Dataportabilitet giver personer ret til at have mere kontrol over deres personoplysninger. Denne nye rettighed kan medføre betydelige omkostninger for organisationer, men den giver også en strategisk mulighed.

Ifølge IAPP´s årlige Privacy Governance-rapport 2016 påpeger en række dataansvarlige, at følgende tre aspekter af GDPR er de mest udfordrende at implementere for deres organisation:

  1. Retten til at blive glemt
  2. Dataportabilitet
  3. Indsamling af udtrykkeligt samtykke

Vi kigger her nærmere på, hvorfor dataportabilitet fortjener opmærksomhed, og hvordan det både repræsenterer en risiko såvel som en strategisk mulighed.

Hvad er dataportabilitet?
Dataportabilitet består af:

  1. Evnen og kapaciteten til at eksportere data, der indsamles eller gemmes digitalt vedrørende en registreret
  2. Evnen til at modtage data om den registrerede og tillade en anden ansvarlig at modtage de flytbare data

Kravet om dataportabilitet indebærer både et krav til virksomheder og organisationers tekniske design og et krav til at efterleve de registreredes rettigheder. Fra et teknisk perspektiv bliver de dataansvarlige nødt til at sikre, at de af deres systemer, produkter, applikationer og enheder, der indsamler og lagrer information om registrerede, også kan portere og transmittere data. Det kræver i visse tilfælde, at de ansvarlige justerer eller redesigner dem. Desuden skal den nye porteringsfunktionalitet eksportere data i et struktureret, almindeligt anvendt og maskinlæsbart format, så genbrug af data er muligt for den nye dataansvarlige.

Dataportabilitet giver en ny ret for personer til at udøve mere kontrol med deres egne data. Det bliver således muligt for personer at modtage personoplysninger om sig selv, som de har givet til en dataansvarlig. De dataansvarlige vil derfor være nødt til at etablere og implementere processer, der understøtter behandlingen af registreredes krav – enten på en manuel eller en automatiseret måde.

Efter at have modtaget oplysningerne skal personen kunne sende disse oplysninger til en anden dataansvarlig uden at skabe en ekstra byrde eller hindring for den tidligere dataansvarlige. Retten til at portere data indebærer også, at hvor det er teknisk muligt, vil personoplysninger blive sendt direkte fra én ansvarlig til en anden. Vær opmærksom på, at retten til at anmode om en kopi i et maskinlæsbart format kun er muligt, hvis de pågældende oplysninger blev:

  1. Givet af personen til den ansvarlige
  2. Behandlet på automatiseret vis
  3. Behandlet baseret på samtykke eller opfyldelse af en kontrakt

Knyttet til andre rettigheder
Dataportabilitet er en del af et større udvidelse af registreredes rettigheder, nemlig adgang til og rettelse eller sletning af personoplysninger, retten til at modsætte sig beslutninger baseret på automatiske behandling samt at informere registrerede om brud på personoplysninger.

Her vil dataansvarlige også være nødt til at implementere understøttende processer for at kunne opfylde disse krav. For en dataansvarlig kunne en anmodning om at portere data indebære, at man iværksætter forskellige handlinger, som svarer til at imødekomme andre af den registreredes rettigheder. For det første er man muligvis nødt til at give personen adgang til sine personoplysning, så han ved, hvilke personoplysninger der behandles. For det andet skal man kunne rette unøjagtigheder, hvis personen ønsker det; og for det tredje er man måske nødt til at slette alle personoplysninger (i overensstemmelse med etablerede opbevaringsplaner og juridiske kontrakter), hvis personen beder om at få overført sine data til en anden tjenesteudbyder. Derfor kan tre rettigheder for registrerede blive påvirket, når man behandler én dataportabilitetsrelateret anmodning.

Bemærk dog, at retten til adgang, rettelse og sletning af oplysninger ikke er lig med retten til dataportabilitet. Den kan blot betyde, at de kan være nødvendige for at facilitere retten til dataportabilitet.

I praksis
I praksis betyder det, at man er nødt til at give klienter og kunder en kopi af alle de personoplysninger, man har på dem, og at man er i stand til at overføre oplysningerne til en anden dataansvarlig eller tjenesteudbyder. De oplysninger man har om en kunde eller klient er fortolket som alle de oplysninger, personen aktivt og bevidst har givet. Dette gælder blandt andet oplysninger, personen har givet ved hjælp af en tjeneste eller enhed (for eksempel lokaliseringsdata eller heartbeat fra en fitness tracker). Det er derfor potentielt en stor mængde oplysninger.

Desuden skal oplysningerne gives på en måde, der muliggør genbrug. Eksempelvis skal e-mails gives i et format, der bevarer alle metadata for at tillade effektivt genbrug. Levering af e-mails i PDF-format er ikke tilstrækkeligt, da dette er utilstrækkeligt for at genbruge. Det kan være tidskrævende at efterkomme en anmodning om dataportabilitet, og det kan medføre betydelige omkostninger for mange organisationer, der ikke allerede har indført en privacy by design-tilgang til at designe og opbygge deres systemer og digitale produkter.

Stor indvirkning
At denne rettighed forventes at have en stor indvirkning på virksomhederne, skyldes, at det ændrer forholdet mellem personer og de dataansvarlige. Personer er eksempelvis i stand til at flytte deres oplysninger på tværs af forskellige platforme via for eksempel et direkte downloadværktøj eller en applikation. Til sidst modtager den platform, som personen foretrækker, alle personoplysningerne. Hvis man ikke er den foretrukne platform, kan man være forpligtet til at overføre sine oplysninger til en konkurrent og potentielt blive bedt om at slette værdifulde oplysninger, som man har indsamlet gennem årene. Dette fører til større konkurrence mellem de dataansvarlige og bør tages i betragtning ved fastlæggelsen af ens forretningsstrategi.

Gør det til en fordel
Forsøg at være effektiv. Ansvarlige skal være i stand til at efterkomme anmodninger uden unødig forsinkelse og under alle omstændigheder senest en måned efter modtagelsen af anmodningen. Hvis man implementerer en proces til at portere data, bør man gennemføre en procedure for at behandle andre kunders anmodninger i henhold til lovgivningen og yde ekstra tjenester, for eksempel ved at garantere højere datasikkerhed.

Tænk over at udvikle et brugervenligt værktøj eller en grænseflade, der involverer kunderne og giver dem mere gennemsigtighed, indsigt og kontrol med deres egne oplysninger end konkurrenterne.

Denne ret giver kunder mulighed for lettere at skifte tjenesteudbyder. Sørg for, at de overfører deres personoplysninger til din organisation og ikke til din konkurrents.