целей, за исключением тех случаев, когда законодательством ЕС или государства-члена ЕС предусмотрено, что субъект данных не может снять запрет на обработку персональных данных, раскрывающих расовое или этнической принадлежности, убеждений, религиозные или философские верования, или членство в профессиональных союзах и обработки
Обработка персональных данных является автоматизированной.

Данные подпадают под data portability

Право на перенос данных не охватывает все личные данные, однако, когда персональные данные не подпадают под право переноса данных, они, конечно, все еще могут подпадать под действие права о предоставлении субъектам данных доступа к персональным данным, в соответствии со статьей 15 GDPR .

WP 29 в своих разъяснениях раскрыли, какие типы персональных данных подпадают под право переноса данных, а какие нет.

В разъяснениях предлагают рассмотреть две категории личных данных, которые считаются предоставленными контроллеру данных и к которым может применяться право на перенос данных:

Очевидна категория персональных данных, которые активно и сознательно предоставляются субъектом данных;
Мониторинговые данные, благодаря которым субъект данных косвенно предоставляет данные при использовании услуг, устройством и тому подобное. Сюда входят необработанные данные, касающиеся субъекта данных, такие как местонахождение, данные, отслеживаются с помощью устройств, журналов активности, истории использования и поиска сайтов и тому подобное.

Другие особенности data portability

Обеспечивая реализацию права на перенос данных, нужно следить, чтобы не происходило ограничение субъекта данных в реализации права на удаление персональных данных, в соответствии со статьей 17 GDPR.

Право на перенос данных не применяется к обработке, необходимой для выполнения задания в общественных интересах или осуществление официальных полномочий, возложенных на контролера. В этом случае речь идет, например, о государственных органах, которые действуют в роли контроллера.

Обеспечивая реализацию права на перенос данных, нужно убедиться в том, что такая реализация не влияет негативно на права и свободы других лиц.

вывод

Любая компания, которая действует в качестве контроллера обязана обеспечить реализацию прав субъектов данных, предусмотренных GDPR, а тем более когда речь идет о новых права, такие как право на перенос данных. Это поможет компании обеспечить GDPR compliance и работать в соответствии с законом.