Navigácia
GDPR > Artikkel 20. Rett til dataportabilitet
Download PDF

Artikkel 20 GDPR. Rett til dataportabilitet

1. Den registrerte skal ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette, dersom

Komentár
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

a) behandlingen er basert på samtykke i henhold til artikkel 6 nr. 1 bokstav a) eller artikkel 9 nr. 2 bokstav a) eller en avtale i henhold til artikkel 6 nr. 1 bokstav b), og

Súvisiace texty

b) behandlingen utføres automatisk.

2. Når den registrerte utøver sin rett til dataportabilitet i henhold til nr. 1, skal vedkommende, når det er teknisk mulig, ha rett til å få overført personopplysningene direkte fra en behandlingsansvarlig til en annen.

3. Utøvelse av rettigheten nevnt i nr. 1 i denne artikkel berører ikke artikkel 17. Nevnte rettighet får ikke anvendelse på behandling som er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt.

Súvisiace texty

4. Rettigheten nevnt i nr. 1 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

Komentár ISO 27701 Odôvodnenia Pokyny & Case Law Zanechať komentár
Komentár

(EN) The right to data portability is presented primarily as a way to support “user choice, user control, and user empowerment” (Guidelines on the Right to Data Portability), as it aims at reinforcing an individual’s control over her/his personal information (recital 68). Data portability allows users to receive a copy of their personal data and can be seen in that sense as an extension of the right of access (article 15). It can also help them to switch services without losing their data, enabling users to transfer their information from one service to a potentially better one.

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert

(EN)

Data Subject Request Letter Sample

Concern: Exercise my right to data portability

Dear Madam, Dear Sir,

I would like to exercise my right to data portability under Article 20 of the General Data Protection Regulation (GDPR)…

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 20 GDPR:

7.3.8 Providing copy of PII processed

Control

The organization should be able to provide a copy of the PII that is processed when requested by the PII principal.

Implementation guidance

The organization should provide a copy of the PII that is processed in a structured, commonly used, format accessible by the PII principal.

(EN) […]


to read the full text

Odôvodnenia

68) For å gi den registrerte økt kontroll over egne personopplysninger bør den registrerte, ved automatisert behandling av personopplysningene, også ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig i et strukturert, alminnelig anvendt, maskinlesbart og kompatibelt format, og til å overføre dem til en annen behandlingsansvarlig. Behandlingsansvarlige bør oppmuntres til å utvikle kompatible formater som muliggjør dataportabilitet. Denne retten bør få anvendelse dersom den registrerte har gitt personopplysninger på grunnlag av et samtykke, eller dersom behandlingen er nødvendig for å oppfylle en avtale. Den bør ikke få anvendelse dersom behandlingen er basert på et annet rettslig grunnlag enn et samtykke eller en avtale. Denne retten er av en slik art at den ikke bør utøves overfor behandlingsansvarlige som behandler personopplysninger som et ledd i utøvelsen av sine offentlige oppgaver. Den bør derfor ikke få anvendelse dersom behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Den registrertes rett til å overføre eller motta personopplysninger om seg selv bør ikke innebære at de behandlingsansvarlige har plikt til å innføre eller opprettholde teknisk kompatible behandlingssystemer. Dersom et bestemt sett med personopplysninger berører mer enn én registrert, bør retten til å motta personopplysningene ikke berøre andre registrertes rettigheter og friheter i samsvar med denne forordning. Denne retten bør videre ikke berøre den registrertes rett til å få slettet personopplysninger samt begrensningene av denne retten som fastsatt i denne forordning, og bør særlig ikke innebære sletting av personopplysninger om den registrerte som vedkommende har gitt med henblikk på å oppfylle en avtale, i den grad og så lenge personopplysningene er nødvendige for å oppfylle nevnte avtale. Dersom det er teknisk mulig, bør den registrerte ha rett til å få personopplysningene overført direkte fra én behandlingsansvarlig til en annen.

Pokyny & Case Law Zanechať komentár
[js-disqus]