Dataportabilitet - alt om reglerne
Dataportabilitet. Overholder du reglerne? Alle der behandler personoplysninger for personer i EU skal overholde GDPR og retten til dataportabilitet. Læs mere om, hvad det er i denne guide.
GDPR indeholder mange komplekse regler. En af reglerne er retten til dataportabilitet. Denne rettighed er en del af det, man kalder for den registreredes rettigheder.
Disse rettigheder går ud på, at hvis du behandler personoplysninger (for eksempel navn, adresse, IP-adresse eller lignende), skal du overholde den registreredes rettigheder.
Dataportabilitet er retten til at få transmitteret data. Læs mere om rettigheden herunder. Har du brug for hjælp til at overholde GDPR, er du velkommen til at kontakte os.
Dataportabilitet
I persondataforordningen er der kommet en ny regel om det, man kalder for 'dataportabilitet'.
Men hvad betyder det så?
Det betyder, at data fremover skal være portabelt. Det er en ret til at kunne tage data fra en virksomhed til en ny uden, at det skal komme den registrerede til last. Fx data fra en bank til en anden.
Reglen er kommet med de nye regler i GDPR, som står for the data protection regulation. Det er en lovgivning fra EU, som i Danmark også er kendt som 'den nye persondataforordning'. Du kan læse mere om selve persondataforordningen i vores artikel: Hvad er persondataforordningen?
Retten til dataportabilitet giver bedre muligheder for den registrerede, da man som kunde bedre kan undgå monopol og konkurrenceforvridende situationer ved kun at kunne være kunde hos et enkelt selskab. Retten til dataportabilitet gør det nemlig lettere for de registrerede at overføre informationer fra et selskab til et andet.
Kontakt os her for at få hjælp til GDPR
Hvad er dataportabilitet?
Men hvad er dataportabilitet så helt præcist?
Som nævnt er det en ret for den registrerede til at få 'transmitteret' data om den registrerede selv fra en dataansvarlig til en anden.
Det kunne for eksempel være fra en bank til en anden. Hvis en kunde i Danske Bank ønsker at flytte bank til Nordea, har kunden ret til at få flyttet sine oplysninger uden hindring. Det er noget, som bankerne i forvejen har gjort, men med retten til dataportabilitet, gælder de samme regler i mange andre tilfælde fx for e-mailudbydere, elselskaber osv.
Dataportabiliteten giver den registrerede en bedre ret til kontrol over egne data og personoplysninger og bedre muligheder for at få flyttet dataen.
Eksempel: Jonas har oprettet nogle 'playlister'/spillelister med særligt udvalgte sange hos TDC Play, men ønsker nu at skifte til Spotify. Jonas synes, det er irriterende at skulle bruge tid på at oprette de samme playlister hos Spotify, så han benytter sig af retten til dataportabilitet hos TDC Play. TDC Play skal dermed overføre data om spillelisterne til Spotify.
Vær dog opmærksom på, at denne ret ikke er den samme som retten til sletning. Oplysningerne bliver nemlig ikke slettet hos den første dataansvarlige. I ovenstående tilfælde vil TDC Play stadig kunne have Jonas' personoplysninger, medmindre Jonas også beder om retten til sletning. Dog må TDC Play selvfølglig ikke opbevare oplysningerne længere end nødvendigt (der skal være et legitimt formål).
Retten til dataportabilitet skal blot ikke forveksles med retten til sletning. Det er to forskellige rettigheder.
Du kan læse mere om alle de registreredes rettigheder længere nede i artiklen.
(Artiklen fortsætter under billedet...)
Retten til dataportabilitet er en rettighed for 'den registrerede' - for eksempel en kunde. Retten giver den registrerede mulighed for at modtage personoplysninger og få transmitteret disse til en anden dataansvarlig i et maskinlæsbart format.
Dataportabilitet i persondataforordningen
Men hvad står der så om dataportabilitet i selve persondataforordningen?
Retten til dataportabilitet står i persondataforordningens artikel 20. Der står direkte i lovteksten:
"1. Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig, og har ret til at transmittere disse oplysninger til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne er blevet givet til, når"
I denne paragraf står der, at den registrerede har ret til at modtage og sende oplysningerne videre. Oplysningerne skal være i et 'almindeligt anvendt' og 'maskinlæsbart' materiale. Der er ikke nogle nærmere krav til selve formatet end dette.
Dog er der 2 krav, som skal være opfyldt, før den registrerede kan benytte sig af retten til dataportabilitet. Der står direkte i lovteksten i GDPR:
"a) behandlingen er baseret på samtykke, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), eller på en kontrakt, jf. artikel 6, stk. 1, litra b), og
b) behandlingen foretages automatisk"
Det første krav går ud på, at behandlingsgrundlaget skal være samtykke eller kontrakt.
For at måtte behandle personoplysninger lovligt, skal du have en gyldig grund til dette. Det kan for eksempel være ved at have fået lov (samtykke), eller fordi du er nødt til det for at kunne overholde en aftale (kontrakt). Dette kaldes også for behandlingsgrundlaget. Eller lovhjemlen.
Hvis dit behandlingsgrundlag er samtykke eller kontrakt, er første krav opfyldt.
Det andet krav er, at behandlingen skal foretages automatisk. Hvis behandlingen foretages manuelt, vil kravet ikke være opfyldt. Hvis den registrerede opretter en playliste på Spotify, vil behandlingen foretages automatisk. Der er ikke en medarbejder ansat hos Spotify, der skal gå ind og oprette playlisten - det er noget, som den registrerede selv foretager, og behandlingen sker automatisk.
Der er nogle få undtagelser til reglen. For eksempel er det ikke en ret ved behandling af personoplysninger af offentlige myndigheder, men artikel 29-gruppen anbefaler dog, at offentlige myndigheder tilbyder dette, da det er god praksis.
Retten til at få flyttet data
GDPR indeholder også en ret for den registrerede til at få flyttet data. Det gælder, hvis den registrerede har ret til dataportabilitet.
Som nævnt ovenfor har den registrerede ret til dette, hvis de 2 krav er opfyldt: 1) behandlingsgrundlaget skal være samtykke eller kontrakt og 2) behandlingen skal ske automatisk.
Hvis den registrerede har ret til dataportabilitet, indebærer det også en ret til at få flyttet oplysningerne direkte fra en dataansvarlig til en anden. Det er dog kun, hvis det er teknisk muligt.
Det betyder, at den registrerede ikke blot har ret til at få udleveret sine data, så den registrerede eventuelt kan bruge det hos en anden udbyder. Den registrerede har også ret til, at den dataansvarlige flytter oplysningerne på vegne af den registrerede.
Helt præcist står der følgende i forordningen:
"2. Når den registrerede udøver sin ret til dataportabilitet i henhold til stk. 1, har den registrerede ret til at få transmitteret personoplysningerne direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt."
Med andre ord skal den dataansvarlige selv overføre dataene uden den registrerede behøves at foretage yderligere - så længe det er teknisk muligt for den dataansvarlige.
Hvem skal overholde reglerne for dataportabilitet?
Alle, som er omfattet af GDPR, skal overholde reglerne om dataportabilitet.
Men hvem skal egentlig overholde GDPR og persondataforordningen?
Her hos Persondatakonsulenterne støder vi tit på den påstand, at GDPR ikke gælder for virksomheder, der sælger til andre virksomheder (det, man også kalder for b2b/buyer to buyer).
Det er forkert!
Hvis du behandler personoplysninger for personer i EU, skal du overholde GDPR herunder også reglerne om dataportabilitet.
Husk, at en personoplysning også bare kan være et navn, en IP-adresse eller lignende. Hvis du for eksempel modtager e-mails, vil du også behandle personoplysninger, og dermed skal du overholde GDPR. Dette gælder også selvom du kun har erhvervsdrivende som kunder.
Alle virksomheder, organisationer, myndigheder og lignende, som behandler personoplysninger skal derfor overholde reglerne.
Alle de registreredes rettigheder
Den registrerede har ret til dataportabilitet - altså at få udleveret og flyttet data, hvis visse betingelser er opfyldt. Dette er en del af det, man kalder for 'de registreredes rettigheder'.
Den registrerede har nemlig en række rettigheder.
Udover retten til dataportabilitet har den registrerede kort fortalt følgende rettigheder:
- Ret til at blive oplyst om, at der indsamles og behandles personoplysninger i den pågældende virksomhed
- Ret til løbende at få indsigt i, hvordan oplysningerne behandles
- Ret til at få berigtiget urigtige data og begrænset behandlingen
- Ret til at få slettet data
- Ret til at gøre indsigelse over oplysninger behandles og videregives
- Ret til at tilbagekalde samtykke
- Ret til at klage til Datatilsynet
Denne artikel omhandler kun retten til dataportabilitet og vil derfor ikke komme nærmere ind på alle den registreredes rettigheder.
Hvis du har brug for mere hjælp til den registreredes rettigheder, er du velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe dig.
Hvad sker der, hvis reglerne om bl.a. dataportabilitet ikke overholdes?
Hvis du ikke overholder reglerne i GDPR - for eksempel om dataportabilitet - har den registrerede (for eksempel en kunde) mulighed for at klage til Datatilsynet.
Når Datatilsynet modtager en klage fra den registrerede skal Datatilsynet reagere på den.
Datatilsynet er tilsynsmyndighed i Danmark og skal sikre, at alle virksomheder, organisationer og lignende overholder GDPR.
Hvis reglerne ikke overholdes, kan de give påbud eller sanktionere med bøder.
Udover at reagere på klager kan Datatilsynet også foretage en stikprøve og komme besøg i din virksomhed/organisation.
Ved et tilsyn skal du kunne påvise, at du overholder GDPR og bl.a. den registreredes rettigheder.
Brug for mere hjælp til GDPR?
Har du brug for mere hjælp til persondataforordningen/GDPR?
Her hos Persondatakonsulenterne hjælper vi dig med at kunne overholde reglerne i bl.a. GDPR. Vi hjælper dig med at blive 'compliant' ved at rådgive, give 'hands-on'-råd samt sparre om, hvordan du kan efterleve de komplekse regler i praksis på en letforståelig måde, så du forstår, hvordan du kan overholde GDPR.
Vi kan både hjælpe med at sørge for, at du overholder den registreredes rettigheder, men også alle andre dele inden for persondataret og GDPR.
Du kan kontakte os herunder for uforpligtende at høre nærmere om, hvordan vi kan hjælpe dig:
Kontakt os her for at få hjælp til GDPR
DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.
Skrevet af: Lars Due Nielsen
Sådan registrerer du lovligt information om gæster på din restaurant under Corona