phone icon

Persondataloven - hvad er dataportabilitet?

Hovedformålet med indførelsen af EUs Databeskyttelsesforordning i maj 2018 er at styrke e-handel på tværs af landegrænser.

Dataportabilitet

Ved indførelsen af forordningens artikel 20 er det intentionen, at der skabes tillid til, at ens persondata beskyttes således, at der kan ske fri udveksling af persondata.

Den enkelte borger får med forordningen en lang række rettigheder, herunder:

  • Ret til løbende at få indsigt i, hvordan ens persondata behandles
  • Ret til at få berigtiget urigtige persondata og begrænset behandlingen
  • Ret til at få slettet persondata - retten til at blive glemt
  • Ret til at gøre indsigelse over, at ens persondata behandles og videregives til f.eks. markedsføringsformål
  • Ret til at kunne få udleveret sine persondata, så de kan overføres til anden udbyder (dataportabilitet)
  • Ret til at tilbagekalde samtykke
  • Ret til at klage til Datatilsynet

I nærværende blog gennemgås retten til dataportabilitet, eller på dansk: Brugerens ret til at have kontrol over egne data.

Retten til dataportabilitet vil sige, at den registrerede dvs. den person, hvis persondata bliver behandlet af en dataansvarlig, har ret til at få udleveret sine persondata, så de kan overflyttes til anden udbyder, f.eks. fra Facebook til Google+.

Formålet er at give den registrerede kontrol over egne persondata, da retten letter deres adgang til at flytte og kopiere eller transmittere persondata fra et IT-miljø til et andet.

Det kan være, at den registrerede skifter job og dermed webmail-udbyder. Leverandøren af den tidligere arbejdsplads' webmail er dermed dataansvarlig (den juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af persondata), og skal udlevere data, til den nye dataansvarlig, hvis den registrerede kræver det.

Et eksempel på den registreredes mulighed for at modtage egne persondata til eget brug er f.eks., at den registrerede kan modtage en liste over deres kontaktpersoner fra den pågældendes webmail-udbyder.

Det kan også være hvis den registrerede skifter streamingtjeneste. Så kan den registrerede ønske at modtage en eksisterende spilleliste med musik fra en pågældendes musikstreamingtjeneste i et struktureret, almindeligt anvendt og maskinlæsbart format.

For den registrerede kan det derfor være en fordel at tænke i kompatible dataformater, når persondata skal videregives til en dataansvarlig.

Opfyld kravet før dataportabilitet er en mulighed

Det er et krav, for at den registrerede kan påberåbe sig dataportabilitet, at vedkommende selv har givet dataene til en dataansvarlig.

Dette kan omfatte persondata, som den registrerede har givet til den dataansvarlige - om sig selv i et struktureret, almindeligt anvendt og maskinlæsbart format. Det kan endvidere være via en formular på internettet, som f.eks. kontaktoplysninger og brugernavn ved oprettelse af en profil eller internetkøb mv.

Det betyder, at persondata den registrerede har givet i en webformular, f.eks. cpr. nr., har den registrerede ret til at forblive fortrolige, dvs. beskyttet. I den forbindelse bør den dataansvarlige opfordres til at udvikle indbyrdes kompatible formater, der muliggør dataportabilitet fremadrettet.

Tre kumulative betingelser

Ifølge databeskyttelsesforordningen er der tre kumulative betingelser, som skal være opfyldt for at den registrerede har ret til dataportabilitet:

  • For det første skal behandlingen af persondata være omfattet af betingelserne i artikel 20, stk. 1, litra a og litra b:
    • at behandlingen af den registreredes persondata enten er baseret på den registreredes samtykke eller er nødvendig for opfyldelsen af en kontrakt.
    • at behandlingen skal foretages automatisk, førend den registrerede har ret til dataportabilitet. Det betyder f.eks., at persondata, der behandles manuelt, ikke er omfattet af den registreredes ret til dataportabilitet.
  • Dernæst skal de persondata, som ønskes overført, omhandle den registrerede selv, og vedkommende skal have givet disse persondata til en dataansvarlig, jf. artikel 20, stk. 1.
  • Endelig må retten til dataportabilitet ikke krænke andres rettigheder eller frihedsrettigheder, jf. artikel 20, stk. 4.

Data, der er skabt på baggrund af de persondata, som den registrerede har givet den dataansvarlige, er ikke omfattet af retten til dataportabilitet. Sådanne udledte data kan være: kreditvurdering, personaliserede anbefalinger på webshops ud fra tidligere køb eller helbredsoplysninger på baggrund af brugen af en fitness-app.

En lignende rettighed findes ikke i databeskyttelsesdirektivet eller persondataloven (gældende lov), men tanken om portabilitet har været kendt længe indenfor andre områder f.eks. kommunikationservices og ved regulering af visse kontrakters udløb.

Forberedte virksomheder klarer skærerne

I praksis vil dataportabilitet have størst betydning i forhold til virksomheder, hvis formål er at behandle persondata og sociale medier.

Som virksomhed skal du være forberedt på:

  • At personer har krav på at få udleveret eller flyttet alle persondata, som din virksomhed besidder om den pågældende person.
  • At såfremt formålet med din virksomhed er at behandle persondata, såsom at drive et socialt medie, skal dine systemer kunne håndtere udlevering af persondata.
  • At du skal kunne udlevere persondata i et struktureret og almindelig anvendt maskinlæsbart format.

Det er alfa og omega for virksomheder, der opfylder ovenstående punkter, at være forberedte på den nye virkelighed, når brugerene begynder at kræve deres data udleveret. Det drejer sig bl.a. om at have opsat de rette processer og muligvis rekruttering af nye medarbejdere til at holde styr på disse processer.

Som en god praksis bør It-operatører og andre virksomheder, der behandler persondata, implementere løsninger, der kan håndtere dataportabilitet, f.eks. forespørgsler fra den registrerede, om adgang til persondata. Samtidig skal de garantere, at persondata er beskyttede, også i forbindelse med overførsel til anden dataansvarlig, herunder i et kompatibelt dataformat.

Overførsel af persondata er en potentiel risiko for brud på persondataloven. Det er den dataansvarlige, der har ansvaret for dataene i forbindelse med overførslen til den rette modtager, f.eks. ved brug af kryptering eller anden godkendelse. Disse sikkerhedsmæssige foranstaltninger må ikke forhindre den registreredes rettigheder eller tilføje dem yderligere omkostninger.

Den registrerede skal tilsvarende selv tage ansvar for deres persondata, f.eks. når dataene trækkes ud fra en online service til et mindre sikkert sted/miljø end hos den dataansvarlige. Den dataansvarlige bør anbefale velegnede dataformater og krypteringsmetoder i tilfælde af dataudtræk.


***

redWEB står til rådighed vedr. spørgsmål fra kunder og samarbejdspartnere omkring persondataloven. Vi yder dog ikke professionel juridisk rådgivning, det er blot vores vurdering. Er der behov for særlig rådgivning, bør man henvende sig til en specialist på det pågældende område.

***

  • Jim Vestergaard
    C.S.O
    (+45) 22 91 96 84
    Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
Skal vi hjælpe jer med persondata?

Vi kan hjælpe jer med at skabe overblik og udarbejde en plan for jeres persondata-indsatser. Kontakt os nu og lad os få en snak om hvordan vi kommer i gang. 

Kontakt os her