Dataportabilitet

Dataportabilitet er den registreredes ret til at modtage sine persondata i et struktureret, maskinlæsbart format og overføre dem til en anden tjenesteudbyder. Retten følger af GDPR artikel 20 og styrker den enkeltes kontrol over egne data.

Tilbage til ordbog

Hvad er dataportabilitet?

Dataportabilitet er en af de rettigheder, GDPR giver den registrerede. Retten er beskrevet i artikel 20 og indeholder to elementer:

Retten til at modtage sine persondata i et struktureret, almindeligt anvendt og maskinlæsbart format
Retten til at overføre disse data til en anden dataansvarlig uden hindring

Formålet er at styrke den enkeltes kontrol over egne data og fremme konkurrencen mellem tjenesteudbydere. Hvis du er utilfreds med din nuværende leverandør, skal du kunne tage dine data med og skifte.

Retten gælder kun for data, den registrerede selv har afgivet. Det inkluderer aktivt afgivne oplysninger (fx navn og e-mail i en formular) og observerede data (fx brugshistorik), men ikke data, som den dataansvarlige selv har skabt eller udledt.

Hvornår gælder retten?

Retten til dataportabilitet gælder kun, når to betingelser er opfyldt samtidig:

Behandlingsgrundlaget er samtykke eller kontrakt: Retten gælder ikke, når behandlingen er baseret på legitim interesse, retlig forpligtelse eller andre grundlag i artikel 6.
Behandlingen foretages automatisk: Retten gælder ikke for manuelt behandlede data, fx papirarkiver.

Det betyder i praksis, at retten er mest relevant for digitale tjenester, hvor brugeren har oprettet en konto og afgivet data som led i en kontrakt eller på baggrund af samtykke.

Du skal som dataansvarlig besvare en anmodning om dataportabilitet inden en måned. I komplekse tilfælde kan fristen forlænges med to måneder, men du skal informere den registrerede om forsinkelsen inden den første måned.

Dataportabilitet i praksis

Når en registreret anmoder om dataportabilitet, skal du levere data i et format, der er let at genbruge. GDPR nævner ikke et specifikt format, men almindelige valg er CSV, JSON eller XML.

Hvis det er teknisk muligt, kan den registrerede også bede dig overføre data direkte til en anden dataansvarlig. Du er ikke forpligtet til at opbygge kompatible systemer, men du må ikke skabe tekniske barrierer, der hindrer overførslen.

Praktiske tiltag for at håndtere portabilitetsanmodninger:

Etablér en procedure for at modtage og behandle anmodninger
Sørg for, at dine systemer kan eksportere data i et maskinlæsbart format
Verificér identiteten på den, der anmoder (du må ikke udlevere data til forkerte personer)
Dokumentér anmodninger og svar i din fortegnelse

Husk, at dataportabilitet ikke automatisk sletter data hos dig. Hvis den registrerede også vil have data slettet, skal de fremsætte en separat anmodning om ret til sletning.

Forskel på dataportabilitet og indsigtsret

Dataportabilitet og indsigtsret ligner hinanden, men der er vigtige forskelle:

Indsigtsret (artikel 15) giver ret til at se alle persondata, uanset behandlingsgrundlag. Formatet er menneskelæsbart.
Dataportabilitet (artikel 20) gælder kun for samtykke-/kontraktbaseret automatisk behandling. Formatet er maskinlæsbart, designet til genbrug.

Indsigtsretten er bredere i omfang (alle behandlingsgrundlag), mens dataportabilitet er mere specifik men giver et mere anvendeligt output til overførsel.

Ofte stillede spørgsmål om dataportabilitet

Hvad er dataportabilitet?

Dataportabilitet er retten til at modtage sine persondata i et struktureret, almindeligt anvendt og maskinlæsbart format og overføre dem til en anden dataansvarlig. Retten følger af GDPR artikel 20 og gælder, når behandlingen er baseret på samtykke eller kontrakt og foretages automatisk.

Hvornår gælder retten til dataportabilitet?

Retten gælder, når to betingelser er opfyldt: behandlingen er baseret på samtykke eller en kontrakt, og behandlingen foretages automatisk (dvs. ikke manuelt). Retten gælder ikke for data, der behandles med hjemmel i fx legitim interesse eller retlig forpligtelse.

Hvilke data er omfattet af dataportabilitet?

Retten omfatter persondata, som den registrerede selv har afgivet til den dataansvarlige. Det inkluderer aktivt afgivne data (fx formularudfyldninger) og observerede data (fx brugshistorik), men ikke afledte data eller analyser, som den dataansvarlige har skabt.

I hvilket format skal data udleveres?

GDPR kræver et struktureret, almindeligt anvendt og maskinlæsbart format. Det kan fx være CSV, JSON eller XML. Der er ikke krav om et specifikt format, men det skal være let at genbruge i andre systemer.