Artikkel 20 GDPR
Rett til dataportabilitet
Retten til dataportabilitet er en rettighet som registrerte har under GDPR. Denne retten innebærer at de registrerte i noen tilfeller har rett til å få sine personopplysninger overført til et annet selskap. På den annen side må det være teknisk mulig for selskapet å gjennomføre overføringen for at de registrerte skal kunne nyte godt av denne retten.
Den registrertes rett til dataportabilitet
Artikkel 20 i GDPR regulerer denne retten til dataportabilitet. Denne retten gjelder imidlertid bare i visse spesifikke situasjoner dersom bestemte vilkår er oppfylt. Nedenfor finner du mer informasjon om den registrertes rett til dataportabilitet. Denne retten er en av de åtte grunnleggende rettighetene som GDPR gir de registrerte.
Formålet med retten til dataportabilitet
Formålet med denne retten er å gi de registrerte større innflytelse over sine egne personopplysninger. Denne retten tillater dem å kopiere, overføre eller flytte personopplysninger lettere fra ett IT-miljø til et annet. Dette er ment å være mulig uavhengig av om overføringen er til egne systemer, tredjeparts systemer eller andres. Rettigheten er også ment å gjøre det enkelt for datasubjekter å bytte IT-tjeneste og tjenesteleverandør.
De andre rettighetene forsvinner ikke når en registrert ber om dataportabilitet
Når en registrert ber om overføring av hans eller hennes personopplysninger, for eksempel fra en sosial medietjeneste til en annen, setter dette ikke en stopper for de andre rettighetene i GDPR. Så lenge selskapet behandler personopplysningene, beholder de registrerte sine rettigheter. I tillegg krever det ikke at selskapet sletter personopplysningene direkte, da overføringen ikke påvirker den opprinnelige oppbevaringsperioden for personopplysningene.
Når en registrert har rett til å flytte sine personopplysninger gjennom dataportabilitet:
Retten til dataportabilitet kan bare iverksettes dersom:
Behandlingen av personopplysninger er automatisert
Det rettslige grunnlaget for behandlingen er samtykke eller hvis det er basert på en kontrakt med registrerte
Det gjelder personopplysninger gitt av datasubjektet til selskapet
Overføring av personopplysninger påvirker ikke tredjeparts rettigheter og friheter negativt
Retten til dataportabilitet gjelder ikke dersom:
Behandlingen av personopplysninger utføres med det formål å arkivere forskningsmateriale, kulturarvsmateriale og beskrivelsesdata med en offentlig interesse i tankene og de registrertes rettigheter. I tillegg må behandlingen være forholdsmessig og nødvendig.
Hvordan selskapet bør handle når registrerte ber om overføring av personopplysninger
Det er viktig å vite hvordan man skal handle når en registrert ber om dataportabilitet. Nedenfor er en oppsummering av noen viktige punkter å vurdere.
Identifisere
Identifisere den registrerte som ber om håndhevelse av denne rettigheten. Identitetsbevis er tillatt når de registrerte ber om overføring av sine personopplysninger dersom selskapet ikke er sikker på identiteten.
Svar fra
Bedrifter må svare på den registrertes forespørsel om å få sine personopplysninger overført i samsvar med GDPR. Tilbakeholdelsen skal skje uten unødig opphold og senest innen én måned etter at selskapet har mottatt anmodningen. På den annen side kan en forlengelse av fristen tillates i visse tilfeller. For eksempel, hvis forespørselen gjelder en kompleks sak eller hvis selskapet mottok mange forespørsler samtidig. I slike tilfeller kan selskapet forlenge fristen med ytterligere to måneder, men selskapet må begrunne avgjørelsen overfor den registrerte innen den første måneden.
Nekter
I noen tilfeller kan det være tillatt for selskapet å nekte å overføre personopplysninger som forespurt av en registrert. I slike tilfeller må selskapet informere den registrerte om avgjørelsen. Dette skal gjøres innen en måned og skal inneholde en begrunnelse for beslutningen.
Skjema
Når et selskap overfører personopplysninger, skal det gjøre det i maskinlesbar form. I tillegg skal den være strukturert og være til generell bruk. Vær oppmerksom på at selskapet også skal overføre metadata der det er mulig. Det mest hensiktsmessige skjemaet for overføring av personopplysninger er forskjellig fra sak til sak. For eksempel avhenger det av emnet og typen personopplysninger som overføres. Derfor bør selskapet analysere hvert enkelt tilfelle individuelt.
Retningslinjer for retten til dataportabilitet
For mer detaljert informasjon om retten til dataportabilitet, besøk Europakommisjonens nettsted. Derfra kan du laste ned et dokument med retningslinjer for retten til dataportabilitet (klikk her):
Flere rettigheter i GDPR
Automatiserte avgjørelser
Automatiserte beslutninger betyr for eksempel at en maskin tar en avgjørelse i stedet for et menneske. De registrerte har rett til å be om at avgjørelsen ikke bare er basert på automatiserte beslutninger. Eksempler på automatiserte beslutninger er hvor et firma utfører en kredittverdighetsvurdering på en potensiell klient gjennom tekniske algoritmer. Hvis et selskap bruker automatisert beslutningstaking, er selskapet forpliktet til å informere den registrerte om dette.