General Data Protection Regulation (ďalej len "GDPR") prináša od roku 2018 novú povinnosť, s ktorou sa budú musieť prevádzkovatelia spracovávajúci osobné údaje vysporiadať. Touto novinkou je právo na prenos osobných údajov anglicky „Right to data portability“. To ukladá prevádzkovateľovi povinnosť preniesť osobné údaje na základe žiadosti dotknutej osoby inému prevádzkovateľovi. Dôvodom vzniku tohto práva je „právna premisa“, že osobné údaje sú jedinečným vlastníctvom individuálnej bytosti. Z uvedeného dôvodu, ak sa fyzická osoba rozhodne preniesť svoje osobné údaje ako svoj majetok z jednej spoločnosti do druhej, musí jej to byť zo strany danej spoločnosti umožnené.
Aký má význam prenášať údaje z jednej spoločnosti do druhej? Pridaná hodnota pre užívateľa je otázna a do značnej miery závislá od charakteru poskytovaných služieb prevádzkovateľa. Benefitom je transparentnosť a voľná dispozícia. Ak sa rozhodnem preniesť všetky fotografie zo sociálnej siete na inú, tak benefitom je, že to sociálna sieť vykoná za mňa (stiahne fotografie a odošle ich na inú sociálnu sieť jednoduchým klikom). Pri prenose produktu z jednej spoločnosti do druhej to môže znamenať uľahčenie obsluhy klienta. V prípade prenosu hypotéky alebo bežného účtu v rámci finančných inštitúcii, môže klient využiť prenos údajov s cieľom zjednodušiť proces administrácie. Avšak vzhľadom na legislatívu regulujúcu bankovú činnosť nebude takáto „administrácia“ až tak jednoduchá. V prípade telekomunikačných operátorov môže byť benefitom prenos telefónneho čísla, hlasovej biometrie alebo údajov zo zmluvy.
Právo na prenos osobných údajov je z hľadiska GDPR pomerne prísne definované, a to napriek usmerneniu pracovnej skupiny Európskej komisie „Working Party 29“ (ďalej len WP 29), zloženej najmä zo zástupcov úradov na ochranu osobných údajov. Predmetné usmernenie WP 29 neprinieslo príliš veľa svetla do uvedenej problematiky práve naopak, niektoré odporúčania v ňom uvedené sú z hľadiska reálnej implementácie skoro nesplniteľné. Dôsledku prenosu osobných údajov, právny vzťah ako aj spracúvanie osobných údajov vo vzťahu k prevádzkovateľovi nezaniká. Prenášajú sa výlučne „kópie osobných údajov“, pričom iné práva GDPR tým nie sú dotknuté. V akých prípadoch prichádza do úvahy prenos osobných údajov podľa článku 20 GDPR?
Údaje sa týkajú výlučne osoby, ktorá žiada o prenos údajov (dátového subjektu)
- Údaje boli získané priamo od dátového subjektu alebo boli vytvorené jeho aktivitou
- Údaje boli spracúvané za účelom plnenia zmluvy alebo súhlasu alebo údaje sú spracúvané automatizovaným spôsobom
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ bránil.
V zmysle článku 20 ods. 2 GDPR je priamy prenos osobných údajov medzi prevádzkovateľmi nutný len vtedy, ak je to technicky možné. Táto zdanlivo nepatrná poznámka je z hľadiska výkladu GDPR veľmi dôležitá. Rôzni prevádzkovatelia informačných systémov budú mať rozličné technické obmedzenia pri prenose údajov. Z GDPR vyplýva povinnosť vytvoriť medzi prevádzkovateľmi priame komunikačné kanály na výmenu dát, iba ak to z charakteru poskytovaných služieb ako aj z hľadiska informačnej bezpečnosti je technicky možné. Otázkou ostáva, či právo na prenos osobných údajov možno zabezpečiť jednoduchým stiahnutím údajov na zariadenie žiadateľa/užívateľa alebo je potrebné vykonať tento prenos na účet a v prospech dotknutej osoby na "náklady" prevádzkovateľa.
Právom na prenos údajov sa do istej miery zaoberá spoločnosť Facebook. Nie je tomu dlho odkedy Facebook sprístupnil možnosť užívateľom stiahnuť všetky osobné údaje, ktoré sa jej týkajú. Facebook momentálne testuje rýchlosť a schopnosť „vydolovať“ osobné údaje užívateľa. Veľmi oceňujem, že Facebook túto funkcionalitu ponúka. Každý si môže vyskúšať ako to v praxi funguje.
FB download
Jednoduchým preklikol cez všeobecné informácie o ochrane súkromia sa dostanete do sekcie - nastavenie konta, kde nájdete možnosť "vytvoriť archív údajov". Facebook uvádza, že váš archív údajov bude obsahovať citlivé údaje ako napríklad odkazy zo steny, fotky, informácie z profilu a pod.. Na základe vašej autentifikácie, Facebook pristúpi k vytvoreniu kópie osobných údajov a emailom vás upozorní na možnú dobu spracovania žiadosti. Následne vám je emailom zaslaný archívny dokument obsahujúce vaše osobné údaje. Facebook zatiaľ neponúka priamy prenos údajov inému prevádzkovateľovi, avšak už zo samotného charakteru tejto služby, klientovi nič nebráni, aby tak urobil sám. Je to len malá ochutnávka toho, čo čaká od 2018 všetkých prevádzkovateľov spracuvajúcich osobné údaje.
