Tech Blog

Nya vägledningar från Artikel 29-gruppen: Dataportabilitet

Artikel 29-gruppen har, efter ett möte i mitten av december 2016, tagit fram tre vägledningar angående den nya dataskyddsförordningen. Vägledningarna rör dataportabilitet, dataskyddsombud samt ansvarig tillsynsmyndighet. Vi kommer att redogöra för utvalda delar av vägledningarna i tre separata inlägg, och börjar med att i detta inlägg behandla vägledningen rörande dataportabilitet.

Vägledningen om dataportabilitet förtydligar bl.a. vad rätten till dataportabilitet innebär och vad den inte innebär, vilka personuppgifter som omfattas samt vilka tekniska medel som den personuppgiftsansvarige bör ha på plats för att säkerställa att en förfrågan om dataportabilitet kan besvaras. Dataportabilitet är en av dataskyddsförordningens nyheter, som på sätt och vis kan anses vara en utveckling av rätten till registerutdrag. Artikel 29-gruppen påpekar dock vikten av att särskilja dessa två rättigheter och rekommenderar även att den personuppgiftsansvarige särskilt informerar den enskilde om skillnaderna.

Dataportabilitet – vad innebär det?
Rätten till dataportabilitet införs genom dataskyddsförordningens artikel 20, och innebär dels en rätt att få tillgång till personuppgifter (utan att överföra dem till en annan personuppgiftsansvarig) och dels en rätt att överföra personuppgifter från en personuppgiftsansvarig till en annan. För att bestämmelserna om dataportabilitet ska bli tillämpbara krävs att personuppgiftsbehandlingen baseras antingen på den registrerades samtycke eller på ett avtal där den registrerade är avtalspart. Vidare krävs det att behandlingen utförs på automatisk väg. Rätten till dataportabilitet gäller alltså inte när personuppgifter behandlas på andra grunder än dessa två, men Artikel 29-gruppen uppmuntrar till att de personuppgiftsansvariga behandlar ansökningar om dataportabilitet i andra fall än de obligatoriska.

Den personuppgiftsansvarige som mottar personuppgifter ska inte alltid behandla samtliga uppgifter som överförs med stöd av en begäran om dataportabilitet, utan bör avstå från att behandla sådana personuppgifter som inte är relevanta med hänsyn till den mottagande personuppgiftsansvariges syfte. Den som mottar personuppgifterna är att betrakta som ny personuppgiftsansvarig och måste därför tydliggöra ändamålen med behandlingen för att behandlingen ska vara tillåten.

Rätten till dataportabilitet kommer inte innebära att personuppgiftsansvariga har en skyldighet att lagra personuppgifterna för en längre tid än vad som är nödvändigt. Däremot lyfter Artikel 29-gruppen särskilt fram att den personuppgiftsansvarige som överför personuppgifterna fortfarande kan inneha skyldigheter i förhållande till den registrerade – t.ex. skyldigheten att radera personuppgifter.

Vilka personuppgifter omfattas?
Uppgifterna som ska lämnas ut när den registrerade utövar sin rätt till dataportabilitet är alla personuppgifter rörande honom eller henne som den registrerade tillhandahållit en personuppgiftsansvarig. Detta innebär att uppgifter som inte kan härledas till en individ, d.v.s. anonyma uppgifter, inte omfattas. Termen ”personuppgifter som rör honom eller henne” (d.v.s. den registrerade) ska inte ges en allt för snäv tolkning – även register som innehåller personuppgifter som rör flera registrerade ska omfattas (se dock avsnittet nedan om när sådana personuppgifter överförs till en ny personuppgiftsansvarig).

Termen ”som den registrerade tillhandahållit” kan delas upp i två delar: 1) uppgifter som tillhandahålls av den registrerade genom en aktiv och medveten handling (t.ex. mailadress och användarnamn vid skapande av ett användarkonto) och 2) uppgifter som ”tillhandahålls” genom att den registrerade använder en tjänst eller anordning (t.ex. sökhistorik samt trafik- och lokaliseringsuppgifter). Personuppgifter som rör den registrerades aktiviteter eller resultatet av att ha observerat den registrerades beteende (t.ex. användning av en viss webbsida eller tjänst) anses vara tillhandahållna av den registrerade, till skillnad från uppgifter som tagits fram av en personuppgiftsansvariggenom en analys av rådata som tillhandahållits av den registrerade (t.ex. kreditvärdighet). Den sistnämnda typen av uppgifter omfattas alltså inte av rättigheten.

Dataportabilitet i förhållande till tredje part
När en registrerad utövar sin rätt till dataportabilitet innebär det att individen antingen samtycker till att personuppgifterna behandlas av den personuppgiftsansvarige som mottar personuppgifterna, eller att denne ingår ett avtal med mottagaren (se ovan i avsnittet Dataportabilitet – vad innebär det?). När tredje parts personuppgifter inkluderas i uppsättningen av uppgifter som överförs innebär det att den personuppgiftsansvarige måste ha en annan grund för att behandlingen av tredje parts personuppgifter ska vara tillåten. En sådan grund kan föreligga t.ex. när behandlingen är nödvändig för ett ändamål som rör den personuppgiftsansvariges eller tredje parts berättigade intressen. Den personuppgiftsansvarige som mottar sådan information som även innehåller tredje parts personuppgifter kan således inte använda dessa för den personuppgiftsansvariges egna ändamål (t.ex. i marknadsföringssyfte).

Alla personuppgiftsansvariga bör implementera verktyg som möjliggör för de registrerade att välja vilka uppgifter som de vill ta del av eller överföra samt exkludera uppgifter tillhörande andra registrerade vid utövande av rätten till dataportabilitet. De personuppgiftsansvariga bör även införa en samtyckesfunktion för andra registrerade, i syfte att underlätta överföring av uppgifter i de fall där sådana andra registrerade är villiga att samtycka till denna, t.ex. om de också vill använda sig av rätten till dataportabilitet.

Åtgärder som bör vidtas för att säkerställa att en begäran om dataportabilitet kan besvaras
Ur ett tekniskt perspektiv bör den personuppgiftsansvarige erbjuda olika verktyg för att rätten till dataportabilitet ska implementeras. Dessa verktyg ska säkerställa att personuppgifterna överförs i ett strukturerat, allmänt använt och maskinläsbart format – tre minimikrav som ställs för att underlätta uppgiftsformatets kompabilitet. En personuppgiftsansvarig bör tillhandahålla så mycket metadata som möjligt när den personuppgiftsansvarige svarar på begäran om dataportabilitet. Anledningen till detta är att, i den mån det är möjligt, bevara den exakta betydelsen av den utbytta informationen. Den tekniska lösningen som den personuppgiftsansvarige använder för att besvara begäran om dataportabilitet ska alltså säkerställa att dessa krav uppfylls.

Den personuppgiftsansvarige bör t.ex. erbjuda en möjlighet för den registrerade att direkt ladda ner uppgifterna samt verktyg som tillåter den registrerade att överföra uppgifter direkt till en annan personuppgiftsansvarig. Detta kan t.ex. säkerställas genom att tillhandahålla ett gränssnitt (API). Den personuppgiftsansvarige behöver även vidta lämpliga åtgärder som gör det möjligt att identifiera den registrerade, eftersom en begäran om dataportabilitet från en individ som den personuppgiftsansvarige inte kan identifiera kan utgöra en grund att vägra begäran. Någon form av vidimeringsåtgärd bör alltså finnas, och finns i många fall redan. Det kan t.ex. röra sig om användarnamn och lösenord.

I denna del uppmanar Artikel 29-gruppen särskilt att intressenter och branschorganisationer samarbetar för att ta fram en gemensam uppsättning av standarder och format för att säkerställa driftskompatibilitet vid begäran om dataportabilitet.

 

Klicka här för att ta del av vägledningen i dess helhet.