I den kommende EU persondataforordning kommer der et nyt krav til dataportabilitet. Kort fortalt handler det om, at en person kan bede om at få de informationer, som en virksomhed har om den pågældende, videregivet til f.eks. konkurrende virksomheder.
”I praksis vil det sige, at man som deltager i f.eks. en kundeklub kan bede om at få overført alle sine data til en konkurrende virksomhed, så de fra dag ét kender alle ens købspræferencer og personlige data,” siger Sven Petersen, erhvervsjuridisk fagchef i Dansk Erhverv.
EU sætter med dataportabilitetskravet en tyk streg under, at det er den enkelte person, og ikke virksomhederne, der ejer retten til personens data, og derfor også har retten til at modtage og videredistribuere disse data.
Du skal kunne indhente og videresende data
For virksomhederne betyder dataportabilitet, at man fremover skal tænke over, at de persondata, virksomheden ligger inde med, skal kunne videresendes til andre virksomheder – hvis den pågældende person altså ønsker det.
Man bør derfor tænke i interoperabilitet. Dette er dog ikke ensbetydende med, at den dataansvarlige skal anskaffe sig et bestemt system blot for at imødekomme kundens krav om portabilitet.
Portabiliteten inkluderer både data som den pågældende person selv aktivt har biddraget med (f.eks. indtastning af e-mail, adresse og telefonnr.), samt de data der er indsamlet om personens aktiviteter (f.eks. hvilke bøger personen har søgt på, lokationsdata eller hvilken musik han/hun lytter til via streaming). Den dataansvarliges analyser af dataene er ikke omfattet.
Både dataansvarlige og databehandlere skal derfor have processer klar, der så vidt muligt sikrer, at de kan indsamle disse data på tværs af systemer og databaser, samt at de kan videregive dem til andre virksomheder senest en måned efter, kunden har bedt om det – dog senest indenfor tre måneder ved komplicerede forespørgsler.
”I kan relativt hurtigt undersøge, om I er klar. Prøv f.eks. at tage fat i tre forskellige kunder og tjek, om I kan indsamle alle persondata om de tre profiler, og om I kan videregive disse i et strukturet og læsbart format. Kan I ikke det, så har I stadig et stykke vej, før I overholder den kommende persondataforordning,” udtaler Sven Petersen.
Man må som virksomhed ikke tage penge for at håndtere en forespørgsel om dataportabilitet, ligesom man heller ikke som må nægte at udlevere de pågældende data.
Som modtager af data er man dog ikke forpligtet til at gemme eller bruge alle de data, som man modtager.
Hvis en bankkunde f.eks. beder om at få overført alle sine transaktionsdata til en virksomhed, der udarbejder og hjælper med budgetter, er den virksomhed ikke forpligtet til at modtage, gemme eller bruge alle transaktionsdata fra kunden.
Tekniske krav til dataportabilitet
EU anbefaler, at man følger to veje for at gøre data tilgængelig for andre virksomheder. Enten ved at gøre det muligt at sende data direkte fra ens database og systemer videre eller ved at have et værktøj, der automatisk indhenter og videresender data.
Data skal ifølge EU også helst overføres via sikre kanaler som f.eks. SFTP eller sikre WebAPI’er og Webportaler.
For at leve op til persondataforordningen skal man som minimum også sørge for, at data leveres struktureret, maksinlæsbart og i et normalt brugt format.
Mht. maskinlæsbarhed understreger EU, at filformatet skal være struktureret, så software applikationer let kan identificere, genkende og udtrække specifikke data. Er det ikke muligt, vil man ikke leve op til den kommende persondataforordning.
Datatilsynet har udarbejdet en Vejledning om de registreredes rettigheder, hvor man kan læse mere om retten til dataportabilitet.
Læs mere vedr. EU’s guidelines til dataportabilitet (pdf).
Læs den danske fortolkning af persondataforordningen.