For organisationer af alle størrelser kan det være en udfordring at navigere i databeskyttelsesforordningen, og Artikel 20 Ret til dataportabilitet er ingen undtagelse.
Men hvad betyder retten til dataportabilitet for din organisation, og hvordan håndterer I bedst anmodninger om dataportabilitet? For ikke at nævne – hvordan sørger I for, at processen er sikker, effektiv og i overensstemmelse med GDPR?
Hvad siger artikel 20?
Essensen af Artikel 20 i GDPR – Ret til dataportabilitet – er, at en person (den registrerede) har ret til at modtage en kopi af de personoplysninger, vedkommende selv har afgivet til en virksomhed (den dataansvarlige). Oplysningerne skal leveres i et almindeligt anvendt og maskinlæsbart format.
Desuden kan den registrerede anmode om, at oplysningerne overføres direkte til en anden dataansvarlig uden hindring, forudsat at det er teknisk muligt. Herudover skal 2 betingelser dog være opfyldt for at en organisation kan imøde anmodningen:
- Dine oplysninger behandles automatisk med dit samtykke eller for at opfylde en kontrakt.
- Du har selv aktivt givet de behandlede personoplysninger.
Det er vigtigt at skelne mellem retten til dataportabilitet og retten til sletning. Disse to rettigheder er forskellige, hvilket betyder, at oplysningerne ikke automatisk bliver slettet hos den første dataansvarlige. Organisationen kan stadig beholde oplysningerne, medmindre den registrerede udtrykkeligt, anmoder om retten til sletning. Det er dog stadig vigtigt, at den første dataansvarlige ikke opbevarer oplysningerne længere end nødvendigt og kun for legitime formål.
Anmoding af dataportabilitet
Dataportabilitet betyder i bund og grund, at data skal være portable, altså at de skal være nemme at flytte.
Et eksempel på, hvordan retten til dataportabilitet kan komme til udtryk, kan være, når en person skifter advokat. I en sådan situation kan den registrerede udøve sin ret til dataportabilitet i henhold til Artikel 20 i GDPR og dermed anmode om at få flyttet alle data fra en advokat til en anden. Ved at modtage alle oplysninger, herunder sagshistorik, korrespondance og personlige data, i et almindeligt anvendt format kan den registrerede problemfrit overføre sine data til den nye advokat. På den måde sikres en smidig overgang og kontinuitet i den registreredes juridiske anliggender uden tab af vigtige informationer.
Udover at tilbyde den registrerede større kontrol over egne oplysninger har dataportabiliteten også et vigtigt formål i at forhindre monopoler og konkurrenceforvridning. Ved at lette skiftet mellem forskellige platforme kan den enkelte bruger undgå at være låst fast i et bestemt system – i stedet har vedkommende friheden til nemt og hurtigt at få flyttet sine data fra en udbyder til en anden.
Det betyder i sagens natur, at overholdelse af retten til dataportabilitet kan blive en konkurrencefordel for dig. Ved at have procedurerne på plads i forhold til at kunne håndtere anmodninger om dataportabilitet kan du demonstrere over for kunder, samarbejdspartnere og andre interessenter, at organisationen tager databeskyttelse og GDPR alvorligt og på den måde opbygge tillid og et godt omdømme.
LÆS OGSÅ: Udnyt den forretningsmæssige værdi i GDPR
Hvordan sikrer man som organisation overholdelse af reglerne?
Hvis din organisation modtager en anmodning om dataportabilitet, skal du først og fremmest sikre identifikationen af den person, der har fremsat anmodningen, for at beskytte persondata fra uautoriseret adgang. Det kan eksempelvis ske gennem e-mailbekræftelse, log in-verifikation, verifikationsspørgsmål eller lignende.
Når identiteten på den registrerede er bekræftet, skal du sikre, at de respektive data kan trækkes ud af systemet i et struktureret, almindeligt anvendt og maskinlæsbart format – fx CSV eller XML. Her kan det være en fordel at bruge software, der kan håndtere dataekstraktion på den korrekte måde, ligesom det kan være en god idé at automatisere processen, hvor det er muligt – på den måde sikrer du, at data er konsekvente og præcise, og at processen kan udføres hurtigt og effektivt.
Endelig er det vigtigt at sikre, at dataene udleveres på en sikker måde, der beskytter mod uautoriseret adgang under overleveringen. Det kan blandt andet indebære kryptering af data, sikker filoverførselsprotokol, klare retningslinjer og naturligvis uddannelse af medarbejdere, så de involverede parter ved, hvordan datasikkerheden overholdes.
At forstå og overholde retten til dataportabilitet kan være en udfordring, men det er en vigtig del af at respektere rettighederne for de registrerede og opbygge tillid til organisationens håndtering af persondata.