Retten til dataportabilitet

Retten til dataportabilitet

Retten til dataportabilitet er en rettighet som skal styrke folks kontroll over egne personopplysninger. Rettigheten gjør at kan du få utlevert personopplysninger om deg selv og gjenbruke dem som du vil på tvers av ulike systemer og tjenester. Dette vil gjøre det lettere for deg å bytte tjenesteleverandør, da du enkelt skal kunne ta med deg opplysningene dine til den leverandøren som tilbyr de beste vilkårene.

Hva innebærer retten til dataportabilitet?

Retten til dataportabilitet innebærer to ting:

  1. Den enkelte har rett til å få utlevert personopplysningene sine og å lagre disse på en privat enhet til videre og personlig bruk.
  2. Den enkelte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.

Eksempel på bruk av retten til dataportabilitet

Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig. Tenk deg at du har brukt den samme treningsappen over flere år. Der har du har lagret mye data om dine treningsvaner som hjelper deg å legge opp treningen på en god måte. Nå vil du gjerne prøve ut en ny treningsapp som har kommet på markedet. Med retten til dataportabilitet kan du flytte over alle dine treningsdata til den nye treningsappen.

Påvirker retten til dataportabilitet andre rettigheter?

Når en person utøver retten til dataportabilitet, mister man ikke de andre rettighetene man har til sine opplysninger. Den enkelte kan for eksempel fortsette å bruke tjenesten etter at retten til dataportabilitet har blitt utøvet. Hvis den enkelte ønsker å slette, endre eller få adgang til sine personopplysninger, kan vedkommende gjøre det uavhengig av utøvelse av retten til dataportabilitet.

Retten til dataportabilitet innebærer ikke en automatisk sletting av data i forbindelse med at opplysningene overføres til en annen virksomhet.

Når har den enkelte rett til dataportabilitet?

Personopplysningene som den enkelte ønsker utlevert må være samlet inn av virksomheten på bakgrunn av samtykke eller kontrakt.

Retten til dataportabilitet gjelder kun opplysninger som den enkelte selv har gitt til virksomheten. Det gjelder opplysninger som den enkelte bevisst og aktivt har gitt fra seg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra den enkelte gjennom vedkommendes aktive bruk av en tjeneste, for eksempel lokasjonsdata som blir samlet inn når man bruker en treningsapp.

Personopplysninger som ikke er samlet inn direkte fra den enkelte er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger basert på den enkeltes aktive bruk av en tjeneste, slik som analyser og profiler.

Retten til dataportabilitet kan bare utøves så fremt den ikke krenker andre individers rettigheter eller friheter. Hvis datasettet den enkelte ønsker utlevert og overført til en ny tjenesteleverandør også inneholder opplysninger om andre personer, må disse som hovedregel skilles ut før utlevering. Unntak gjelder for eksempel for kontaktlister og epostkorrespondanse.

Hvis man kun er interessert i å vite hvilke data en virksomhet har samlet inn om seg selv, kan man bruke retten til innsyn i stedet for retten til dataportabilitet. Retten til dataportabilitet er en rettighet som kommer i tillegg til retten til innsyn.

Hvordan skal opplysningene utleveres?

Personopplysningene skal utlevers i et strukturert, alminnelig anvendt og maskinlesbart format slik at de kan overføres til en annen tjenesteleverandør.

Personopplysningsloven gir ikke spesifikke anbefalinger om hvilke formater personopplysningene skal utleveres i. Hvilket format som er mest hensiktsmessig varierer fra sektor til sektor. Det er imidlertid ønskelig at dataformatet ivaretar hensynet til interoperabilitet slik at datasett enklest mulig kan flyttes fra en virksomhet til en annen.

Opplysningene skal oversendes kryptert (eks. ikke ukryptert på epost). Om det er behov for å sende opplysningene videre, bør de sendes på samme måte som de ble sendt i utgangspunktet.

Den enkelte kan også kreve å få opplysningene utlevert til en personlig lagringsenhet eller en betrodd tredjepart. Tredjeparten kan oppbevare og lagre opplysningene på vegne av vedkommende, og gi andre virksomheter tilgang til opplysningene med vedkommendes samtykke. 

Det må legges til rette for at personopplysningene kan overføres direkte til en annen tjenesteleverandør når dette er teknisk mulig.

Før en virksomhet utleverer opplysningene må det benyttes en autentiseringsløsning som verifiserer identiteten til vedkommende som anmoder om dataportabilitet.

Datatilsynet oppfordrer virksomheter til å utvikle felles standarder og automatiserte løsninger for dataoverføring slik at det blir enklest mulig for forbrukerne å benytte sin rett til dataportabilitet.

Hvor raskt må opplysningene utleveres?

Opplysningene skal utleveres så raskt som mulig, og senest innen en måned.

Tidsfristen kan utvides til to måneder hvis utleveringen er svært kompleks og tidkrevende, eller hvis virksomheten mottar mange henvendelser om utlevering samtidig. Hvis virksomheten trenger ekstra tid til å imøtekomme kravet om dataportabilitet, skal dette begrunnes og informeres om innen en måned.

Hvis virksomheten ikke behøver å imøtekomme anmodningen om dataportabilitet, skal den gi informasjon om dette innen en måned. Avslaget må begrunnes, og informasjon om retten til å klage avgjørelsen inn for Datatilsynet eller andre klagemekanismer skal bli gitt.

Virksomheter har ikke lov til å ta gebyr for å imøtekomme kravet om dataportabilitet, med mindre virksomheten kan påvise at kravet om dataportabilitet er grunnløst eller overdrevet i den forstand at kravet stadig gjentas.

 

 

Hvordan skal det informeres om retten til dataportabilitet?

Det må informeres om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.

Virksomheten bør blant annet forklare hvilke typer opplysninger om brukerne som omfattes av retten til dataportabilitet og hvilke som ikke gjør det. Hvis kunden ønsker å slette en konto, bør vedkommende få tydelig informasjon om sin rett til dataportabilitet slik at man har mulighet til å få opplysningene sine utlevert før kontoen slettes.

Hvilket ansvar har virksomheten for opplysningene som overføres eller mottas?

Først og fremst må virksomheten sørge for at opplysningene utleveres på en sikker måte.

Virksomheten som mottar anmodningen om dataportabilitet er ikke ansvarlig for den videre behandlingen av opplysningene etter at de er utlevert.

Virksomheten som mottar opplysningene er ansvarlig for den videre behandlingen av opplysningene. Virksomheten kan ikke behandle opplysningene uten et lovlig behandlingsgrunnlag, og må behandle opplysningene i tråd med kravene i personopplysningsloven. Virksomheten kan for eksempel ikke behandle opplysningene hvis de ikke er relevante og nødvendige for det formålet tjenesten oppgir at de skal brukes til.