GDPR: 9 συν 1 ερωτήσεις για το νέο δικαίωμα στη φορητότητα των δεδομένων

498

Δικαίωμα λήψης δεδομένων προσωπικού χαρακτήρα «σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο»

Με το νέο Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΔΠ/GDPR) θεσπίζεται ένα νέο δικαίωμα στη φορητότητα των δεδομένων, το οποίο συνδέεται μεν στενά με το δικαίωμα πρόσβασης αλλά διαφέρει από αυτό από πολλές απόψεις.

Όπως αναφέρει η Ομάδα Εργασίας του Άρθρου 29, το δικαίωμα στη φορητότητα παρέχει στα υποκείμενα των δεδομένων τη δυνατότητα να λαμβάνουν τα δεδομένα προσωπικού χαρακτήρα που έχουν παράσχει σε υπεύθυνο επεξεργασίας, σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο, καθώς και το δικαίωμα να διαβιβάζουν τα εν λόγω δεδομένα σε άλλον υπεύθυνο επεξεργασίας.

Στόχος αυτού του νέου δικαιώματος είναι να δώσει στο υποκείμενο των δεδομένων δύναμη και μεγαλύτερο έλεγχο επί των δεδομένων προσωπικού χαρακτήρα που το αφορούν.

Η Ομάδα Εργασίας του Άρθρου 29, το ανεξάρτητο συμβουλετικό σώμα που ασχολείται με την προστασία των δεδομένων προσωπικού χαρακτήρα και την ιδιωτικότητα στην Ευρωπαϊκή Ένωση, εξέδωσε μία σειρά από ερωτήσεις και απαντήσεις για την καλύτερη κατανόηση του νέου δικαιώματος στη φορητότητα των δεδομένων.

Ενημερωθείτε άμεσα και έγκυρα για τον νέο Γενικό Κανονισμό Προστασίας Δεδομένων στο Lawspot.gr/GDPR

1. Ποιος είναι ο σκοπός του δικαιώματος στη φορητότητα των δεδομένων;

Ουσιαστικά, η φορητότητα των δεδομένων παρέχει στα υποκείμενα των δεδομένων τη δυνατότητα να λαμβάνουν και να χρησιμοποιούν περαιτέρω τα δεδομένα «τους» για δικούς τους σκοπούς και σε διαφορετικές υπηρεσίες. Το εν λόγω δικαίωμα διευκολύνει την ικανότητά τους να διακινούν, να αντιγράφουν ή να μεταφέρουν εύκολα δεδομένα προσωπικού χαρακτήρα από ένα περιβάλλον ΤΠ σε άλλο, χωρίς αντίρρηση. Εκτός από την παροχή μεγαλύτερης δύναμης στον καταναλωτή με την αποφυγή του «εγκλωβισμού», προσδοκάται ότι θα ενισχύσει τις ευκαιρίες για καινοτομία και ανταλλαγή των δεδομένων προσωπικού χαρακτήρα μεταξύ των υπευθύνων επεξεργασίας με ασφάλεια υπό τον έλεγχο του υποκειμένου των δεδομένων.

2. Τι δυνατότητες προσφέρει το δικαίωμα στη φορητότητα των δεδομένων;

Κατʼ αρχάς, είναι το δικαίωμα λήψης δεδομένων προσωπικού χαρακτήρα («σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο») τα οποία έχουν υποβληθεί σε επεξεργασία από υπεύθυνο επεξεργασίας, και αποθήκευσής τους για περαιτέρω προσωπική χρήση σε ιδιωτική συσκευή, χωρίς διαβίβασής τους σε άλλον υπεύθυνο επεξεργασίας. Το δικαίωμα προσφέρει στα υποκείμενα των δεδομένων έναν εύκολο τρόπο να διαχειρίζονται τα ίδια τα δεδομένα προσωπικού χαρακτήρα τους. Δεύτερον, το εν λόγω δικαίωμα παρέχει στα υποκείμενα των δεδομένων τη δυνατότητα διαβίβασης των δεδομένων προσωπικού χαρακτήρα τους από έναν υπεύθυνο επεξεργασίας σε άλλον «χωρίς αντίρρηση», και διευκολύνει την ικανότητά τους να διακινούν, να αντιγράφουν ή να μεταφέρουν εύκολα δεδομένα προσωπικού χαρακτήρα από ένα περιβάλλον ΤΠ σε άλλο.

3. Ποια εργαλεία συνιστώνται για την απάντηση σε αιτήματα φορητότητας δεδομένων;

Οι υπεύθυνοι επεξεργασίας θα πρέπει αφενός να προσφέρουν στα υποκείμενα των δεδομένων δυνατότητα απευθείας καταφόρτωσης και, αφετέρου να τους παρέχουν τη δυνατότητα απευθείας διαβίβασης των δεδομένων σε άλλον υπεύθυνο επεξεργασίας. Αυτό θα μπορούσε λόγου χάρη να επιτευχθεί μέσω διεπαφής προγραμματισμού εφαρμογών (API).

Τα υποκείμενα των δεδομένων μπορούν επίσης να χρησιμοποιούν υπηρεσίες αποθήκευσης δεδομένων προσωπικού χαρακτήρα, ή έναν έμπιστο τρίτο, για τη φύλαξη και αποθήκευση των δεδομένων προσωπικού χαρακτήρα, και να χορηγούν άδεια σε υπευθύνους επεξεργασίας για πρόσβαση στα δεδομένα προσωπικού χαρακτήρα και επεξεργασία αυτών, εφόσον χρειάζεται, με στόχο την εύκολη μεταφορά των δεδομένων από έναν υπεύθυνο επεξεργασίας σε άλλον.

4. Σε ποιο βαθμό ευθύνονται οι υπεύθυνοι επεξεργασίας για τα δεδομένα που μεταφέρονται ή λαμβάνονται κατά την άσκηση του δικαιώματος στη φορητότητα των δεδομένων;

Οι υπεύθυνοι επεξεργασίας που διεκπεραιώνουν αιτήματα φορητότητας δεδομένων δεν φέρουν ευθύνη για την επεξεργασία που έχει εκτελεστεί από το υποκείμενο των δεδομένων ή από άλλη εταιρεία που λαμβάνει δεδομένα προσωπικού χαρακτήρα. Την ίδια στιγμή, ο λαμβάνων υπεύθυνος επεξεργασίας έχει την ευθύνη να διασφαλίζει ότι τα παρεχόμενα φορητά δεδομένα είναι συναφή και όχι υπερβολικά σε σχέση με τη νέα επεξεργασία δεδομένων, ότι το υποκείμενο των δεδομένων έχει ενημερωθεί με σαφήνεια για τον σκοπό της νέας αυτής επεξεργασίας και, γενικότερα, ότι έχουν τηρηθεί οι αρχές προστασίας των δεδομένων που έχουν εφαρμογή στη συγκεκριμένη επεξεργασία σύμφωνα με τις διατάξεις του ΓΚΠΔ.

5. Επηρεάζει η άσκηση του δικαιώματος στη φορητότητα των δεδομένων την άσκηση των άλλων δικαιωμάτων του υποκειμένου των δεδομένων;

Όταν ένα πρόσωπο ασκεί το δικαίωμά του στη φορητότητα των δεδομένων (ή άλλο δικαίωμα στο πλαίσιο του ΓΚΠΔ), αυτό γίνεται με την επιφύλαξη κάθε άλλου δικαιώματος. Το υποκείμενο των δεδομένων μπορεί να ασκεί τα δικαιώματά του για όσο διάστημα ο υπεύθυνος επεξεργασίας συνεχίζει να επεξεργάζεται τα δεδομένα. Για παράδειγμα, ένα υποκείμενο δεδομένων μπορεί να συνεχίσει να χρησιμοποιεί τις υπηρεσίες του υπευθύνου επεξεργασίας, και να επωφελείται από αυτές, ακόμη και μετά από πράξη φορητότητας δεδομένων. Κατά τον ίδιο τρόπο, αν το υποκείμενο των δεδομένων επιθυμεί να ασκήσει το δικαίωμα διαγραφής, το δικαίωμα αντίρρησης ή το δικαίωμα πρόσβασης στα δεδομένα προσωπικού χαρακτήρα του, η προγενέστερη ή μελλοντική άσκηση του δικαιώματος στη φορητότητα των δεδομένων δεν μπορεί να χρησιμοποιείται από έναν υπεύθυνο επεξεργασίας ως δικαιολογία για την καθυστέρηση ή την άρνησή του να ανταποκριθεί σε άλλα δικαιώματα του υποκειμένου των δεδομένων. Επιπροσθέτως, η φορητότητα των δεδομένων δεν συνεπάγεται αυτομάτως διαγραφή των δεδομένων από τα συστήματα του υπευθύνου επεξεργασίας, και δεν επηρεάζει την αρχική περίοδο διατήρησης που ισχύει για τα διαβιβασθέντα δεδομένα, σύμφωνα με το δικαίωμα στη φορητότητα των δεδομένων.

6. Πότε έχει εφαρμογή το δικαίωμα στη φορητότητα των δεδομένων;

Το νέο αυτό δικαίωμα εφαρμόζεται υπό 3 προϋποθέσεις που πρέπει να ισχύουν σωρευτικά.

Πρώτον, τα ζητούμενα δεδομένα προσωπικού χαρακτήρα θα πρέπει να υποβάλλονται σε επεξεργασία, με αυτοματοποιημένα μέσα (γεγονός που αποκλείει τα έντυπα αρχεία), στη βάση είτε πρότερης συγκατάθεσης του υποκειμένου των δεδομένων είτε εκτέλεσης σύμβασης στην οποία το υποκείμενο των δεδομένων είναι συμβαλλόμενο μέρος.

Δεύτερον, τα ζητούμενα δεδομένα προσωπικού χαρακτήρα θα πρέπει να αφορούν το υποκείμενο των δεδομένων και να παρέχονται από αυτό. Η ΟΕ29 συνιστά στους υπευθύνους επεξεργασίας να μην ερμηνεύουν υπερβολικά στενά τη διατύπωση «δεδομένα προσωπικού χαρακτήρα που αφορούν το υποκείμενο των δεδομένων», όταν σε ένα σύνολο δεδομένων που σχετίζεται με το υποκείμενο των δεδομένων και παρέχεται από αυτό, περιέχονται δεδομένα τρίτων τα οποία χρησιμοποιούνται από το υποκείμενο των δεδομένων που υποβάλλει το αίτημα για προσωπικούς σκοπούς. Τυπικά παραδείγματα συνόλων δεδομένων που περιέχουν δεδομένα τρίτων είναι τα τηλεφωνικά αρχεία (που περιέχουν εισερχόμενες και εξερχόμενες κλήσεις) που μπορεί να επιθυμεί να λάβει κάποιος ή ένα ιστορικό κινήσεων τραπεζικού λογαριασμού που περιλαμβάνει τις καταθέσεις που έχουν γίνει από τρίτους.

Τα δεδομένα προσωπικού χαρακτήρα θεωρούνται παρεχόμενα από το υποκείμενο των δεδομένων όταν παρέχονται συνειδητά και ενεργητικά από το υποκείμενο των δεδομένων, όπως στοιχεία σε έναν λογαριασμό (π.χ. διεύθυνση αλληλογραφίας, όνομα χρήστη, ηλικία) που υποβάλλονται μέσω ηλεκτρονικών εντύπων, αλλά και όταν παράγονται και συλλέγονται από τις δραστηριότητες των χρηστών, μέσα από τη χρήση μιας υπηρεσίας ή συσκευής.

Απεναντίας, δεδομένα προσωπικού χαρακτήρα τα οποία παράγονται ή συνάγονται από τα δεδομένα που παρέχει το υποκείμενο των δεδομένων, όπως προφίλ χρήστη το οποίο δημιουργείται με ανάλυση μη επεξεργασμένων δεδομένων από έξυπνο μετρητή, δεν εμπίπτουν στο πεδίο εφαρμογής του δικαιώματος στη φορητότητα των δεδομένων, καθώς δεν παρέχονται από το υποκείμενο των δεδομένων αλλά δημιουργούνται από τον υπεύθυνο επεξεργασίας.

Σύμφωνα με την τρίτη προϋπόθεση, η άσκηση του νέου αυτού δικαιώματος δεν θα πρέπει να επηρεάζει δυσμενώς τα δικαιώματα και τις ελευθερίες τρίτων. Για παράδειγμα, αν το σύνολο δεδομένων που μεταφέρεται κατόπιν αιτήματος του υποκειμένου των δεδομένων περιέχει δεδομένα προσωπικού χαρακτήρα που σχετίζονται με άλλα πρόσωπα, ο νέος υπεύθυνος επεξεργασίας δικαιούται να επεξεργαστεί τα εν λόγω δεδομένα μόνον εάν υπάρχει η κατάλληλη νομική βάση. Συνήθως θεωρείται κατάλληλη η επεξεργασία που εκτελείται υπό τον αποκλειστικό έλεγχο του υποκειμένου των δεδομένων, στο πλαίσιο αποκλειστικά προσωπικής ή οικιακής δραστηριότητας.

7. Πώς πρέπει να ενημερώνονται τα υποκείμενα των δεδομένων για το νέο αυτό δικαίωμα;

Οι υπεύθυνοι επεξεργασίας πρέπει να ενημερώνουν τα υποκείμενα των δεδομένων για τη θέσπιση του νέου δικαιώματος στη φορητότητα των δεδομένων «σε συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή διατύπωση». Έτσι, η ΟΕ29 συνιστά συγκεκριμένα στους υπευθύνους επεξεργασίας να εξηγούν με σαφήνεια τη διαφορά ανάμεσα στους τύπους δεδομένων που μπορεί να λαμβάνει ένα υποκείμενο δεδομένων βάσει του δικαιώματος στη φορητότητα των δεδομένων ή του δικαιώματος πρόσβασης, και να παρέχουν συγκεκριμένες πληροφορίες σχετικά με το δικαίωμα στη φορητότητα των δεδομένων πριν από το κλείσιμο ενός λογαριασμού, ώστε το υποκείμενο των δεδομένων να έχει δυνατότητα ανάκτησης και αποθήκευσης των δεδομένων προσωπικού χαρακτήρα του. Επιπροσθέτως, οι υπεύθυνοι επεξεργασίας που λαμβάνουν φορητά δεδομένα κατόπιν αιτήματος του υποκειμένου των δεδομένων μπορούν, εν είδει βέλτιστης πρακτικής, να παρέχουν στα υποκείμενα των δεδομένων πλήρη ενημέρωση σχετικά με τη φύση των δεδομένων προσωπικού χαρακτήρα που είναι συναφή για την εκτέλεση των υπηρεσιών των υπευθύνων επεξεργασίας.

8. Πώς μπορεί ο υπεύθυνος επεξεργασίας να ταυτοποιήσει το υποκείμενο των δεδομένων πριν απαντήσει στο αίτημά του;

Η ΟΕ29 συνιστά στους υπευθύνους επεξεργασίας να εφαρμόζουν κατάλληλες διαδικασίες προκειμένου ένα πρόσωπο να έχει τη δυνατότητα να υποβάλει αίτημα φορητότητας δεδομένων και να λαμβάνει τα δεδομένα που το αφορούν. Οι υπεύθυνοι επεξεργασίας πρέπει να διαθέτουν διαδικασία επαλήθευσης ταυτότητας προκειμένου να εξακριβώνουν με μεγάλη βεβαιότητα την ταυτότητα του υποκειμένου των δεδομένων που αιτείται τα δεδομένα προσωπικού χαρακτήρα του ή, γενικότερα, ασκεί τα δικαιώματα που παρέχει ο ΓΚΠΔ.

9. Ποια είναι η προθεσμία που επιβάλλεται για απάντηση σε αίτημα φορητότητας;

Το άρθρο 12 απαγορεύει στους υπευθύνους επεξεργασίας να εισπράττουν τέλος για την παροχή των δεδομένων προσωπικού χαρακτήρα, εκτός εάν ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει ότι τα αιτήματα είναι προδήλως αβάσιμα ή υπερβολικά, «ιδίως λόγω του επαναλαμβανόμενου χαρακτήρα τους». Για τις υπηρεσίες της κοινωνίας της πληροφορίας ή παρεμφερείς επιγραμμικές υπηρεσίες που εξειδικεύονται στην αυτοματοποιημένη επεξεργασία δεδομένων προσωπικού χαρακτήρα, θα ήταν πολύ δύσκολο να θεωρηθεί ότι η απάντηση σε πολλαπλά αιτήματα φορητότητας δεδομένων δημιουργεί υπερβολική επιβάρυνση. Στις περιπτώσεις αυτές, η ΟΕ29 συνιστά τον καθορισμό ενός εύλογου χρονικού πλαισίου προσαρμοσμένου στις συνθήκες και την ενημέρωση των υποκειμένων των δεδομένων σχετικά με αυτό.

10. Πώς πρέπει να παρέχονται τα φορητά δεδομένα;

Τα δεδομένα προσωπικού χαρακτήρα θα πρέπει να διαβιβάζονται σε δομημένο, κοινώς χρησιμοποιούμενο και αναγνώσιμο από μηχανήματα μορφότυπο. Αυτές οι προδιαγραφές που αφορούν το μέσο θα πρέπει να εγγυώνται τη διαλειτουργικότητα του μορφοτύπου δεδομένων που παρέχει ο υπεύθυνος επεξεργασίας, ενώ η διαλειτουργικότητα είναι το επιθυμητό αποτέλεσμα. Αυτό, ωστόσο, δεν σημαίνει ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να διατηρούν συμβατά συστήματα. Επίσης, οι υπεύθυνοι επεξεργασίας θα πρέπει μαζί με τα δεδομένα να παρέχουν όσο το δυνατόν περισσότερα μεταδεδομένα με τον υψηλότερο δυνατό βαθμό ακρίβειας και τον βέλτιστο βαθμό κοκκιότητας, ώστε να διαφυλάσσεται το νόημα των ανταλλασσόμενων πληροφοριών. Με δεδομένο το ευρύ φάσμα πιθανών τύπων δεδομένων που θα μπορούσαν να υποβληθούν σε επεξεργασία από έναν υπεύθυνο επεξεργασίας, ο ΓΚΠΔ δεν διατυπώνει ειδικές συστάσεις σχετικά με τον μορφότυπο των δεδομένων προσωπικού χαρακτήρα που πρέπει να παρέχεται. Ο καταλληλότερος μορφότυπος θα διαφέρει από τομέα σε τομέα ενώ μπορεί ήδη να υφίστανται ικανοποιητικοί μορφότυποι, οι οποίοι και θα πρέπει να επιλέγονται με στόχο την επίτευξη της διαλειτουργικότητας. Η ΟΕ29 ενθαρρύνει τη συνεργασία μεταξύ των ενδιαφερόμενων μερών του κλάδου και των εμπορικών φορέων για την από κοινού εκπόνηση μιας κοινής δέσμης διαλειτουργικών προτύπων και μορφοτύπων με στόχο τη συμμόρφωση με τις απαιτήσεις που ενέχει το δικαίωμα στη φορητότητα των δεδομένων.