De Algemene Verordening Gegevensbescherming introduceert in artikel 20 het recht op dataportabiliteit. Dit nieuwe recht is nauw verbonden met het recht op inzage, maar verschilt op veel punten. Het recht op dataportabiliteit houdt in dat de betrokkene recht heeft de persoonsgegevens die hij aan een organisatie heeft verstrekt in een gestructureerde, gangbare en machineleesbare vorm te ontvangen en deze aan een andere organisatie over te dragen. Dit nieuwe recht geeft consumenten een sterke positie en meer controle over hun gegevens. Het moet hen de mogelijkheid bieden om persoonsgegevens eenvoudig van de ene ICT-omgeving naar de andere te verplaatsen, kopiëren of verzenden.
De Artikel 29-werkgroep heeft op 16 december 2016 een drietal richtlijnen gepubliceerd, waaronder een richtlijn over het recht op dataportabiliteit. De Artikel 29-werkgroep (WP29) is het onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders.
Dataportabiliteit lijkt op het recht op inzage. Een specifiek kenmerk van dataportabiliteit is echter dat het voor betrokkenen gemakkelijk moet zijn om persoonsgegevens zelf te beheren en opnieuw te gebruiken. Bijvoorbeeld een lijst van contactpersonen in een webmailapplicatie om een lijst met gasten voor een trouwerij op te stellen.
Dataportabiliteit maakt het mogelijk om gegevens die betrokkenen verstrekt hebben, te verzenden naar een andere dienstverlener. Het doel van dit recht is het bevorderen van innovatie in het gebruik van gegevens en het aanmoedigen van nieuwe bedrijfsmodellen waarbij meer gegevens gedeeld worden waarbij de betrokkene de controle heeft.
Verantwoordelijken moeten de betrokkenen de mogelijkheid bieden om gegevens direct te downloaden, maar zij moeten ook de mogelijkheid bieden om deze gegevens direct aan een andere verantwoordelijke te verzenden. Dit kan worden bereikt door een API (Application Programming Interface) beschikbaar te stellen.
Verantwoordelijken zijn niet verantwoordelijk voor de verwerking door de betrokkene of een ander bedrijf dat de persoonsgegevens ontvangt. Ook hoeven verantwoordelijken persoonsgegevens niet langer te bewaren dan vereist. Een ontvangende verantwoordelijke moet er wel op toezien dat de gegevens die aan hem zijn verstrekt, relevant zijn en, met het oog op de nieuwe verwerking van gegevens, niet bovenmatig zijn. Als de informatie niet relevant is voor het doel van de nieuwe verwerking, dient deze niet bewaard of verwerkt te worden. Wanneer een betrokkene bijvoorbeeld verzoekt informatie over zijn banktransacties op te sturen naar een dienst die hem helpt met budgetteren, hoeft de nieuwe verantwoordelijke niet alle gegevens van die transacties te bewaren als die eenmaal gelabeld zijn.
Een betrokkene kan nadat de gegevens overgedragen zijn van de diensten van de verantwoordelijke gebruik blijven maken en daarvan blijven profiteren. Als de gegevens worden overgedragen, wil dat niet zeggen dat de dienstverlening ook stopt. Als de betrokkene daarna een beroep doet op het recht op verwijdering van de gegevens, kan dataportabiliteit niet als excuus worden gebruikt om dergelijke verwijdering te vertragen of te weigeren.
Dataportabiliteit leidt niet automatisch tot de verwijdering van de gegevens uit de systemen van de verantwoordelijke en heeft geen invloed op de bewaartermijn.
Verantwoordelijken moeten een duidelijke wettelijke basis voor het verwerken van persoonsgegevens hebben. De betrokkene kan van zijn recht op dataportabiliteit gebruik maken als hij zelf toestemming heeft gegeven voor het verwerken van zijn persoonsgegevens of dit voortvloeit uit een overeenkomst. De titels van boeken die iemand in een online boekwinkel heeft gekocht, is een voorbeeld die over het algemeen onder dataportabiliteit valt, omdat deze gegevens worden verwerkt om een overeenkomst met de betrokkene uit te voeren.
De AVG voorziet niet in een algemeen recht op dataportabiliteit in de gevallen waarin de verwerking niet is gebaseerd op toestemming of een overeenkomst. Daarnaast geldt dataportabiliteit alleen voor geautomatiseerde verwerking, dus niet voor papieren bestanden.
Onder een verzoek tot dataportabiliteit vallen alleen persoonsgegevens van de betrokkene. Anonieme gegevens of gegevens die niet over de betrokkene gaan, vallen hier dus niet onder. Daarnaast moet de betrokkene zelf deze gegevens aan de verantwoordelijke verstrekt hebben. Desondanks dient de verantwoordelijke bij een verzoek tot dataportabiliteit ook de persoonsgegevens toe te voegen die op basis van de activiteiten van gebruikers gegenereerd en verzameld worden, zoals ruwe gegevens die door een slimme meter gegenereerd worden.
De term ‘door de betrokkene verstrekt’ dient breed opgevat te worden en vallen alleen ‘gededuceerde gegevens’ en ‘afgeleide gegevens’ er niet onder, waaronder bijvoorbeeld algoritmen worden verstaan. Een verantwoordelijke kan deze gededuceerde gegevens uitsluiten, maar dient alle andere persoonsgegevens toe te voegen die de betrokkene heeft verstrekt.
Bron: Riskworld, Autoriteit Persoonsgegevens© Copyright 2014 - 2024 Riskworld | Alle rechten voorbehouden | Privacy en veiligheid | Cookies | Disclaimer | Sitemap