Artikel 20 i GDPR
Rätten till dataportabilitet
Rätten till dataportabilitet är en rättighet som registrerade har enligt GDPR. Denna rättighet innebär att registrerade i vissa fall har rätt att få sina personuppgifter överförda till ett annat företag. Däremot måste det vara tekniskt möjligt för företaget att kunna genomföra överföringen, för att registrerade ska kunna få denna rättighet tillgodosedd.
Registrerades rätt till dataportabilitet
Artikel 20 i GDPR reglerar denna rätt till dataportabilitet. Denna rättighet gäller dock enbart i vissa specifika situationer om särskilda villkor är uppfyllda. Nedan kan du läsa mer om den registrerades rätt till dataportabilitet. Denna rättighet utgör en av de åtta fundamentala rättigheter som registrerade har enligt GDPR.
Syftet med rätten till dataportabilitet
Syftet med denna rättighet är att de registrerade ska få ett större inflytande över sina egna personuppgifter. Genom denna rättighet kan de enklare kopiera, överföra eller flytta personuppgifterna från en it-miljö till en annan. Tanken är att detta ska kunna ske oavsett om överföringen sker till egna system, tredje parts system eller andras system. Tanken med rättigheten är även att det ska vara enkelt för registrerade att byta it-tjänst och tjänsteleverantör.
Två dokument företag kan behöva
- Integritetsmeddelande
- Interna rutiner
The other rights do not cease when a data subject requests data portability
When a data subject requests to have his or her personal data transferred, such as from one social media service to another, this does not mean that the other rights in the GDPR cease. As long as the company processes the personal data, the data subjects retain their rights under the GDPR.
In addition, a transfer of personal data under the right to data portability does not mean that the company has to delete the personal data directly. The transfer does not affect the original storage duration of the personal data.
När en registrerad har rätt att flytta sina personuppgifter genom dataportabilitet
Rätt till dataportabilitet kan enbart bli tillämpat om:
Behandlingen av personuppgifter är automatisk
Den rättsliga grunden för behandlingen är samtycke eller ifall det är baserat på avtal med registrerade
Det avser personuppgifter som den registrerade har lämnat till företaget
Överföringen av personuppgifter inte har en negativ inverkan på de rättigheter och friheter som tredje parter har.
Behandlingen av personuppgifter är automatisk
Den rättsliga grunden för behandlingen är samtycke eller ifall det är baserat på avtal med registrerade
Det avser personuppgifter som den registrerade har lämnat till företaget
Överföringen av personuppgifter inte har en negativ inverkan på de rättigheter och friheter som tredje parter har.
Rätt till dataportabilitet gäller inte om:
Behandlingen av personuppgifter sker för arkiveringssyfte av forskningsmaterial, kulturarvsmaterial och beskrivningsuppgifter med ett allmänt intresse i åtanke och de rättigheter som registrerade har. Dessutom måste behandlingen vara proportionerlig och nödvändig.
De andra rättigheterna försvinner inte när en registrerad begär dataportabilitet
När en registrerad begär att få sina personuppgifter överförda, såsom från en sociala medier-tjänst till en annan, innebär det inte att de andra rättigheterna i GDPR upphör. Så länge företaget behandlar personuppgifterna, har de registrerade sina rättigheter kvar. Dessutom innebär det inte att företaget måste radera personuppgifterna direkt, eftersom överföringen inte påverkar den ursprungliga förvaringstiden av personuppgifterna.
Hur företaget ska agera när registrerade begär att få sina personuppgifter överförda
Det är viktigt att ha kunskap om hur företaget ska agera, när en registrerad begär dataportabilitet. Nedan följer en sammanfattning av några viktiga punkter att tänka på.
Identifiera
Identifiera den registrerade som begär att få denna rättighet tillgodosedd. Det är tillåtet att styrka identiteten när registrerade begär att få sina personuppgifter överförda om företaget inte är säker på identiteten.
Svara
Företag måste svara på den registrerades begäran att få sina personuppgifter överförda i enlighet med GDPR. Bevarandet ska ske utan onödigt dröjsmål, dock senast inom en månad från och med att företaget mottagit begäran. Däremot kan det i vissa fall vara tillåtet att förlänga tidsfristen. Exempelvis om begäran avser ett komplicerat ärende eller om företaget mottagit många begäranden samtidigt. Vid sådana fall kan företaget förlänga tidsfristen i ytterligare två månader, men företaget måste motivera beslutet till den registrerade inom den första månaden.
Vägra
I vissa fall kan det vara tillåtet för företaget att vägra att överföra personuppgifter enligt en begäran från en registrerad. Vid sådana fall måste företaget informera den registrerade om beslutet. Detta ska ske inom en månad och ska inkludera en motivering till beslutet.
Form
När ett företag överför personuppgifter, ska det ske i maskinläsbar form. Dessutom ska det vara strukturerat och allmänt användbart. Observera att företaget också ska överföra metadata om det är möjligt. Den lämpligaste formen att överföra personuppgifterna skiljer sig åt från fall till fall. Exempelvis påverkas det av vilket område det gäller samt vilken typ av personuppgifter som överföringen omfattar. Därför bör företaget analysera varje enskilt fall.
Riktlinjer om rätten till dataportabilitet
Om du vill fördjupa dig mer inom rätten till dataportabilitet, kan du besöka EU-kommissionens webbplats. Därifrån kan du ladda ner ett dokument med riktlinjer om rätten till dataportabilitet (klicka här):
Fler rättigheter i GDPR
Rättigheten automatiserade beslut
Automatiserade beslut innebär att till exempel en maskin fattar ett beslut istället för en människa. Registrerade har rätt att begära att beslutet inte enbart ska grunda sig på automatiserade beslut. Exempel på automatiserade beslut är om ett företag utför en kreditprövning på en potentiell kund genom tekniska algoritmer. Om ett företag använder automatiserat beslutsfattande, är företaget skyldigt att informera den registrerade om detta.