Data Protection Blog

Allvarlig kritik från Kommissionen mot Artikel 29-gruppens riktlinjer avseende dataportabilitet

EU-kommissionen har yttrat kritik mot Artikel 29-gruppen för deras riktlinjer avseende artikel 20 i dataskyddsförordningen om dataportabilitet. Enligt artikel 20 i dataskyddsförordningen omfattar rätten till dataportabilitet enbart uppgifter som den registrerade har ”tillhandahållit” den personuppgiftsansvarige. Kritiken från Kommissionen består främst i att Artikel 29-gruppen gett begreppet tillhandahållit en alltför vidsträckt innebörd i riktlinjerna.

Artikel 29-gruppen skrev i den senaste versionen av riktlinjerna som antogs den 5 april i år att rätten till dataportabilitet inte enbart gäller uppgifter som den registrerade har tillhandahållit aktivt och medvetet utan även uppgifter som genererats genom den registrerades aktivitet. En sådan tolkning innebär en mycket långtgående skyldighet för vissa personuppgiftsansvariga (t.ex. personuppgiftsansvariga för data insamlad genom uppkopplade produkter) att kunna tillhandahålla potentiellt enorma mängder data i ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsvarig. Kommissionens kritik består i att Artikel 29-gruppens tolkning sträcker sig längre än vad som följer av den antagna lagstiftningen.

Enligt vår mening är den potentiellt bristfälliga vägledningen från Artikel 29-gruppen mycket allvarlig i och med att den riskerar att skapa stor osäkerhet för personuppgiftsansvariga som just nu står inför att implementera dataskyddsförordningen. De har ett fullt legitimt intresse av att inte behöva bekosta åtgärder som faktiskt inte krävs. Bristande efterlevnad av artikel 20 om dataportabilitet riskerar dessutom att leda till böter på upp till 4 % av den globala årliga omsättningen eller 20 miljoner euro. På grund av den allmänt hållna utformningen av dataskyddsförordningen måste personuppgiftsansvariga till stor del förlita sig på klargörande vägledningar från Artikel 29-gruppen. Om personuppgiftsansvariga inte kan förlita sig på att dessa uttalanden är förenliga med dataskyddsförordningen får det därför konsekvenser för rättssäkerheten.