Dataportabilitet är en nyhet i den nya dataskyddsförordningen. I korta drag innebär den att den som lämnat sina personuppgifter till ett företag, under vissa förutsättningar, har rätt att få ut och överföra sina personuppgifter till ett annat, konkurrerande företag. Som privatperson kommer man till exempel kunna flytta det man sparat på en social medietjänst till en annan.
Förordningens syfte är att ge tillbaka kontrollen över personuppgifter till EU:s medborgare. Dataportabilitet är ett sätt att uppnå detta mål, genom att medborgarna ska ha möjlighet att få ut och vidarebefordra de personuppgifter man delat med sig av. Detta ska i sin tur motverka inlåsningseffekter och även skapa möjligheter till innovativa tekniska lösningar för en trygg och säker överföring. Artikel 29-gruppen* kom i slutet av 2016 ut med en vägledning kring denna nyhet, vilken presenteras nedan.
Vägledningen i korthet
Dataportabilitet kommer till uttryck i artikel 20 och innebär att de lagrade personuppgifterna ska tillhandahållas de fysiska personerna i ett strukturerat, allmänt användbart, maskinläsbart och kompatibelt format och kunna överföras direkt mellan olika företag. I första hand har de fysiska personerna alltså rätt att själva få tillgång till sina personuppgifter. Några exempel som Artikel 29-gruppen har tagit upp är ifall man skulle vilja få ut sin kontaktlista från sin webbmail-applikation för att skapa en inbjudningslista eller få ut sin spellista från en musikströmningstjänst för att veta vilka låtar man lyssnar mest på och i sin tur kunna köpa dessa från en annan plattform. Man ska även kunna föra över personuppgifter från ett företag till ett annat utan hinder.
Dataportabilitet gäller under tre villkor som alla måste vara uppfyllda:
- Personuppgifterna bearbetas automatiskt med stöd av samtycke eller avtal,
- Personuppgifterna bör handla om den registrerade och tillhandahållits av honom/henne,
- Utövandet av rättigheten ska inte påverka en tredje parts fri- och rättigheter på ett negativt sätt.
”Tillhandahållits av den registrerade”
Det som avses med att personuppgifter har tillhandahållits av den fysiska personen är att uppgifterna medvetet och aktivt har lämnats av honom/henne. Det kan vara fråga om kontodata som man lämnat via olika online-formulär samt data som genererats och samlats in från användarnas aktiviteter. Typiska exempel innefattar den registrerades sökhistorik, trafikdata och platsdata. Även hjärtfrekvensen på en pulsklocka är en sådan uppgift som omfattas. Data som har skapats av företaget, med hjälp av den mottagna informationen, omfattas däremot inte av dataportabilitet. Till exempel omfattas inte analyser av sökhistorik eftersom de skapats av företaget och inte av den fysiska personen.
Tredje part
Dataportabilitet får inte leda till att uppgifter om andra personer än den som bett om dem drabbas i för stor utsträckning. Ofta finns inte personuppgifter om en person helt isolerade från andra uppgifter. Fotografier kan till exempel innehålla många andra personer. Överföring av personuppgifter är inte tillåten om den kan påverka en annan person och dennes fri- och rättigheter på ett negativt sätt. Normalt krävs nytt lagligt stöd för den personen. En fråga som uppstår här är; vad anses med negativ påverkan? Utgångspunkten är att det är den som efterfrågat dataportabilitet som ska ha kontroll över uppgifterna. Det företag som uppgifterna förs över till får inte använda data som berör andra personer för egna ändamål, till exempel för att marknadsföra sina produkter.
För den uppmärksamma kan uttrycket ”bör” – som nämns under villkoren – låta något otydligt. Om personuppgifterna inte handlar om den person som vill få ut dessa, vem ska de då handla om? Artikel 29-gruppen menar att företag som hanterar personuppgifter kommer att bearbeta stora mängder information som kan innehålla personliga uppgifter om flera personer. I sådana fall menar Artikel 29-gruppen att man inte ska göra en mycket strikt tolkning av uttrycket ”handla om den registrerade”. Andra och tredje villkoren hänger ihop på sådant sätt att information som lämnas över till en annan tjänst eller ett annat företag kan få innehålla information om en annan person än den som efterfrågat dataportabilitet, så länge den inte påverkar dennes intressen på ett negativt sätt.
Den vanligaste frågan som vi får är: vad innebär ett kompatibelt format?
Denna fråga är inte helt lätt att besvara. Formatet ska vara sådant att det är lätt att återanvända. I den engelska versionen av förordningen pratar man om ”interoperabilitet” vilket definieras som:
”Förmågan hos olika organisationer att integrera med varandra gentemot ömsesidigt fördelaktiga och överenskomna gemensamma mål, där man delar information och kunskaper med varandra, genom olika informationssystem.”
Minimikravet innehåller termerna ”strukturerat”, ”allmänt användbart” och ”maskinläsbart”. Det ska till exempel vara lätt att identifiera, känna igen och hämta specifika data. Förordningen ger inga mer detaljerade rekommendationer hur dessa format ska utformas, så det kommer vara upp till varje bransch att hitta lämpliga format för den data som hantera inom den specifika branschen. Förordningen syftar egentligen inte till att hitta tekniskt kompatibla system utan snarare driftskompatibla system. Det ska vara enkelt att avskilja information. Hur detta ska lösas kommer vara upp till IT-företagen.
Hur snabbt ska man besvara en portabilitetsförfrågan?
Förordningen föreskriver att data ska tillhandahållas den efterfrågade personen utan onödigt dröjsmål vilket preciseras med att det ska ske inom en månad från dagen från förfrågan. I mycket komplexa fall kan denna tid förlängas till högst tre månader under förutsättning att personen har blivit upplyst om anledningen till dröjsmålet inom en månad från den ursprungliga förfrågan.
Annat att tänka på!
En generell rättighet är att registrerade har rätt till information om vilka personuppgifter som olika personuppgiftsansvariga tillhandahåller. Detta gäller även dataportabilitet. Personuppgiftsansvariga måste upplysa sina registrerade om denna rättighet och även på ett tydligt sätt skilja denna från andra rättigheter.
En annan viktig sak att tänka på är att alla som hanterar personuppgifter måste hitta ett säkert sätt att identifiera den registrerade som efterfrågat dataportabilitet.
Man får inte ta ut en avgift för dataportabilitet om förfrågan inte kan visas vara uppenbart ogrundad eller överdriven, till exempel om man skickar sådana förfrågningar ofta. Artikel 29-gruppen anger dock att det ska finnas väldigt få fall där den personuppgiftsansvarige skulle kunna motivera en vägran att utlämna den begärda informationen.
För att läsa vägledningen i sin helhet tryck här!
*Artikel 29-gruppen är en oberoende del av EU-kommissionen och är sammansatt av representanter från samtliga tillsynsmyndigheter i EU. Efter den 25 maj 2018 kommer denna att kallas för Dataskyddsstyrelsen.
Kommissionären menar att man måste hitta lösningar som motsvarar lagstiftarnas syfte men som samtidigt kan fungera för alla involverade intressenter. Hon menar att det behövs ytterligare reflektioner gällande ovanstående punkter.