Artikel 20 i GDPR
Ret til dataportabilitet
Retten til dataportabilitet er en ret, som registrerede har i henhold til GDPR. Denne ret betyder, at registrerede i visse tilfælde har ret til at få deres personoplysninger overført til en anden virksomhed. På den anden side skal det være teknisk muligt for virksomheden at gennemføre overførslen, for at de registrerede kan få denne ret opfyldt.
Registreredes ret til dataportabilitet
Artikel 20 i GDPR regulerer denne ret til dataportabilitet. Denne ret gælder dog kun i visse specifikke situationer, hvis bestemte betingelser er opfyldt. Nedenfor kan du læse mere om den registreredes ret til dataportabilitet. Denne ret er en af de otte grundlæggende rettigheder, som registrerede har i henhold til GDPR.
Formålet med retten til dataportabilitet
Formålet med denne ret er at give de registrerede større indflydelse på deres egne personoplysninger. Denne ret giver dem mulighed for lettere at kopiere, overføre eller flytte personoplysninger fra et IT-miljø til et andet. Tanken er, at dette skal være muligt, uanset om overførslen finder sted til egne systemer, tredjepartssystemer eller andres systemer. Idéen med retten er også, at det skal være let for de registrerede at skifte IT-tjeneste og -udbyder.
De øvrige rettigheder forsvinder ikke, når en registreret anmoder om dataportabilitet
Når en registreret anmoder om at få overført sine personoplysninger, f.eks. fra en social medietjeneste til en anden, betyder det ikke, at de øvrige rettigheder i GDPR ophører. Så længe virksomheden behandler personoplysningerne, har de registrerede deres rettigheder tilbage. Hertil kommer, at dette ikke betyder, at virksomheden skal slette personoplysningerne direkte, da overførslen ikke påvirker den oprindelige opbevaringstid for personoplysningerne.
Når en registreret har ret til at flytte sine personoplysninger via dataportabilitet
Retten til dataportabilitet kan kun anvendes, hvis:
Behandlingen af personoplysninger sker automatisk
Retsgrundlaget for behandlingen er samtykke, eller hvis det er baseret på aftaler med registrerede
Den henviser til personoplysninger, som den registrerede har givet til virksomheden
Overførslen af personoplysninger påvirker ikke tredjemands rettigheder og frihedsrettigheder negativt.
Retten til dataportabilitet gælder ikke, hvis:
Behandlingen af personoplysninger finder sted med henblik på arkivering af forskningsmateriale, kulturarvsmateriale og beskrivelsesdata med henblik på offentlighedens interesse og registreredes rettigheder. Desuden skal behandlingen være forholdsmæssig og nødvendig.
Retningslinjer for retten til dataportabilitet
Hvis du vil vide mere om retten til dataportabilitet, kan du besøge Europa-Kommissionens websted. Derfra kan du downloade et dokument med retningslinjer for retten til dataportabilitet (klik her):
Hvordan virksomheden bør handle, når registrerede anmoder om at få deres personoplysninger overført
Det er vigtigt at have kendskab til, hvordan virksomheden skal handle, når en registreret anmoder om dataportabilitet. Nedenfor er et resumé af nogle vigtige punkter at overveje.
Identificer
Identificer den registrerede, der anmoder om opfyldelse af denne ret. Det er tilladt at bevise identiteten, når registrerede anmoder om at få deres personoplysninger overført, hvis virksomheden ikke er sikker på identiteten.
Svar
Virksomheder skal reagere på den registreredes anmodning om at få deres personoplysninger overført i overensstemmelse med GDPR. Bevarelsen skal finde sted uden unødig forsinkelse, men senest en måned efter selskabets modtagelse af anmodningen. I nogle tilfælde kan det dog være muligt at forlænge fristen. For eksempel, hvis anmodningen vedrører en kompleks sag, eller hvis virksomheden modtog mange anmodninger på samme tid. I sådanne tilfælde kan virksomheden forlænge fristen med yderligere to måneder, men virksomheden skal begrunde afgørelsen over for den registrerede inden for den første måned.
Nægte
I nogle tilfælde kan det være tilladt for virksomheden at nægte at overføre personoplysninger efter anmodning fra en registreret. I sådanne tilfælde skal virksomheden underrette den registrerede om afgørelsen. Dette skal ske inden for en måned og skal omfatte en begrundelse for afgørelsen.
Formular
Når en virksomhed overfører personoplysninger, skal det ske i maskinlæsbar form. Desuden skal den være struktureret og generelt anvendelig. Bemærk, at virksomheden også skal overføre metadata, hvis det er muligt. Den mest hensigtsmæssige form for overførsel af personoplysninger varierer fra sag til sag. Den påvirkes f.eks. af det pågældende område og den type personoplysninger, der er omfattet af overførslen. Virksomheden bør derfor analysere hvert enkelt tilfælde.
Retningslinjer for retten til dataportabilitet
Hvis du ønsker at uddybe din forståelse af retten til dataportabilitet, kan du besøge Europa-Kommissionens websted.
Derfra kan du downloade et dokument med retningslinjer for retten til dataportabilitet
Flere rettigheder i henhold til GDPR
Automatiserede afgørelser
Automatiserede beslutninger betyder f.eks., at en maskine træffer en beslutning i stedet for et menneske. Registrerede har ret til at anmode om, at afgørelsen ikke udelukkende er baseret på automatiserede afgørelser. Eksempler på automatiserede beslutninger er, om en virksomhed udfører en kreditkontrol på en potentiel kunde gennem tekniske algoritmer. Hvis en virksomhed anvender automatiseret beslutningstagning, er virksomheden forpligtet til at informere den registrerede herom.