Rätten att flytta uppgifterna mellan system

Den registrerade har rätt att få de personuppgifter som han eller hon överlämnat till den personuppgiftsansvarige i en strukturerad, allmän använd och maskinellt läsbar form och om han eller så önskar överföra uppgifterna i fråga till en annan personuppgiftsansvarig.

Rätt att få uppgifterna flyttade från en personuppgiftsansvarig till en annan föreligger om det är tekniskt möjligt.

Rätten tillämpas

  • enbart på automatisk behandling av personuppgifter
  • då personuppgifterna gäller den registrerade och de överlämnats av honom eller henne
  • då behandlingen av personuppgifterna grundar sig på ett samtycke eller ett avtal
  • då överföringen av uppgifter inte har en skadlig inverkan på tredje parters rättigheter och friheter.

Rätten gäller inte sådana uppgifter som den personuppgiftsansvarige själv skapat utifrån de uppgifter som den registrerade överlämnat (t.ex. hälsobedömningar) eller som sammanställts genom en analys av de uppgifter som bildats av iakttagelse av den registrerade (såsom profilering).

Denna rätt föreligger inte heller då behandling i arkiveringssyfte av forskningsmaterial, kulturarvsmaterial och beskrivningsuppgifter som omfattar personuppgifter, med hänsyn till ett allmänt intresse och den registrerades rättigheter, är nödvändig och står i rätt proportion, och rätten sannolikt hindrar att ett särskilt syfte uppnås eller skulle försvåra detta stort.

Beakta också den registrerades övriga rättigheter

Den personuppgiftsansvarige ska beakta också andra rättigheter hos den registrerade. Den personuppgiftsansvarige ska rikta särskild uppmärksamhet mot informationen: den registrerade ska på öppet sätt berätta om rätten att överföra uppgifter och om innehållet i rätten vad gäller denna personuppgiftsansvarig.

När den registrerade utövar sin rättighet att överföra uppgifter från ett system till ett annat, begränsar det inte utövandet av en annan rättighet enligt dataskyddsförordningen. Den registrerade kan fortfarande använda den personuppgiftsansvariges tjänst och dra nytta av denna också efter att uppgifterna överförts. Överföring av uppgifter från ett system till ett annat sätter inte automatiskt igång raderingen av uppgifter från den personuppgiftsansvariges system och påverkar inte heller den ursprungliga förvaringstiden. Den registrerade kan utöva sina rättigheter så länge som den personuppgiftsansvarige behandlar uppgifter.

Rätten att överföra uppgifter mellan system får inte heller ha en skadlig inverkan på övriga rättigheter och friheter.

Då den registrerade begär överföring av uppgifter

Den personuppgiftsansvarige ska identifiera den registrerade som den registrerade som är föremål för begäran om uppgifter. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.  Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.

Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.

Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Hur ska den personuppgiftsansvarige som tar emot uppgifter reagera?

Det ligger på den mottagande personuppgiftsansvariges ansvar att säkerställa att de uppgifter som flyttas från ett system till ett annat är nödvändiga med tanke på den nya behandlingen av uppgifter. Den mottagande personuppgiftsansvarige har inte rätt att behandla personuppgifter som är onödiga med tanke på behandlingens syfte, trots att sådana eventuellt tas emot i samband med överföringen. Om uppgifterna inte är väsentliga med tanke på syftet med den nya behandlingen, borde dessa vare sig förvaras eller behandlas.

Den mottagande organisationen blir ny personuppgiftsansvarig för de personuppgifter som överförs. Den personuppgiftsansvarige ska iaktta de principer och plikter som fastställts i dataskyddsförordningen. Därför ska den mottagande personuppgiftsansvarige tydligt och direkt meddela syftet för den nya behandlingen innan en begäran om överföring av uppgifter ges till den överförande personuppgiftsansvarige. Den personuppgiftsansvarige ska iaktta dataskyddsprinciperna, som utgörs av lagenlighet, rimlighet och transparens, avgränsning av användningssyftet, uppgiftsminimering, exakthet, integritet och konfidentialitet, begränsning av förvaringen och ansvarsskyldigheten.

I vilken form överförs uppgifterna från ett system till ett annat?

Personuppgifterna ska överföras i en strukturerad, allmänt använd och maskinläsbar form. Detta betyder dock inte att de personuppgiftsansvariga ska administrera kompatibla system. De personuppgiftsansvariga ska också, tillsammans med uppgifterna, i så hög grad som möjligt överlämna metadata, som är så exakt och noggrann som möjligt, för att den exakta betydelse för de utbytta uppgifterna förvaras.

Dataskyddsförordningen innehåller inte särskilda rekommendationer om formen på personuppgifter som ska lämnas ut, eftersom den lämpligaste formen varierar beroende på området och uppgiften. Intressentgrupperna och facken inom olika områden uppmuntras att föra samarbete och utarbeta kompatibla standarder, så att de krav som gäller rätten kan uppfyllas.

Är det möjligt att vägra att tillmötesgå en begäran?

Den personuppgiftsansvarige bedömer om rätten kan tillgodoses. Om den personuppgiftsansvarige anser att rätten inte kan tillgodoses, kan denne vägra att tillmötesgå begäran. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.

Den personuppgiftsansvarige kan vägra att tillgodose en rättighet, om tillgodoseendet av denna skulle ha en skadlig inverkan övriga rättigheter och friheter.

Den personuppgiftsansvarige kan vägra att tillmötesgå en begäran också då den registrerades begäranden är uppenbart ogrundade eller orimliga. Alternativt kan den personuppgiftsansvarige i så fall ta ut en rimlig avgift för tillmötesgåendet av begäran.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till dataombudsmannen och använda andra rättsmedel.

Läs mer:

Dataskyddsförordningen: artiklarna 12 och 20