Nye regler om personvern forenkler leverandørbytte

Kontakt
Ny rettighet for kunder og andre registrerte innebærer plikt til å tilrettelegge for enklere leverandørbytte. Retten til dataportabilitet blir en realitet i mai 2018.
4. april 2017

Forfattere: Senioradvokat Simen Evensen Breen og Partner | Advokat Katrine Malmer Høvik

Personvernforordningen (General Data Protection Regulation/GDPR) vil tre i kraft 25. mai 2018, og innebærer store endringer for hvordan selskaper skal behandle personopplysninger. I denne artikkelen tar vi for oss en av nyvinningene i forordningen; den enkeltes rett til å ta med personopplysningene til en annen virksomhet. Dette kalles retten til dataportabilitet.

Ny personvernforordning setter behandling av personopplysninger på agendaen
Interessen rundt personvernforordningen er stor. Det er det gode grunner til, for det er mye nytt og interessant i forordningen. Den økte interessen for personvern kan nok også ses i sammenheng med fremveksten av teknologiske fenomener som Internet of Things, AI og machine learning, blockchain og Big Data, som alle har klare slagsider mot personvernet. Mye av interessen for personvernforordningen må nok imidlertid sies å ha sammenheng med det nye sanksjonsregimet for manglende etterlevelse av reglene for behandling av personopplysninger. Etter personvernforordningen vil manglende etterlevelse av regelverket kunne medføre bøter på opp til EUR 20 000 000 eller 4 % av brutto global omsetning, noe som i seg selv vil være en tilstrekkelig grunn til å se nærmere på forordningens betydning.

Personvernforordningen pålegger både norske og utenlandske aktører nye krav og plikter. Den viderefører de grunnleggende prinsippene innenfor personvern som vi har hatt i lengre tid i Norge, men innebærer endringer som gjør at alle virksomheter som behandler personopplysninger bør gjennomgå og oppdatere sine rutiner for behandling av personopplysninger, samt gjøre de grep som er nødvendige for å kunne etterleve de nye kravene.

Retten til dataportabilitet – den enkeltes krav på å få utlevert opplysninger blir betydelig utvidet
Et av de nye konseptene i personvernforordningen er retten til dataportabilitet. Retten innebærer at den registrerte – for eksempel kunder eller brukere av en tjeneste – kan kreve å få utlevert personopplysningene som er lagret om vedkommende. Dette er ikke noe prinsipielt nytt, da en slik rettighet også har eksistert etter den gjeldende personopplysningsloven. Nytt er imidlertid at dataene kan kreves utlevert i et strukturert, alminnelig anvendt og maskinlesbart format, og at den registrerte også kan kreve at dataene sendes til en ny behandlingsansvarlig – typisk en direkte konkurrent som kunden ønsker å bytte til. Dette er en rettighet vi antar vil bli svært praktisk i tiden fremover, og dessuten en rettighet mange virksomheter vil måtte gjøre tekniske grep for å tilfredsstille.

Bidrar til å hindre lock-in-effekter
Retten til dataportabilitet fremstår for oss mer som en konkurransebestemmelse enn en personvernbestemmelse, selv om den selvsagt kan ses som en rettighet som styrker den enkeltes kontroll over opplysninger om seg selv. Retten til dataportabilitet vil gjøre det enklere for de registrerte å bytte tjenesteleverandør og bidra til å hindre lock-in effekter, ettersom man nå vil ha rett til å ta med sine data til en ny leverandør. Man trenger da ikke starte med blanke ark hos sin nye leverandør. Det er imidlertid grunn til å merke seg at retten til dataportabilitet også gir anledning for den registrerte til selv å motta dataene i formatet som beskrevet, og ikke er betinget av verken oppsigelse av avtale- eller kundeforhold eller at dataene overføres til en annen tjenesteyter.

Søkehistorie, lokasjonsdata, pulsmålinger og spillelister skal kunne utleveres den registrerte eller overføres til annen leverandør

Retten til dataportabilitet gjelder ikke all behandling av personopplysninger. I likhet med dagens norske personopplysningslov oppstiller personvernforordningen grunnkrav for behandling av personopplysninger. Et av kravene er at det skal foreligge et grunnlag for behandling av personopplysninger, for eksempel samtykke, oppfyllelse av en lovforpliktelse eller oppfyllelse av en kontrakt med den registrerte. Retten til dataportabilitet gjelder kun der behandlingen er basert på samtykke eller oppfyllelse av kontrakt med den registrerte. Disse grunnlagene er imidlertid svært praktiske. Hvorvidt man er pliktig å tilrettelegge for dataportabilitet vil derfor måtte vurderes etter grunnlaget for behandlingen.

Personopplysningene som kan kreves utlevert etter retten til dataportabilitet er de opplysningene den registrerte har gitt den behandlingsansvarlige. Dette vil klart nok omfatte opplysninger som for eksempel er skrevet inn i et registreringsskjema eller som er lastet opp av den registrerte. Mye kan imidlertid tyde på at begrepet «gitt», eller «provided» som er begrepet som brukes i forordningen, vil tolkes vidt, slik at ikke bare informasjon som den registrerte selv har innsendt er omfattet. Ifølge Artikkel 29-gruppen (EUs rådgivende organ for personvern) vil også opplysninger som er generert ved den registrertes bruk av tjenesten omfattes av retten til dataportabilitet, og eksempler som trekkes frem er søkehistorie, lokasjonsdata, spillelister og pulsmålinger i applikasjoner knyttet til helse eller trening.

Er virksomheten i stand til å oppfylle retten til dataportabilitet?
Det er flere åpne spørsmål knyttet til hvordan retten til dataportabilitet vil gjennomføres i praksis, for eksempel knyttet til formater for utlevering. Vi ser for oss at mange aktører vil finne det krevende å oppfylle retten til dataportabilitet, all den tid eksisterende IT-systemer ikke nødvendigvis har slik funksjonalitet. Ofte vil også opplysninger være på flere forskjellige systemer, særlig i større eller mer komplekse virksomheter. Vår anbefaling er at det allerede nå vurderes i hvilken grad retten til dataportabilitet er relevant for virksomheten, og i så fall for hvilke typer opplysninger. Dette for å kunne kartlegge hvilke tekniske grep som må til for å kunne etterleve den kommende forordningen innen mai 2018.

Kontakt oss

Partnere

Lars Berge Andersen
Lars Berge Andersen
Partner
Oslo
T: +47 22 81 45 31
M: +47 908 79 896
Vidar Johnsen
Vidar Johnsen
Partner
Oslo
T: +47 22 81 45 77
M: +47 930 65 919
Katrine Malmer-Høvik
Katrine Malmer-Høvik
Partner
Oslo
T: +47 22 81 45 87
M: +47 480 16 587
Stig Nordal
Stig Nordal
Partner
Oslo
T: +47 22 81 45 62
M: +47 480 16 562
Gisle Edvard Årnes
Gisle Edvard Årnes
Partner
Oslo
T: +47 22 81 46 54
M: +47 922 22 330