Sunteți pe pagina 1din 22

GRUPUL DE LUCRU ARTICOLUL 29 PENTRU PROTECIA DATELOR

16/RO

WP 242 rev.01

Ghid privind dreptul la portabilitatea datelor

Adoptat n data de 13 decembrie 2016

Revizuit i adoptat n data de 5 aprilie 2017

Acest grup de lucru a fost creat n temeiul articolului 29 din Directiva 95/46/CE i este un
organ consultativ european independent care se ocup cu protecia i confidenialitatea
datelor. Sarcinile sale sunt descrise la articolul 30 din Directiva 95/46/CE i la articolul 15 din
Directiva 2002/58/CE.

Secretariatul este asigurat de Direcia C (Drepturi fundamentale i cetenia Uniunii) din


cadrul Comisiei Europene, Direcia General Justiie i Consumatori, B- 1049 Bruxelles,
Belgia, biroul MO-59 05/35.

Adresa web: http://ec.europa.eu/justice/data-protection/index_en.htm


CUPRINS

Rezumat ................................................................................................................................... 3

I. Introducere ........................................................................................................................... 4

II. Care sunt elementele principale ale portabilitii datelor? ............................................ 5

III. Cnd se aplic portabilitatea datelor? ............................................................................ 8

IV. Cum se aplic regulile generale care guverneaz exercitarea drepturilor


persoanei vizate n cazul portabilitii datelor? ................................................................. 14

V. Cum trebuie furnizate datele portabile? ........................................................................ 17

2
Rezumat

Art. 23 din RGPD creaz un nou drept la portabilitatea datelor care este strns legat de
dreptul de acces dar difer n mai multe feluri. Acesta permite persoanelor vizate s
primeasc datele cu caracter personal pe care le-au furnizat operatorului ntr-un format
structurat, utilizat n mod curent i care poate fi citit automat i s transmit respectivele
date altui operator. Obiectivul acestui drept este de a responsabiliza persoana vizat i de a-
i oferi un control mai mare asupra datelor sale personale.

Din moment ce permite transmiterea direct a datelor cu caracter personal de la un operator


la altul, dreptul la portabilitatea datelor este, de asemenea, un instrument important care va
sprijini libera circulaie a datelor cu caracter personal n UE i va favoriza concurena ntre
operatori. Acesta va facilita comutarea ntre diferii furnizori de servicii i, prin urmare, va
stimula dezvolarea de noi servicii n contextul strategiei de pia unic digital.

Prezentul aviz ofer ndrumri cu privire la modul de interpretare i implementare a


dreptului la portabilitatea datelor introdus de RGPD. Prezentul document are drept obiectiv
analizarea dreptului la portabilitatea datelor i a scopului acestuia. Documentul clarific
condiiile n care acest nou drept se aplic innd cont de temeiul legal al prelucrrii datelor
Adoptat la Bruxelles, la 13 decembrie 2016
(fie cosimmntul persoanei vizate, fie necesitatea derulrii unui contract) i de faptul c
acest drept este limitat la datele cu caracter personal furnizate de persoana vizat. De
asemenea, avizul ofer exemple i criterii concrete pentru a explica circumstanele n care
se aplic acest drept. n acest sens, WP29 consider c dreptul la portabilitatea datelor se
refer la datele furnizate cu bun tiin i n mod activ de persoana vizat, precum i la
datele cu caracter personal generate de activitatea sa. Acest nou drept nu poate fi subminat
i limitat la datele cu caracter personal comunicate direct de persoana vizat, spre exemplu,
prin intermediul unui formular online.

Ca bun practic, operatorii de date ar trebui s nceap s dezvolte mijloace care i vor
ajuta s rspund solicitrilor de portabilitate a datelor, cum ar fi instrumente de descrcare
i interfee de programare a aplicaiilor. Trebuie s garanteze c datele cu caracter personal
sunt transmise ntr-un format structurat, utilizat n mod curent i care poate fi citit automat
i trebuie s ncurajeze asigurarea interoperabilitii formatului datelor furnizate n
exercitarea unei cereri de portabilitate a datelor.

Prezentul aviz ajut, de asemenea, operatorii de date s neleag n mod clar obligaiile
care le revin i recomand cele mai bune practici i instrumente care s sprijine respectarea
dreptului la portabilitatea datelor. n cele din urm, avizul recomand ca prile interesate i
asociaiile profesionale s conlucreze pe un set comun de standarde i formate
interoperabile pentru a furniza cerinele dreptului la portabilitatea datelor.

3
I. Introducere

Art. 20 din Regulamentul General privind Protecia Datelor (RGPD) introduce un nou drept la
portabilitatea datelor. Acest drept permite persoanelor vizate s primeasc datele cu caracter
personal pe care le-au furnizat operatorului ntr-un format structurat, utilizat n mod curent i
care poate fi citit automat i s transmit respectivele date altui operator, fr obstacole. Acest
drept, care se aplic sub rezerva unor anumitor condiii, spijin alegerea utilizatorului (user
choice), controlul utilizatorului (user control) i responsabilizarea utilizatorului (user
empowerment).

Persoanele fizice care fac uz de dreptul lor de acces n conformitate cu Directiva privind
Protecia Datelor 95/46/CE au fost constrnse de formatul ales de operatorul de date atunci
cnd furnizeaz informaiile solicitate. Noul drept la portabilitatea datelor are ca scop
responsabilizarea persoanelor vizate n ceea ce privete propriile date cu caracter
personal ntruct faciliteaz capacitatea lor de a muta, copia sau transmite datele cu
caracter personal cu uurin de la un mediu IT la altul (fie la propriile sisteme, fie la
sistemele unor pri tere de ncredere sau cele ale noilor operatori de date).

Prin afirmarea drepturilor i controlul persoanelor vizate asupra datelor cu caracter personal
care le privesc, portabilitatea datelor reprezint, de asemenea, o oportunitate de a re-
echilibra relaia dintre persoanele vizate i operatorii de date1.

n timp ce dreptul la portabilitatea datelor cu caracter personal poate mbunti, de asemenea


concurena ntre servicii (prin facilitarea serviciului de comutare), RGPD reglementeaz
datele cu caracter personal i nu concurena. n special, art. 20 nu limiteaz datele portabile la
cele care sunt necesare sau utile pentru serviciile de comutare2.

Cu toate c dreptul la portabilitatea datelor este un drept nou, alte tipuri de portabilitate deja
exist sau sunt discutate n alte domenii ale legislaiei (de exemplu n contextul rezilierii
contractului, servicii de comunicaii de roaming i accesul transfrontalier la servicii3). Pot
aprea unele sinergii i chiar beneficii pentru persoanele fizice ntre diferitele tipuri de
portabilitate, n situaia n care sunt prevzute ntr-o abordare combinat, chiar dac analogiile
ar trebui s fie tratate cu precauie.

Prezentul aviz ofer ndrumri operatorilor de date astfel nct acetia s-i actualizeze
practicile, procesele i procedurile i clarific nelesul portabilitatea datelor pentru a permite
persoanelor vizate s utilizeze n mod eficient noul drept.


1
Scopul principal al portabilitii datelor este de a mbunti controlului persoanei fizice asupra datelor personale i de a asigura c acestea
joac un rol activ n ecosistemul de date
2
De exemplu, acest drept poate permite bncilor s ofere servicii suplimentare, sub controlul utilizatorului, prin folosirea datelor cu character
personal colectate iniial ca parte a unui serviciul de furnizare a energiei.
3
A se vedea agenda Comisie Europene pentru piaa unic digital: https://ec.europa.eu/digital-agenda/en/digital-single-market, n special
prima politic de baz Acces online mbuntit la serviciile i bunurile digitale.

4
II. Care sunt elementele principale ale portabilitii datelor?

RGPD definete dreptul la portabilitatea datelor n art. 20 (1) dup cum urmeaz:

Persoana vizat are dreptul de a primi datele cu caracter personal care o privesc i
pe care le-a furnizat operatorului ntr-un format structurat, utilizat n mod curent i
care poate fi citit automat i are dreptul de a transmite aceste date altui operator, fr
obstacole din partea operatorului criua i-au fost furnizate datele cu caracter
personal[]

Un drept de a primi datele cu caracter personal

n primul rnd, portabilitatea datelor este un drept al persoanei vizate de a primi un subset
de date cu caracter personal care o privesc prelucrate de un operator de date i de a stoca
respectivele date pentru uz personal ulterior. O astfel de stocare poate fi pe un dispozitiv
privat sau ntr-un mediu de stocare virtual (cloud) privat, fr a transmite neaprat datele unui
alt operator.

n acest sent, portabilitatea datelor completeaz dreptul de acces. O specificitate a


portabilitii datelor const n faptul c aceasta ofer o modalitate uoar pentru persoanele
vizate de a gestiona i reutiliza ele nsele datele cu caracter personal. Aceste date ar trebui
primite ntr-un format structurat, utilizat n mod curent i care poate fi citit automat. Spre
exemplu, o persoan vizat ar putea fi interesat n preluarea listei actuale de melodii (sau un
istoric al melodiilor ascultate) de la un serviciu de muzic, pentru a afla de cte ori a ascultat
anumite melodii sau pentru a verifica ce muzic dorete s cumpere sau s asculte pe o alt
platform. n mod similar, poate dori s recupereze lista sa de contacte din aplicaia webmail,
spre exemplu, pentru a construi o list de nunt sau pentru a obine informaii despre achiziii
folosind diferite carduri de loialitate sau pentru a evalua amprenta de carbon4.

Dreptul de a transmite datele cu caracter personal de la un operator la alt


operator de date

n al doilea rnd, art. 20 (1) ofer persoanelor vizate dreptul de a transmite datele cu
caracter personal de la un operator de date la altul fr obstacole. Datele pot fi
transmise, de asemenea, direct de la un operator de date la altul, la solicitarea persoanei vizate
i atunci cnd acest lucru este fezabil din punct de vedere tehnic (art. 20 (2)). n acest sens,
Considerentul 68 ncurajeaz operatorii de date s dezvolte formate interoperabile care s
permit portabilitatea datelor5 fr a crea o obligaie operatorilor de date de a adopta sau
menine sisteme de prelucrare care sunt combatibile6. Cu toate acestea, RGPD nterzice
operatorilor s stabileasc obstacole n calea transmiterii.


4
n aceste situaii, prelucarea efectuat de persoana vizat poate ntra sub incidena activitilor domestice, atunci cnd toate prelucrrile sunt
effectuate numai sub controlul persoanei vizate, sau poate fi efectuat de o alt parte, pe seama persoanei vizate. n acest ultim caz, cealalt
parte ar trebui considerat ca fiind operator, chiar dac e doar n scop de stocare a datelor, i trebuie s respecte principiile i obligaiile
stabilite n RGPD.
5
A se vedea de asemenea seciunea V.
6
Ca o consecin, trebuie acordat o atenie deosebit formatului datelor transmise, astfel nct s se garanteze c datele pot fi reutilizate, cu
puin efort, de ctre persoana vizat sau de un alt operator. A se vedea, de asemenea, seciunea V.

5
n esen, acest element de portabilitate a datelor prevede posibilitatea pentru persoanele
vizate nu doar de a obine i reutiliza datele, ci i de a transmite datele pe care le-au furnizat
ctre un alt furnizor de servicii (fie n cadrul aceluiai sector de activitate, fie ntr-unul diferit).
n plus fa de furnizarea responsabilizrii consumatorilor prin prevenirea blocrii, dreptul
la portabilitatea datelor este de ateptat s stimuleze oportunitile de inovare i schimbul de
date cu caracter personal ntre operatorii de date ntr-un mod sigur i securizat, sub controlul
persoanei vizate7. Portabilitatea datelor poate promova partajarea controlat i limitat ctre
utilizatorii de date cu caracter personal ntre organizaii i, astfel, poate mbunti serviciile i
experiena clienilor8. Portabilitatea datelor poate facilita transmiterea i reutilizarea datelor cu
caracter personal privind utilizatori ntre diferitele servicii de care acetia sunt interesai.

Controlul

Portabilitatea datelor garanteaz dreptul de a primi datele cu caracter personal i de a le


prelucra potrivit dorinelor persoanei vizate9.

Operatorii de date care rspund cererilor de portabilitate a datelor, n condiiile prevzute la


art. 20, nu sunt responsabili pentru prelucrarea efectuat de persoana vizat sau de o alt
companie ce primete datele. Acetia acioneaz n numele persoanei viate, inclusiv n cazul
n care datele cu caracter personal sunt transmise direct altui operator. n acest sens,
operatorul de date nu este responsabil pentru respectarea legii privind protecia datelor de
ctre operatorul ce primete datele, ntruct acesta nu este cel care alege destinatarul. n
acelai timp, operatorul trebuie s stabileasc msuri de protecie pentru a se asigura c
acetia acioneaz cu adevrat n numele persoanei vizate. De exemplu, pot stabili proceduri
pentru a se asigura c tipul de date cu caracter personal transmise sunt ntr-adevr cele pe care
persoana vizat dorete s le transmit. Acest lucru ar putea fi realizat prin obinerea
confirmrii de la persoana vizat fie anterior transmiterii, fie mai devreme, atunci cnd este
oferit consimmntul iniial pentru prelucrare sau atunci cnd contractul este finalizat.

Operatorii de date ce rspund unei cereri de portabilitate a datelor nu au obligaii specifice de


a verifica calitatea datelor anterior transmiterii. Bineneles, aceste date ar trebui s fie deja
exacte i actualizate, n conformitate cu principiile stabilite n art. 5 (1) din RGPD. Mai mult,
portabilitatea datelor nu impune o obligaie operatorului de date de a pstra datele cu caracter
personal pe o perioad mai mare dect cea necesar sau pe o perioad de stocare mai mare
dect cea specificat10.

Foarte important, nu exist nici o cerin suplimentar de a pstra datele pe o perioad mai
mare dect perioadele de pstrare aplicabile pur i simplu pentru a soluiona orice poteniale
cereri viitoare de portabilitate a datelor.


7
A se vedea aplicaiile experimentale n Europa, de exemplu MiData n UK, MesInfos / SerftData de la FING n Frana.
8
Aa-numitele industrii autocuantificate i IoT au demonstrat beneficiul (i riscurile) de conectare a datelor cu caracter personal de la diferite
aspecte ale vieii unei personae fizice, cum ar fi de fitness, activitatea i aportul de calorii pentru a oferi o imagine mai complet a vieii unei
personae fizice individ ntr-un singur fiier .
9
Dreptul la portabilitatea datelor nu este limitat la datele cu character personal care sunt utile i relevante pentru serviciile similare oferite de
competitorii operatorului.
10
n exemplul de mai sus, n situaia n care operatorul nu pstreaz o eviden a melodiilor ascultate de un utilizator, datele cu caracter
personal nu pot fi incluse n cererea de portabilitate a datelor.

6
n situaia n care datele cu caracter personal solicitate sunt prelucrate de o persoan
mputernicit de operator, contractul ncheiat n conformitate cu art. 28 din RGPD trebuie s
includ obligaia de a oferi asisten operatorului prin msuri tehnice i organizatorice
adecvate (...) pentru a rspunde cererilor privind exercitarea de ctre persoana vizat a
drepturilor sale. Prin urmare, operatorul trebuie s implementeze proceduri specifice n
colaborare cu persoanele mputernicite de acesta pentru a rspunde cererilor de portabilitate a
datelor. n cazul operatorilor asociai, responsabilitile fiecrui operator cu privire la
prelucrarea cererilor de portabilitate a datelor trebuie alocate n mod clar printr-un contract.

n plus, operatorul ce primete datele11 este responsabil pentru asigurarea faptului c datele
portabile furnizate sunt relevante i neexcesive cu privire la noua prelucrare de date. De
exemplu, n cazul unei cereri de portabilitate a datelor ctre un serviciu de webmail, n cazul
n care cererea este folosit de persoana vizat pentru a obine e-mail-uri i de a le trimite
ctre o platform securizat de arhivare, noul operator de date nu are nevoie s prelucreze
datele de contact ale corespondenilor persoanei vizate. Dac aceast informaie nu este
relevant n ceea ce privete scopul noii prelucrri, nu ar trebui pstrat i prelucrat. n orice
caz, operatorii care primesc date nu sunt obligai s accepte i s prelucreze datele cu caracter
personal transmise n urma unei cereri de portabilitate a datelor. n mod similar, n cazul n
care o persoan vizat solicit transmiterea detaliile tranzaciilor sale bancare ctre un serviciu
care ajut n gestionarea bugetului su, operatorul care primete datele nu trebuie s accepte
taote datele sau s pstreze toate detaliile tranzaciilor odat ce acestea au fost etichetate
pentru scopurile noului serviciu. Cu alte cuvinte, datele acceptate i pstrate trebuie s fie
doar cele necesare i relevante serviciului oferit de operatorul ce primete datele.

O organizaie importatoare devine un nou operator de date cu privire la aceste date cu


caracter personal i trebuie s respecte principiile enunate la art. 5 din RGPD. Prin urmare,
noul operator importator trebuie s precizeze n mod clar i direct scopul noii prelucrri
anterior oricrei cereri de transmitere a datelor portabile, n conformitate cu cerinele de
transparen enunate la art. 1412. n ceea ce privete orice alt tip de prelucrare a datelor
efectuat n cadrul acestei responsabiliti, operatorul trebuie s aplice principiile prevzute la
art. 5, cum ar fi legalitatea, echitatea i transparena, limitarea scopului, reducerea la
minimum a datelor, exactitatea, integritatea i confidenialitatea, limitarea stocrii i
responsabilitatea13.

Operatorii de date care dein date cu caracter personal ar trebui s fie pregtii pentru a facilita
persoanei vizate dreptul la portabilitatea datelor. Operatorii pot, de asemenea, s aleag dac
accept date de la o persoan vizat, ns nu sunt obligai s fac acest lucru.


11
De exemplu, primete date cu caracter personal ca urmare a unei cereri de portabilitate a datelor depus de persoana vizat pentru un alt
operator.
12
n plus, noul operator nu ar trebui s prelucreze datele cu character personal care nu sunt relevante, iar prelucrarea trebuie s fie limitat la
ceea ce este necesar petnru noile scopuri, chiar dac datele cu caracter personal fac parte dintr-un set global de date transmise prin
intermediul procesului de portabilitate. Datele cu caracter personal care nu sunt necesare pentru ndeplinirea scopului noii prelucrrii ar
trebui terse ct mai curnd posibil.
13
Odat ce au fost primite de operator, datele cu caracter personal transmise ca parte a dreptului la portabilitatea datelor pot fi considerate ca
fiind furnizate de persoana vizat i pot fi retransmise potrivit dreptului la portabilitatea datelor, n msura n care sunt respectate celelalte
condiii aplicabile acestui drept (de exemplu, baza legal a prelucrrii...).

7
Portabilitatea datelor fa de alte drepturi ale persoanelor vizate

Atunci cnd o persoan fizic i exercit dreptul la portabilitatea datelor, ea face acest
lucru fr a aduce atingere vreunui alt drept (aa cum este cazul altor drepturi din
RGPD). O persoan vizat poate continua s utilizeze i s beneficieze de serviciu unui
operator de date chiar i dup o operaiune de portabilitate a datelor. Portabilitatea datelor nu
declaneaz automat tergerea datelor14 din sistemele operatorului i nu afecteaz perioada
iniial de pstrare aplicabil datelor care au fost transmise. Persoana vizat i poate exercita
drepturile sale atta timp ct operatorul de date nc prelucreaz datele.

De asemenea, n cazul n care persoana vizat dorete s-i exercite dreptul su la tergerea
datelor (dreptul de a fi uitat n conformitate cu art. 17), portabilitatea datelor nu poate fi
utilizat de ctre un operator de date ca o modalitate de a ntrzia sau de a refuza o astfel de
tergere.

n situaia n care o persoan vizat constat c datele cu caracter personal solicitate potrivit
dreptului la portabilitatea datelor nu rspund pe deplin cererii sale, orice solicitare
suplimentar de date cu caracter personal potrivit dreptului de acces ar trebui s fie pe deplin
respectat, n conformitate cu art. 15 din RGPD.

Mai mult dect att, n cazul n care o lege european sau o lege naional specific pentru alt
domeniu prevede o anumit form de portabilitate a datelor respective, trebuie luate n
considerare condiiile prevzute n aceste legi specifice pentru soluionarea unei cereri de
portabilitate a datelor potrivit RGPD. n primul rnd, n cazul n care din cererea naintat de
persoana vizat reiese faptul c intenia acesteia nu este de a-i exercita drepturile potrivit
RGPD, ci, mai degrab, de a-i exercita drepturile n conformitate cu legislaia sectorial, doar
atunci dispoziiile privind portabilitatea datelor din RGPD nu vor fi aplicabile respectivei
cereri15. Pe de alt parte, n situaia n care cererea are drept scop portabilitatea potrivit
RGPD, existena unei astfel de legislaii specifice nu prevaleaz aplicarea general a
principiului de portabilitate a datelor de la orce operatori, aa cum este prevzut de RGPD. n
schimb, trebuie evaluat, de la caz la caz, modul n care o astfel de legislaie poate afecta, sau
deloc, dreptul la portabilitatea datelor.

III. Cnd se aplic portabilitatea datelor?

Ce operaiuni de prelucrare sunt acoperite de dreptul la portabilitatea datelor?

Respectarea RGPD impune ca operatorii s aib un temei legal clar pentru prelucrarea datelor
cu caracter personal.

n conformitate cu art. 20 (1) a) din RGPD, pentru a intra sub incidena scopului
portabilitii datelor, operaiunile de prelucrare trebuie s se bazeze pe:


14
Aa cum este prevzut la art. 17 din RGPD.
15
De exemplu, dac cererea persoanei vizate se refer n mod particular la oferirea accesului la istoricul contului banca la informaiile din
contul unui furnizor de servicii, pentru scopurile precizate n Directiva privind Serviciile de Plat 2 (DSP2), un astfel de acces ar fi oferit
potrivit prevederilor acestei directive.

8
- fie pe consimmntul persoanei vizate (n temeiul cu art. 6 (1) a) sau al art. 9 (2) a)
atunci cnd este vorba de categorii speciale de date cu caracter personal);

- fie pe un contract n temeiul art. 6 (1) b) la care persoana vizat este parte.

Ca exemplu, titlurile crilor achiziionate de ctre o persoan fizic dintr-o librrie on-line
sau melodiile ascultate prin intermediul unui serviciu de streaming de muzic sunt exemple de
date cu caracter personal, care ntr, n general, sub incidena scopului portabilitii datelor,
deoarece acestea sunt prelucrate pe baza derulrii unui contract la care persoana vizat este
parte.

RGPD nu stabilete un drept general la portabilitatea datelor pentru situaiile n care


prelucrarea datelor cu caracter personal nu se bazeaz pe consimmnt sau contract16. De
exemplu, nu exist nicio oblicaie pentru instituiile financiare s rspund unei cereri de
portabilitate a datelor cu privire la datele cu caracter personal prelucrate ca parte a obligaiei
de a preveni i detecta splarea banilor i alte infraciuni financiare; n egal msur,
portabilitatea datelor nu acoper datele de contact profesionale prelucrate n cadrul unei
afaceri pentru relaiile de afaceri n situaiile n care prelucrarea nu se bazeaz nici pe
consimmntul persoanei vizate, nici pe contractul la care persoana vizat este parte.

Atunci cnd vine vorba de datele angajailor, dreptul la portabilitatea datelor se aplic, de
obicei, doar dac prelucrarea se bazeaz pe un contract la care persoana vizat este parte. n
multe cazuri, consimmntul nu va fi considerat ca fiind liber exprimat n acest context ca
urmare a dezechilibrului de putere ntre angajator i angajat17. Unele prelucrri de resurse
umane au drept temei legal interesul legitim sau sunt necesare pentru respectarea obligaiilor
legale specifice n domeniul ocuprii forei de munc. n practic, dreptul la portabilitatea
datelor n contextul resurselor umane se va referi, fr ndoial, la unele operaiuni de
prelucrare (cum ar fi serviciile de plat i compensare, recrutare intern), dar, n multe alte
situaii, va fi nevoie de o abordare de la caz la caz pentru a verifica dac sunt ndeplinite toate
condiiile aplicabile dreptului la portabilitatea datelor.

n cele din urm, dreptul la portabilitatea datelor se aplic numai n cazul n care prelucrarea
datelor este efectuat prin mijloace automate i, prin urmare, nu acoper majoritatea
documentelor pe hrtie.

Ce date cu caracter personal trebuie incluse?

n conformitate cu art. 20 (1), pentru a intra sub incidena scopului dreptului la portabilitatea
datelor, datele trebuie s fie:


16
A se vedea Considerentul 68 i art. 20 (3) din RGPD. Art. 20 (3) i Considerentul 68 prevede faptul c portabilitatea datelor nu se aplic n
cazul n care prelucrarea este necesar ndeplinirea unei atribuii executate n interesul public sau n cadrul exercitii unei autoriti oficialec
cu care este investit operatorul sau atunci cnd operatorul i exercit atribuiile publice respect o obligaie legal. Prin urmare, nu exist o
obligaie pentru operatori s ofere portabilitatea n aceste situaii. Cu toate acestea, o bun practic este reprezentat de dezvoltarea de
procese prin care se rspunde n mod automat cererilor de portabilitate, cu respectarea principiilor ce guverneaz dreptul la portabilitatea
datelor. Un exemplu poate fi reprezentat de un serviciu guvernamental ce ofer posbilitatea de descrcare uoar a declaraiilor personale de
venit din trecut. Pentru portabilitatea datelor, o bun practic n cazul prelucrrii ce are drept temei necesitatea pentru interesul legitim i
pentru schemele voluntare existente pot fi consultate pag. 47 i 48 din Avizul WP29 6/2014 privind interesul legitim (WP217).
17
Aa cum a fost subliniat de WP29 n Avizul su 8/2001 din 13 septembrie 2001 (WP48).

9
- date cu caracter personal care o privesc i

- date pe care persoana vizat le-a furnizat operatorului de date.

Art. 20 (4) prevede, de asemenea, c respectarea acestui drept nu va afecta n mod negativ
drepturile i libertile altor persoane.

Prima condiie: datele cu caracter personal ale persoanei vizate

Numai datele cu caracter personal ntr n domeniul de aplicare al unei cereri de portabilitate a
datelor. Prin urmare, orice date care sunt anonime18 sau nu privesc persoana vizat nu se afl
n domeniul de aplicare. Cu toate acestea, datele pseudonime care pot fi legate n mod clar de
o persoan vizat (de exemplu, furniznd identificatorul respectiv, conform art. 11 (2)) se afl
n domeniul de aplicare.

n multe situaii, operatorii vor prelucra informaii care conin datele cu caracter personal ale
mai multor persoane vizate. n acest caz, operatorii nu ar trebui s abordeze o interpretarea
prea restrictiv a sintagmei datele cu caracter personal referitoare la o persoan vizat. Ca
exemplu, telefonul, mesajele interpersonale sau nregistrrile VoIP pot include (n istoricul
contului abonatului) detalii ale unor pri tere implicate n apelurile primite sau efectuate. Cu
toate c nregistrrile vor conie date cu caracter personal referitoare la mai multe persoane,
abonaii ar trebui s poat s aib aceste nregistrri furnizate ca rspuns la cererile de
portabilitate a datelor, ntruct nregistrrile se refer (de asemenea) la persoana vizat.
Totui, n situaia n care aceste nregistrri sunt transmise ctre un nou operator, acest nou
operator nu ar trebui s le prelucreze n alt scop care ar putea afecta n mod negativ drepturile
i libertile unot pri tere (a se vedea mai jos: a treia condiie).

A doua condiie: datele furnizate de persoana vizat

Cea de-a doua condiie ngusteaz sfera de aplicare a datelor furnizate de persoana vizat.

Exist multe exemple de date cu caracter personal, precum datele de cont (de exemplu, adresa
potal, numele de utilizator, vrsta), care vor fi furnizate de persoana vizat cu bun tiin
i n mod activ prin formularele online. Cu toate acestea, datele furnizate de persoana vizat
rezult i din observarea activitii sale. n consecin, WP29 consider c, pentru a oferi o
valoare complet acestui nou drept, furnizat de ar trebui s includ, de asemenea, datele cu
caracter personal care sunt observate din activitile utilizatorilor, cum ar fi datele brute
prelucrate de un contor inteligent sau alte tipuri de obiecte conectate19, jurnale de activitate,
istoricul utilizrii site-ului sau a activitilor de cutare.

Aceast ultim categorie de date nu include date care sunt create de operatorul de date
(folosind datele observate sau direct furnizate ca rspuns) cum ar fi un profil de utilizator
creat prin analiza datelor brute colectate de contoare inteligente.

18
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf
19
Prin posibilitatea de a prelua datele rezultate din observarea activitii sale, persoana vizat va avea, de asemenea, posibilitatea de a obine
o mai bun imagine de ansamblu a opiunilor de implementare a opiunilor operatorului n ceea ce privete domeniul de aplicare a datelor
observate i va fi ntr-o mai bun situaie pentru a allege ce date este dispus s ofere pentru a obine un serviciu similar i s fie contient n
ce msur este respectat dreptul su la via privat.

10
Se poate face o distincie ntre diferitele categorii de date, n funcie de originea lor, pentru a
determina dac acestea pot fi supuse dreptului la portabilitatea datelor. Urmtoarele categorii
pot fi calificate drept furnizate de persoana vizat:

- date furnizate de persoana vizat cu bun tiin i n mod activ (spre


exemplu adres potal, numele de utilizator, vrst etc.)

- date observate furnizate de persoana vizat n virtutea utilizrii serviciului


sau dispozitivului. De exemplu, acestea pot include istoricul cutrilor, datele
de trafic i datele de localizare. De asemenea, acestea pot include i alte date
brute precum ritmul cardiac urmrit de un dispozitiv portabil.

n schimb, datele deduse i datele obinute sunt create de operator pe baza datelor furnizate
de persoana vizat. De exemplu, rezultatul unei evalurii cu privire la starea de sntate a
unui utilizator sau la profilul creat n contextul gestionrii riscurilor i a reglementrilor n
domeniul financiar (de exemplu, pentru a atribui un scor de credit sau pentru a respecta
normele de combatere a splrii banilor) nu poate fi considerat n sine ca fiind furnizat de
persoana vizat. Chiar dac aceste date pot fi parte dintr-un profil pstrat de operator i sunt
deduse sau derivate din analiza datelor furnizate de persoana vizat (spre exemplu, prin
intermediul aciunilor sale), n mod obinuit, aceste date nu pot fi luate n considerare ca fiind
furnizate de persoana vizat i, prin urmare, nu vor intra sub incidena scopului acestui nou
drept20.

n general, avnd n vedere obiectivele de politic ale dreptului la portabilitatea datelor,


sintagma furnizat de persoana vizat trebuie interpretat n sens larg i ar trebui s exclud
date deduse i date derivate, care includ date cu caracter personal care sunt create de un
furnizor de servicii (spre exemplu, rezultate algoritmice). Un operator poate exclude aceste
date deduse, dar ar trebui s includ toate celelalte date furnizate de persoana vizat prin
mijloacele tehnice prevzute de operator21.

Astfel, sintagma furnizat de include date cu caracter personal care se refer la activitatea
persoanei vizate sau rezultatul din observarea comportamentului unei persoane fizice, dar nu
include datele rezultate din analiza ulterioar a acestui comportament. n schimb, orice date cu
caracter personal care au fost create de operator ca parte a prelucrrii datelor, de exemplu
printr-un proces de personalizare sau recomandare, prin clasificarea utilizatorilor sau a
profilurilor reprezint date care sunt derivate sau deduse din datele cu caracter pesonal
furnizate de persoana vizat i nu intr sub incidena dreptului la portabilitatea datelor.


20
Cu toate acestea, persoana vizat nc are dreptul de a obine din partea operatorului o confirmare c se prelucreaz sau nu date cu
caracter personal care o privesc i, n caz afirmativ, acces la datele cu caracter personal, precum i informaii despre existena unei decizii
bazate exclusiv pe prelucrarea automat, inclusiv crearea de profiluri, aa cum este precizat n art. 22 (1) i (4) i, cel puin n acele situaii,
informaii pertinente privind logica utilizat i privind importana i consecinele preconizate ale unei astfel de prelucrri pentru persoana
vizat, potrivit art. 15 din RGPD (care se refer la dreptul de acces).
21
Acestea includ toate datele cu privire la persoana vizat observate pe durata activitilor pentru scopul pentru care au fost colectate, cum ar
fi istoricul tranzaciilor sau evidena accesrilor. Datele colectate prin intermediul urmrii i nregistrii persoanei vizate (cum ar fi o aplicaie
care nregistreaz ritmul cardiac sau o tehnologie care urmrete comportamentul persoanei n timpul cutrii) ar trebui considerate, de
asemenea, ca fiind furnizate de aceasta chiar dac datele nu sunt transmise n mod activ i cu bun tiin.

11
A treia condiie: dreptul la portabilitatea datelor nu trebuie s aduc atingere drepturilor i
libertilor altora

n ceea ce privete datele cu caracter personal privind alte persoane vizate:

A treia condiie este menit s evite recuperarea i transmiterea de date care conin datele cu
caracter personal ale altor persoane vizate (care nu i-au dat consimmntul) ctre un nou
operator de date n situaiile n care exist posibilitatea ca aceste date s fie prelucrate ntr-un
mod care ar afecta n mod negativ drepturile i libertile altor persoane vizate (art. 20 (4) din
RGPD)22.

Un asemenea efect negativ ar putea aprea, spre exemplu, n cazul n care transmiterea de date
de la un operator la altul ar mpiedica prile tere s-i exercite drepturile lor n calitate de
persoane vizate n temeiul RGPD (precum dreptul la informare, dreptul de acces etc.).

Persoana vizat care iniiaz transmiterea datelor sale ctre un alt operator de date, fie i
ofer consimmntul ctre noul operator de date pentru prelucrarea, fie ncheie un contract cu
respectivul operator. Trebuie identificat un alt temei juridic pentru prelucrarea n situaia n
care datele cu caracter personal ale unor pri tere sunt incluse n setul de date. De exemplu,
un interes legitim poate fi urmrit de operatorul de date n conformitate cu art. 6 (1) f), n
special n cazul n care scopul operatorului de date este de a oferi persoanei vizate un serviciu
care permite acesteia s prelucreze datele cu caracter personal pentru o activitate pur
personal sau de uz casnic. Operaiunile de prelucrare iniiate de persoana vizat, n contextul
activitii personale care privesc i au un posibil impact asupra unor pri tere, rmn sub
responsabilitatea acesteia, n msura n care o astfel de prelucrare nu este, n nici un fel, decis
de operatorul de date.

De exemplu, un serviciu de webmail poate permite crearea unui director referitor la


contactele, prietenii, rudele, familia i mediul mai larg al persoanei vizate. Din moment ce
aceste date se refer la (i sunt create de) o persoan fizic identificabil care dorete s-i
exercite dreptul la portabilitatea datelor, operatorii trebuie s transmit n totalitate directorul
de e-mail-uri primite i trimise ctre respectiva persoan vizat.

n mod similar, contul bancar al persoanei vizate poate conine datele cu caracter personal
referitoare nu doar la tranzaciile titularului de cont, ci i ale altor persoane (de exemplu, n
cazul n care au transferat bani ctre titularul de cont). Drepturile i libertile acestor pri
tere sunt puin probabil s fie afectate n mod negativ de transmiterea informaiilor privind
contul bancar ctre titularul de cont odat ce a fost naintat o cerere de portabilitate cu
condiia ca, n ambele exemple, datele s fie folosite n acelai scop (de exemplu, o adres de
contact sau un istoric al contului bancar s fie folosite numai de persoana vizat).

Pe de alt parte, drepturile i libertile prilor tere nu vor fi respectate n cazul n care noul
operator de date utilizeaz datele cu caracter personal pentru alte scopuri, de exemplu, n


22
Considerentul 68 prevede c n cazul n care, ntr-un anumit set de date cu caracter personal, sunt implicate mai multe personae vizate,
dreptul de a primi datele cu caracter personal nu ar trebui s aduc atingere drepturile i libertile altor personae vizate, n conformitate cu
prezentul Regulament.

12
cazul n care operatorul care primete datele altor persoane din directorul de contact al
persoanei vizate le folosete n scopuri de marketing.

Prin urmare, pentru a preveni efectele negative asupra prilor tere implicate, prelucrarea
acestor date cu caracter personal de ctre un alt operator este permis numai n msura n care
datele sunt pstrate sub controlul exclusiv al utilizatorului solicitant i este gestionat numai n
scop personal sau de uz casnic. Un nou operator ce primete date (ctre care au fost
transmite date la solicitarea utilizatorului) nu poate utiliza datele prilor tere transmise
pentru propriile scopuri, de exemplu pentru a propune acestor persoane vizate pri tere
produse i servicii de marketing. De exemplu, aceast informaie nu ar trebui utilizat pentru a
mbogi profilul persoanei vizate parte ter i pentru a reconstrui mediul su social, fr
tirea i consimmntul acesteia23. i nici nu poate fi folosit pentru a prelua informaiile
referitoare astfel de pri tere i de a crea profiluri specifice, chiar dac datele lor cu caracter
personal sunt deja deinute de operator. n caz contrar, o astfel de prelucrarea poate fi ilegal
i incorect, mai ales n cazul n care prile tere n cauz nu sunt informate i nu-i pot
exercita drepturile n calitate de persoane vizate.

Mai mult, este o practic de conducere pentru toi operatorii de date (att prile care
transmit, ct i cele care primesc) de a pune n aplicare instrumente pentru a permite
persoanelor vizate s selecteze datele relevante pe care doresc s le primeasc i s le
transmit i s exclud, dac este cazul, datele altor persoane fizice. Acest lucru va ajuta n
continuare n reducerea riscurilor pentru prile tere ale cror date cu caracter personal pot fi
portate.

n plus, operatorii de date ar trebui s pun n aplicare mecanisme de consimmnt pentru


alte persoane vizate implicate, pentru a uura transmiterea de date pentru acele cazuri n care
aceste pri tere sunt dispuse s consimt, de exemplu, n cazul n care doresc, de asemenea,
s mute datele lor la un alt operator. O astfel de situaie ar putea aprea, de exemplu, n cazul
reelelor sociale, dar depinde de operatorii de date n a decide cu privire la practica de de
urmat.

n ceea ce privete datele care fac obiectul proprietii intelectuale i secretele


comerciale:

Drepturile i libertile altora sunt menionate la art. 20 (4). Chiar dac nu este legat direct de
portabilitate, acest lucru poate fi neles ca inclusiv secrete comerciale sau proprietate
intelectual i, n special drepturile de autor care protejeaz software. Cu toate acestea, chiar
dac aceste drepturi trebuie luate n considerare nainte de a rspunde unei cereri de
portabilitate a datelor, rezultatul acestor consideraii nu ar trebui s fie un refuz de a furniza
persoanei vizate toate informaiile. Mai mult, operatorul nu trebuie s refuze o cerere de
portabilitate a datelor pe baza nclcrii unui alt drept contractual (de exemplu, o datorie
restant sau un conflict comercial cu persoana vizat).

23
Un serviciu de reea social nu ar trebui s mbogeasc profilul membrilor si prin utilizarea datelor cu caracter personal transmise de o
persoan vizat, ca parte a dreptului su la portabilitatea datelor, fr a respecta principiul transparenie i, de asemenea, fr s se asigure c
acestea de bazeaz pe un temei juridic adecvat cu rivire la aceast prelucrare specific.

13
Dreptul la portabilitatea datelor nu este un drept pentru o persoan vizat de a abuza de
informaii ntr-un mod care ar putea fi calificat drept practic incorect sau care ar constitui o
nclcare a drepturilor de proprietate intelectual.

Cu toate acestea, un risc potenial de afaceri nu poate, n sine, s serveasc drept baz pentru
refuzul de a rspunde cererii de portabilitate, iar operatorii pot transmite datele cu caracter
personal furnizate de persoanele vizate ntr-o form prin care nu se dezvluie informaii care
fac obiectul drepturilor de proprietate intelectuale i secretele comerciale.

IV. Cum se aplic regulile generale care guverneaz exercitarea drepurilor


persoanelor vizate n cazul portabilitii datelor?

Ce informaii prealabile trebuie furnixate persoanei vizate?

n vederea respectrii noului drept la portabilitatea datelor, operatorii trebuie s informeze


persoanele vizate cu privire la existena noului drept la portabilitate. n situaia n care datele
cu caracter personal n cauz sunt colectate direct de la persoana vizat, informarea trebuie s
aib loc la momentul n care sunt obinute datele cu caracter personal. Dac datele cu
caracter personal nu au fost obinute de la persoana vizat, operatorul trebuie s furnizeze
informaiile n conformitate cu art. 13 (2) b) i art. 14 (2) c).

n situaia n care datele cu caracter personal nu au fost obinute direct de la persoana vizat,
art. 14 (3) impune ca informaiile s fie furnizate ntr-un termen rezonabil dup opinerea
datelor, dar nu mai mare de 1 lun, n momentul primei comunicri cu persoana vizat sau
cnd sunt dezvluite datele cu caracter personal ctre pri tere24.

Atunci cnd datele sunt furnizate, operatorii trebuie s se asigure c se realizeaz o distincie
ntre dreptul la portabilitatea datelor i alte drepturi. Prin urmare, WP29 recomand, n
special, faptul ca operatorii de date s explice n mod clar diferena ntre tipurile de date pe
care o persoan vizat le poate primi ca urmare a exercitrii dreptului de acces i dreptului la
portabilitatea datelor.

n plus, Grupul de Lucru recomand ca operatorii s includ ntotdeauna informaii cu privire


la dreptul la portabilitatea datelor nainte ca persoanelor vizate s nchid orice cont pe care l
pot avea. Acest lucru permite utilizatorilor s in seama de datele lor cu caracter personal,
precum i s transmit cu uurin datele ctre propriul dispozitiv sau ctre un alt furnizor
nainte ca un contract s fie reziliat.

n cele din urm, ca practic pentru operatorii ce primesc date, WP29 recomand ca
persoanele vizate s primeasc informaii complete cu privire la natura datelor cu caracter
personal care sunt relevante pentru ndeplinirea serviciilor lor. n plus fa de ceea ce st la
baza unei prelucrri corecte, acest lucru permite utilizatorilor s limiteze riscurile pentru
prile tere, precum i orice alt duplicare inutil a datelor cu caracter personal, chiar n
situaia n care nu sunt implicate alte persoane vizate.


24
Art. 12 impune ca operatorii s furnizeze orice informaii [] ntr-o form concis, transparent, inteligibil i uor accesibil, utiliznd
un limbaj clar i simplu, n special pentru orice informaii adresate n mod specific unui copil.

14
Cum poate operatorul s identifice persoana vizat nainte de a rspunde la
cererea acesteia?

RGPD nu prevede cerine stricte cu privire la modul de autentificare a persoanei vizate. Cu


toate acestea, art. 12 (2) din RGPD precizeaz c operatorul nu poate refuza s acioneze la
cererea persoanei vizate pentru exercitarea drepturilor sale (inclusiv dreptul la portabilitatea
datelor), cu excepia cazului n care se prelucreaz date cu caracter personal pentru un scop
care nu necesit identificarea persoanei vizate i se poate demonstra c nu este n msur s
identifice persoana vizat. Cu toate acestea, n conformitate cu art. 11 (2), n astfel de
circumstane, persoana vizat poate oferi mai multe informaii pentru a permite identificarea
sa. n plus, art. 12 (6) preved c, n cazul n care un operator are ndoieli ntemeiate cu
privire la identitatea persoane vizate, acesta poate solicita furnizarea de informaii
suplimentare necesare pentru a confirma identitatea persoanei vizate. n situaia n care o
persoan vizat furnizeaza informaii suplimentare care s permit identificarea sa, operatorul
nu trebuie s refuze s acioneze asupra cererii. n cazul n care informaiile i datele colectate
online sunt legate de pseudonime sau identificatori unici, operatorii pot implementa proceduri
corespunztoare care s permit unei persoane fizice s nainteze o cerere de portabilitate a
datelor i s primeasc datele care o privesc. n orice caz, operatorii trebuie s implementeze
proceduri de autentificare pentru a stabili cu certitudine identitatea persoanei vizate care
solicit datele sale personale sau, n sens larg, i exercit drepturile oferite de RGPD.

De multe ori aceste proceduri exist deja. Persoanele vizate sunt adesea deja autentificate de
operator nainte de a ncheia un contract sau de a obine consimmntul acestora. n
consecin, datele cu caracter personal folosite pentru nregistrarea unei persoane fizice vizat
de prelucrare pot fi, de asemenea, utilizate ca probe pentru autentificarea persoanei vizate n
scopuri de portabilitate25.

n timp ce n aceste cazuri identificarea prealabil a persoanei vizate poate necesita o dovad a
identitii sale, o asemenea verificare nu poate fi relevant pentru evaluarea legturii dintre
date i persoana fizic n cauz, deoarece o astfel de legtur nu este legat de identitatea
oficial sau juridic. n esen, capacitatea operatorului de a solicita informaii suplimentare
pentru a analiza identitatea unei persoanei nu poate duce la cereri excesive i la colectarea de
date cu caracter personal care nu sunt relevante sau necesare pentru a consolida relaia dintre
persoana fizic i datele personale solicitate.

n multe cazuri, asemenea proceduri de autentificare exist deja. De exemplu, numele de


utilizator i parolele sunt de multe ori folosite pentru a permite persoanelor fizice s acceseze
datele sale din conturile sale de e-mail, din conturile de reele de socializare i din conturile
folosite pentru diverse alte servicii, dintre care unele persoane fizice au ales s le foloseasc
fr a dezvlui numele complet i identitatea.

Dac volumul datelor solicitate de persoana vizat face ca transmiterea prin intermediul
Internetului s fie mai degrab problematic, dect s permit o perioad de timp prelungit


25
De exemplu, n situaia n care prelucrarea datelor este legat de contul unui utilizatori, ar putea fi suficient furnizarea numelui de
utilizator i a parolei pentru a identifica persoana vizat.

15
de cel mult trei luni pentru soluionarea cererii26, operatorul va trebui, de asemenea, s ia n
considerare mijloacele alternative de furnizare a datelor, precum utilizarea de streaming sau
salvarea pe un CD, DVD sau alte suporturi fizice sau s permit transmiterea direct a datelor
cu caracter personal la un alt operator de date (conform art. 20 (2) din RGPD n cazul n care
este fezabil din punct de vedere tehnic).

Care este termenul impus pentru a rspunde la o solicitare de portabilitate?

Art. 12 (3) prevede c operatorul furnizeaz persoanei vizate informaii privind aciunile
ntreprinse fr ntrzieri nejustificate i n orice caz n cel mult o lun de la primirea
cererii. Aceast perioad de o lun poate fi prelungit la maximum 3 luni, inndu-se seama
de complexitatea cererilor, cu condiia ca persoana vizat s fie informat n legtur cu
motivile ntrzierii n terme de o lun de la primirea cererii.

Exist probabilitatea ca operatorii care opereaz servicii ale societii informaionale s fie
mai bine echipate pentru a fi n msur s rspund cererilor ntr-o perioad foarte scurt de
timp. Pentru a satisface ateptrile utilizatorilor, o bun practic ar consta n definirea
intervalului de timp n care se rspunde la o cerere de portabilitate a datelor i se transmite
rspunsul ctre persoanele vizate.

Potrivit art. 12 (4), operatorii care refuz s rspund unei cereri de portabilitate vor informa
persoana vizat, n termen de o lun de la primirea cererii, cu privire la motivele pentru care
nu se ia msuri i la posibilitatea de a depune o plngere la autoritatea de supraveghere i de a
introduce o cale de atac judiciar.

Operatorii trebuie s respecte obligaia de a rspunde n termenul stabilit, chiar dac


este vorba de un refuz. Cu alte cuvinte, operatorul nu poate lsa fr rspuns o cerere
de portabilitate a datelor.

n ce situaie poate fi respins o cerere de portabilitate a datelor sau se poate


percepe o tax?

Art. 12 interzice operatorului s perceap o tax pentru furnizarea datelor cu caracter


personal, cu excepia situaiei n care operatorul poate demonstra c solicitrile sunt n mod
vdit nefondate sau excesive, n special din cauza caracterului lor repetitiv. Pentru serviciile
societii informaionale specializate n prelucrarea automat a datelor cu caracter personal,
implementarea de sisteme automate precum Interfee de Programare a Aplicaiilor
(Application Programming Interfaces - APIs)27 poate facilita schimburile cu persoana vizat
i, prin urmare, poate reduce posibila sarcin ce rezult din cererile repetitive. Aadar, ar
trebui s existe foarte puine situaii n care operatorul ar putea justifica refuzul de a transmite
informaiile solicitate, chiar i n situaia cererilor multiple de portabilitate a datelor.

n plus, nu ar trebui luat n considerare costul total al operaiunilor create pentru a rspunde
cererilor de portabilitate a datelor pentru a determina excesivitatea unei cereri. n fapt, art. 12

26
Art. 12 (3): Operatorul furnizeaz informaii privind aciunile ntreprinse.
27
Interfee de Programare a Aplicaiilor (IPA) nseamn interfeele aplicaiilor sau serviciilor de web puse la dispoziie de operator astfel
nct alte sisteme sau aplicaii se pot conecta i pot lucra cu sistemele lor.

16
din RGPD se concentreaz pe cererile adresate de o persoan vizat i nu la numrul total de
cereri primite de un operator. Ca urmare, costurile totale de implementare a sistemului nu ar
trebui s fie imputate persoanelor vizate i nici nu ar trebui folosite pentru a justifica refuzul
de a da curs cererilor de portabilitate.

V. Cum trebuie furnizate datele portabile?

Care sunt mijloacele preconizate a fi implementate de operator pentru


furnizarea datelor?

Art. 20 (1) din RGPD prevede c persoanele vizate au dreptul de a transmite datele ctre un
alt operator, fr obstacole din partea operatorului cruia i-au fost furnizate datele cu caracter
personal.

Un astfel de obstacol poate fi caracterizat ca orice obstacol legal, tehnic sau financiar introdus
de operator pentru a restrnge sau a ncetini accesul, transmiterea sau reutilizarea de ctre
persoana vizat sau un alt operator. De exemplu, un asemenea obstacol ar putea fi: taxele
percepute pentru furnizarea datelor, lipsa interoperabilitii sau accesului la un format de date
sau API sau formatul prevzut, ntrzierea excesiv sau complexitatea de a prelua ntregul set
de date, ascunderea deliberat a setului de date sau cereri specifice i nejustificate sau
excesive de standardizare sau acreditare sectorial28.

Art. 20 (2) stabilete, de asemenea, obligaii pentru operatori pentru transmiterea datelor
portabile direct ctre ali operatori de date atunci cnd este fezabil din punct de vedere
tehnic.

Fezabilitatea tehnic a transmiterii de la un operator la altul, sub controlul persoanei vizate, ar


trebui evaluat de la caz la caz. Considerentul 68 clarific n continuare limitele a ceea ce este
punct de vedere tehnic, indicnd faptul c nu ar trebui s creeze o obligaie pentru
operatori de a adopta sau de a menine sisteme de prelucrare care s fie compatibile din punct
de vedere tehnic.

Este de ateptat ca operatorii s transmit date cu caracter personal ntr-un format


interoperabil, cu toate c acest lucru nu stabilete obligaii pentru ali operatori n vederea
sprijinirii acestor formate. Prin urmare, transmiterea direct de la un operator la altul ar putea
aprea atunci cnd comunicarea ntre cele dou sisteme este posibil, ntr-un mod securizat29,
i n cazul n care sistemul de primire a datelor are capacitatea, din punct de vedere tehnic, de
a primi datele transmise. n situaia n care obstacolele tehnice interzic transmiterea direct,
operatorul trebuie s explice aceste impedimente persoanelor vizate, ntruct, n caz contrar,
decizia sa va fi similar, n efectul su, unui refuz de a lua msuri ca urmare a unei cereri a
persoanei vizate (art. 12 (4)).


28
Ar putea aprea anumite impedimente legitime, precum cele care sunt legate de drepturile i libertile altora menionate la art. 20 (4) sau
cele care se refer la serciritatea sistemelor proprii ale ooperatorilor. Operatorul va fi responsabil pentru justificarea motivului pentru care
aceste obstacole ar fi legitime i de ce nu ar constitui un impediment n senstul art. 20 (1).
29
Printr-o comunicare autentificat cu un nivel necesar de criptare a datelor..

17
La nivel tehnic, operatorii ar trebui s analizeze i s evalueze dou ci diferite i
complementare astfel nct datele portabile s fie disponibile persoanelor vizate sau altor
operatori:

- o transmitere direct a ntregului set de date portabile (sau anumite extrase din setul
global);

- un instrument automat care permite extragerea datelor relevante.

A doua modalitate poate fi preferat de operatorii n cazurile care implic seturi complexe i
mari de date, deoarece permite extragerea oricrei pri din setul de date care este relevant
pentru persoana vizat, innd cont de cererea acesteia, poate ajuta la minimizarea riscurilor,
i, eventual, permite utilizarea mecanismelor de sincronizare30 a datelor (de exemplu, n
contextul unei comunicri regulate ntre operatori). Aceasta poate fi o modalitate mai bun de
a asigura respectarea de ctre noul operatorul i ar putea constitui o bun practic n
reducerea riscurilor de confidenialitate de ctre operatoul iniial.

Aceste dou moduri diferite i, eventual, complementare de a furniza datele portabile


relevante ar putea fi implementate prin punerea la dispoziie a datelor prin diferite mijloace
precum: mesagerie securizat, un server SFTP, un WebAPI sau WebPortal securizat.
Persoanele vizate ar trebui s aib posibilitatea de a utiliza un mijloc de stocare a datelor, un
sistem de management al datelor personale31 sau alte tipuri de pri tere de ncredere, pentru
a deine i a stoca datele personale i pentru a permite operatorilor s aib acces i s
prelucreze date dup cum este necesar.

Care este formatul de date ateptat?

RGPD stabilete pentru operatori condiii de a furniza datele cu caracter personal solicitate de
o persoan fizic ntr-un format care permite reutilizarea datelor. Mai exact, art. 20 (1) din
RGPD precizeaz faptul c datele cu caracter personal trebuie furnizate ntr-un format
structurat, utilizat n mod curent i care poate fi citit automat. Considerentul 68 ofer o
clarificare suplimentar c acest format ar trebui s fie interoperabil, termen ce este definit32
n UE dup cum urmeaz:

capacitatea unor organizaii distincte i diverse de a interaciona n scopul realizrii


unor obiective care aduc beneficii reciproce i sunt convenite mutual, care implic
partajarea de informaii i cunotine ntre organizaii prin intermediul proceselor
profesionale pe care acestea le sprijin, utiliznd schimbul de date ntre respective
sisteme TIC deinute de acestea.


30
Mecanismele de sincronizare pot ajuta la ndeplinirea obligaiilor generale stabilite de art. 5 din RGPD, care prevede c datele cu caracter
personal vor fi (...) exacte i, n cazul n care este necesar, actualizate.
31
Cu privire la sistemele de management privind informaiile cu caracter personal (SMIP ), a se vedea, de exemplu, Avizul AEPD 9/2016,
disponibil la https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-10-
20_PIMS_opinion_EN.pdf
32
Art. 2 din Decizia nr. 922/2009/CE a Parlamentului European i a Consiliului din 16 septembrie 2009 privind soluiile de interoperabilitate
pentru administraiile publice europene (ISA) MO L 260, 03.10.2009, p. 20

18
Termenii structurat, utilizat n mod curent i care poate fi citit automat reprezint un set
minim de cerine care ar facilita interoperabilitatea formatului de date furnizat de operator. n
acest sens, structurat, utilizat n mod curent i care poate fi citit automat reprezint
specificaii pentru mijloace, n timp ce interoperabilitatea se refer la rezultatul dorit.

Considerentul 21 din Directiva 2013/37/UE3334 definete care poate fi citit n mod automat
dup cum urmeaz:

formatul de fiier care l conine este structurat n aa fel nct aplicaiile software s
poat identifica, recunoate i extrage cu uurin date specifice din acesta, inclusiv
declaraii de fapt i structura lor intern. Datele codificate n fiiere care sunt
structurate ntr-un format prelucrabil automat sunt date prelucrabile automat.
Formatele prelucrabile automat pot fi deschise sau protejate prin drepturi exclusive i
pot fi standarde formale sau nu. Documentele codificate ntr-un format de fiier care
limiteaz aceast prelucrare automat, deoarece datele nu pot fi extrase sau nu pot fi
extrase cu uurin din aceste documente, nu ar trebui considerate documente n format
prelucrabil automat. Statele membre ar trebui, dup caz, s ncurajeze utilizarea de
formate deschise, prelucrabile automat.

Avnd n vedere gama larg de tipuri de datele poteniale care ar putea fi prelucrate de un
operator, RGPD nu impune recomandri specifice cu privire la formatul datelor cu caracter
personal care urmeaz s fie furnizat. Formatul cel mai adecvat va fi diferit ntre sectoare, iar
formate corespunztoare pot exista deja i ar trebui s fie ntotdeauna alese pentru a atinge
obiectivul de a fi interoperabil i de a oferi persoanei vizate un grad mai mare de portabilitate
a datelor. Ca atare, formatele care sunt supuse unor constrngeri de licen nu ar fi considerate
o abordare adecvat.

Considerentul 68 clarific faptul c Dreptul persoanei vizate de a transmite sau de a primi


date cu caracter personal care o privesc nu ar trebui s creeze pentru operatori obligaia de
a adopta sau de a menine sisteme de prelucrare care s fie compatibile din punct de vedere
tehnic. Astfel, portabilitatea are drept scop implementarea de sisteme interoperabile, i
nu sisteme compatibile35.

Datele cu caracter personal sunt de ateptat s fie furnizate n formate care au un nivel ridicat
de abstracie de la orice format intern sau de proprietate. Ca atare, portabilitatea datelor
implic un strat suplimentar de prelucrare a datelor de ctre operatori, n scopul de a extrage
date de pe platform i de a filtra datele personale n afara domeniului de aplicare al
portabilitii, cum ar fi datele deduse sau date legate de securitatea sistemelor. n acest fel,
operatorii sunt ncurajai s identifice n prealabil datele care ntr sfera de aplicare a
portabilitii n propriile lor sisteme. Aceast prelucrare suplimentar a datelor va fi


33
De modificare a Directivei 2003/98/CE privind reutilizarea informaiilor din sectorul public
34
Glosarul UE (http://eur-lex.europa.eu/eli-register/glossary.html) prevede clarificri ulterioare cu privire la ateptrile n ceea ce privete
conceptele folosite n prezentul ghid, cum ar fi care poate fi citit n mod automat, interoperabilitate, format deschis, standard, metadate.
35
ISO/IEC 2382-01 definete interoperabilitatea dup cum urmeaz: Capacitatea de a comunica, executa programe sau de a transfera date
ntre diferite uniti funcionale ntr-un mod care solicit ca utilizatorul s aib puin cunoatere sau deloc a caracteristicilor respectivelor
uniti.

19
considerat ca auxiliar la prelucrarea principal a datelor, din moment ce nu se realizeaz
pentru a atinge un nou scop definit de operator.

n cazul n care niciun format nu este utilizat n mod obinuit pentru o anumit industrie sau
ntr-un anumit context, operatorii ar trebui s furnizeze date cu caracter personal,
folosind formate deschise utilizate n mod obinuit (de exemplu, XML, JSON, CSV, ...),
mpreun cu metadate utile la cel mai bun nivel posibil de granularitate, meninnd n
acelai timp un nivel ridicat de abstractizare. Ca atare, metadatele adecvate ar trebui utilizate
pentru a descrie cu exactitate semnificaia informaiilor schimbate. Aceste metadate ar trebui
s fie suficiente pentru a face posibile funcia i reutilizarea datelor, dar, desigur, fr a
dezvlui secrete comerciale. Prin urmare, este puin probabil ca furnizarea de versiuni PDF al
mesajelor primite pe e-mail ctre o persoan fizic ar fi suficient de structurat sau
descriptiv pentru a permite datelor din mesajele primite s fie reutilizate ntr-o manier
facil. In schimb, datele de e-mail ar trebui s fie furnizate ntr-un format care pstreaz toate
metadatele, pentru a permite reutilizarea eficient a datelor. Ca atare, atunci cnd se
selecteaz un format de date n care s se furnizeze datele cu caracter personal, operatorul ar
trebui s ia n considerare modul n care acest format ar avea un impact sau ar mpiedica
dreptul persoanei vizate de a reutiliza datele. n situaiile n care un operator este n msur s
ofere opiuni persoanei vizate n ceea ce privete formatul datelor cu caracter personal
preferat, ar trebui s fie furnizat o explicaie clar a impactului respectivei alegeri. Cu toate
acestea, prelucrarea suplimentar de metadate pentru unicul scop pentru care acestea ar putea
fi necesare sau ar putea s rspund unei cereri de portabilitate a datelor nu reprezint un
motiv legitim pentru o astfel de prelucrare.

WP29 ncurajeaz n mod ferm cooperarea ntre prile interesate din industrie i
asociaiile profesionale n vederea elaborrii unui set comun de standarde i formate
interoperabile pentru a ndeplini cerinele dreptului la portabilitatea datelor. Aceast
provocare a fost, de asemenea, abordat de Cadrul European de Interoperabilitate (CEI), care
a creat o abordare convenit a interoperabilitii pentru organizaiile care doresc s livreze n
comun servicii publice. Avnd n vedere domeniul su de aplicabilitate, cadrul specific un
set de elemente comune, cum ar fi vocabularul, conceptele, principiile, politicile, orientrile,
recomandrile, standardele, specificaiile i practicile36.

Cum s faci fa unei colectri mari sau complexe de date cu caracater


personal?

RGPD nu explic modul n care s fie abordat provocarea de a rspunde n situaia n care
apar o colectare mare de date, o structur complex de date sau alte probleme tehnice care ar
putea crea dificulti pentru operatori sau persoane vizate.

Cu toate acestea, este important ca, n toate situaiile, persoana fizic s poate nelege
definiia, schema i structura datelor cu caracter personal care ar putea fi furnizate de
operator. De exemplu, datele ar putea fi furnizate iniial ntr-o form redus prin folosirea de
tablouri de bord (dashboards) care permit persoanei vizate s suporte mai degrab subseturi

36
Sursa: http://ec.europa.eu/isa/documents/isa_annex_ii_eif_en.pdf

20
de date cu caracter personal, dect datele n ntregime. Operatorul ar trebui s ofere o imagine
de ansamblu ntr-o form concis, transparent, inteligibil i uor accesibil, utiliznd un
limbaj clar i simplu (a se vedea art. 12 (1) din RGPD) astfel nct persoana vizat s aib
ntotdeauna informaii clare referitoare la ce date s descrce sau s transmit altui operator,
n legtur cu un anumit scop. De exemplu, persoanele vizate ar trebui s fie n msur s
utilizeze aplicaii de software pentru a identifica, a recunoate i a prelucra cu uurin date
specifice.

Aa cum s-a artat mai sus, un mod practic prin care un operator poate rspunde la cererile de
portabilitate a datelor poate fi reprezentat prin furnizarea unui API documentat i securizat n
mod corespunztor. Acest lucru poate permite persoanelor fizice s transmit cereri pentru
datele lor cu caracter personal ctre operator prin intermediul propriului software sau cel al
unei pri tere sau poate permite altora s fac acest lucru n numele lor (inclusiv un alt
operator de date), aa cum se specific la art. 20 (2) din RGPD. Prin acordarea accesului la
date prin intermediul unui API accesibil din exterior, furnizarea unui sistem de acces mai
sofisticat, care permite persoanelor fizice s transmit cereri ulterioare de date, fie ca o
descrcare complet, fie ca o funcie delta care conine numai modificri de la ultima
descrcare, fr ca aceste solicitri suplimentare s fie mpovrtoare pentru operator poate fi,
de asemenea posibil.

Cum pot fi securizate datele portabile?

n general, operatorii trebuie s asigure securitatea adecvat a datelor cu caracter personal,


inclusiv protecia mpotriva prelucrrii neautorizate sau ilegale i mpotriva pierderii,
distrugerii sau deteriorrii accidentale, prin luarea de msuri tehnice sau organizaionale
corespunztoare, potrivit art. 5 (1) din RGPD.

Cu toate acestea, transmiterea datelor cu caracter personal ctre persoana vizat poate ridica
anumite probleme de securitate:

Cum se pot asigura operatorii c datele cu caracter personal sunt transmise n mod securizate
persoanei potrivite?

n timp ce portabilitatea datelor are drept scop obinerea datelor cu caracter personal din
sistemul informatic al operatorului, transmiterea poate deveni o posibil surs de risc n ceea ce
privete aceste date (n special bree de securitate n timpul transmiterii). Operatorul este
responsabil pentru luarea tuturor msurilor de securitate necesare pentru a se asigura nu numai
c datele sunt transmise n siguran (prin utilizarea end-to-end sau criptarea datelor) ctre
destinaia corect (prin utilizarea de msuri puternice), ci i c va continua s protejeze datele
cu caracter personal rmase n sistemele sale, precum i proceduri transparente pentru
soluionarea breelor de securitate posibile37. Ca atare, operatorii ar trebui s evalueze
riscurile specifice legate de portabilitatea datelor i s ia msuri corespunztoare de reducere a
riscurilor.


37
Potrivit Directivei (UE) 2016/1148 privind msuri pentru un nivel comun ridicat de securitate a reelelor i a sistemelor informatice n
Uniune

21
Astfel de msuri de reducere a riscurilor ar putea include: folosirea de informaii suplimentare
de autentificare, cum ar fi un secret comun sau un alt factor de autentificare, cum ar fi o
parol ce poate fi folosit o singur dat (onetime password) pentru situaia n care persoana
vizat trebuie deja s fie autentificat; suspendarea sau blocarea transmiterii n cazul n care
exist suspiciunea c respectivul cont a fost compromis; n cazul unei transmiteri directe de la
un operator la altul, ar trebui folosit autentificarea prin mandat, cum ar fi autentificare pe
baz de token.

Astfel de msuri de securitate nu trebuie s fie obstructive n natur i nu trebuie s mpiedice


utilizatorii s i exercite drepturile lor, de exemplu prin impunerea unor costuri suplimentare.

Cum pot fi ajutai utilizatorii s i pstreze datele personale n mod securizat n propriile lor
sisteme?

Prin preluarea datelor personale de la un serviciu on-line, exist ntotdeauna riscul ca


utilizatorii s le stocheze n sisteme cu un grad mai mic de securitate dect cel oferit de
serviciu. Persoana vizat care solicit datele este responsabil pentru identificarea msurilor
potrivite pentru a asigura securitatea datelor cu caracter personal n propriul su sistem. Cu
toate acestea, ar trebui s fie contient de acest lucru, n vederea lurii de msuri pentru a
proteja informaiile pe care le-a primit. Ca un exemplu de practic, operatorii pot recomanda,
de asemenea, formatul/formatele adecvat/adecvatee, instrumente de criptare i alte msuri de
securitate pentru a ajuta persoana vizat n atingerea acestui obiectiv.

* * *

Redactat n Bruxelles, 13 decembrie 2016

Pentru Grupul de Lucru,

Preedinte

Isabelle FARQUE-PIERROTIN

Revizuit i adoptat la 5 aprilie 2017

Pentru Grupul de Lucru,

Preedinte

Isabelle FARQUE-PIERROTIN

22