Nawigacja
RODO > Artyku艂 20. Prawo do przenoszenia danych
Pobierz jako plik PDF

Artyku艂 20 RODO. Prawo do przenoszenia danych

Article 20 GDPR. Right to data portability

1. Osoba, kt贸rej dane dotycz膮, ma prawo otrzyma膰 w ustrukturyzowanym, powszechnie u偶ywanym formacie nadaj膮cym si臋 do odczytu maszynowego dane osobowe jej dotycz膮ce, kt贸re dostarczy艂a administratorowi, oraz ma prawo przes艂a膰 te dane osobowe innemu administratorowi bez przeszk贸d ze strony administratora, kt贸remu dostarczono te dane osobowe, je偶eli:

1. The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:

Komentarz eksperta
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

a) przetwarzanie odbywa si臋 na podstawie zgody w my艣l art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) lub na podstawie umowy w my艣l art. 6 ust. 1 lit. b); oraz

(a)聽the processing is based on consent pursuant to point (a) of Article 6(1) or point聽(a) of Article 9(2) or on a contract pursuant to point (b) of Article 6(1); and

Powi膮zane teksty

b) przetwarzanie odbywa si臋 w spos贸b zautomatyzowany.

(b)聽the processing is carried out by automated means.

2. Wykonuj膮c prawo do przenoszenia danych na mocy ust. 1, osoba, kt贸rej dane dotycz膮, ma prawo 偶膮dania, by dane osobowe zosta艂y przes艂ane przez administratora bezpo艣rednio innemu administratorowi, o ile jest to technicznie mo偶liwe.

2. In exercising his or her right to data portability pursuant to paragraph 1, the data subject shall have the right to have the personal data transmitted directly from one controller to another, where technically feasible.

3. Wykonanie prawa, o kt贸rym mowa w ust. 1 niniejszego artyku艂u, pozostaje bez uszczerbku dla art. 17. Prawo to nie ma zastosowania do przetwarzania, kt贸re jest niezb臋dne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi.

3. The exercise of the right referred to in paragraph聽1 of this Article shall be without prejudice to Article聽17. That right shall not apply to processing necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller.

Powi膮zane teksty

4. Prawo, o kt贸rym mowa w ust. 1, nie mo偶e niekorzystnie wp艂ywa膰 na prawa i wolno艣ci innych.

4. The right referred to in paragraph聽1 shall not adversely affect the rights and freedoms of others.

Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN) The right to data portability is presented primarily as a way to support 鈥user choice, user control, and user empowerment鈥 (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual鈥檚 control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)鈥


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(68) Aby zyska膰 wi臋ksz膮 kontrol臋 nad swoimi danymi w ramach zautomatyzowanego przetwarzania danych osobowych, osoba, kt贸rej dane dotycz膮, powinna tak偶e mie膰 mo偶liwo艣膰 otrzymywania dotycz膮cych jej danych osobowych, kt贸rych dostarczy艂a administratorowi, w ustrukturyzowanym, powszechnie u偶ywanym, nadaj膮cym si臋 do odczytu maszynowego i interoperacyjnym formacie oraz przesy艂ania ich innemu administratorowi. Administrator贸w danych nale偶y zach臋ca膰 do opracowywania interoperacyjnych format贸w, kt贸re umo偶liwiaj膮 przenoszenie danych. Prawo to powinno mie膰 zastosowanie w przypadkach, gdy osoba, kt贸rej dane dotycz膮, dostarczy艂a danych osobowych za w艂asn膮 zgod膮 lub gdy przetwarzanie jest niezb臋dne do wykonania umowy. Nie powinno mie膰 zastosowania, je偶eli przetwarzanie opiera si臋 na innej podstawie prawnej ni偶 zgoda lub umowa. Prawa tego 鈥 z uwagi na jego charakter 鈥 nie powinno si臋 wykonywa膰 w stosunku do administrator贸w przetwarzaj膮cych dane osobowe w ramach wykonywania obowi膮zk贸w publicznych. Dlatego nie powinno ono mie膰 zastosowania w przypadkach, gdy przetwarzanie danych osobowych jest niezb臋dne do wywi膮zania si臋 z obowi膮zku prawnego, kt贸remu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania w艂adzy publicznej powierzonej administratorowi. Przys艂uguj膮ce osobie, kt贸rej dane dotycz膮, prawo do przes艂ania lub otrzymania swoich danych osobowych nie powinno nak艂ada膰 na administrator贸w obowi膮zku prowadzenia lub wprowadzenia kompatybilnych technicznie system贸w przetwarzania. Je偶eli okre艣lony zestaw danych osobowych odnosi si臋 do wi臋cej ni偶 jednej osoby, kt贸rej dane dotycz膮, prawo do otrzymania danych osobowych nie powinno powodowa膰 uszczerbku dla praw i wolno艣ci innych os贸b, kt贸rych dane dotycz膮, na podstawie niniejszego rozporz膮dzenia. Prawo to powinno ponadto pozostawa膰 bez uszczerbku dla prawa osoby, kt贸rej dane dotycz膮, do spowodowania, by dane osobowe zosta艂y usuni臋te, oraz bez uszczerbku dla ogranicze艅 tego prawa okre艣lonych w niniejszym rozporz膮dzeniu i nie powinno w szczeg贸lno艣ci skutkowa膰 usuni臋ciem danych osobowych dotycz膮cych osoby, kt贸rej dane dotycz膮, kt贸rych osoba ta dostarczy艂a do wykonania umowy, o ile i w takim zakresie, w jakim te dane osobowe s膮 niezb臋dne do wykonania tej umowy. O ile jest to technicznie mo偶liwe, osoba, kt贸rej dane dotycz膮, powinna mie膰 prawo do spowodowania, by dane osobowe zosta艂y przes艂ane przez jednego administratora bezpo艣rednio innemu administratorowi.

(68) To further strengthen the control over his or her own data, where the processing of personal data is carried out by automated means, the data subject should also be allowed to receive personal data concerning him or her which he or she has provided to a controller in a structured, commonly used, machine-readable and interoperable format, and to transmit it to another controller. Data controllers should be encouraged to develop interoperable formats that enable data portability. That right should apply where the data subject provided the personal data on the basis of his or her consent or the processing is necessary for the performance of a contract. It should not apply where processing is based on a legal ground other than consent or contract. By its very nature, that right should not be exercised against controllers processing personal data in the exercise of their public duties. It should therefore not apply where the processing of the personal data is necessary for compliance with a legal obligation to which the controller is subject or for the performance of a task carried out in the public interest or in the exercise of an official authority vested in the controller. The data subject's right to transmit or receive personal data concerning him or her should not create an obligation for the controllers to adopt or maintain processing systems which are technically compatible. Where, in a certain set of personal data, more than one data subject is concerned, the right to receive the personal data should be without prejudice to the rights and freedoms of other data subjects in accordance with this Regulation. Furthermore, that right should not prejudice the right of the data subject to obtain the erasure of personal data and the limitations of that right as set out in this Regulation and should, in particular, not imply the erasure of personal data concerning the data subject which have been provided by him or her for the performance of a contract to the extent that and for as long as the personal data are necessary for the performance of that contract. Where technically feasible, the data subject should have the right to have the personal data transmitted directly from one controller to another.

Wytyczne & Case Law zostaw komentarz
[js-disqus]