dataflöde

Dataportabilitet och cash-back bolag

Denna artikel beskriver de rättsliga förutsättningar för att utöva sin rätt till dataportabilitet, undantag från rättigheten samt Svensk Handels analys av vad som krävs av dig som medlemsföretag. Sist i artikeln hittar du också förslag på omständigheter som du kan använda i dialogen med Ombuden.

Sedan GDPR började tillämpas har Svensk Handel noterat flera nya affärsmodeller som försöker utnyttja de rättigheter som finns i regelverket. Nyligen har flera av Svensk Handels medlemmar kontaktats av dataportabilitetsbolag (”Ombuden”). Ombudens affärsmodell består i att utnyttja de registrerades rätt till dataportabilitet för att kunna dra fördel av personuppgiftsansvarigas kunddata. Ombuden erbjuder de registrerade ”poäng” eller så kallade ”cash back-system” i utbyte mot att de utövar sin rätt till dataportabilitet och begär att personuppgifter kopplade till köphistoriken (ex kvittodata) överförs till Ombuden.

Om rätten till dataportabilitet

Rätten till dataportabilitet är en ny relativt ny rättighet som introducerades i och med att dataskyddsförordningen, GDPR, trädde i kraft. Artikel 20 i GDPR fastslår rätten för enskilda att överföra registrerade personuppgifter från en personuppgiftsansvarig till en annan personuppgiftsansvarig.

Vad gäller enligt regelverken?

Artikel 20 och rätten till dataportabilitet består av två delar.

  1. Den registrerade rätt har att begära att personuppgifter som lagrats av en tjänsteleverantör överförs direkt till den registrerade för dennes privata bruk. Detta innebär att den personuppgiftsansvarige måste kunna överföra personuppgifterna till den registrerade som begärt dataportabilitet i ett strukturerat, allmänt använt och maskinläsbart format.
  2. Den registrerade kan utnyttja rätten till dataportabilitet för att överföra personuppgifter från en tjänsteleverantör till en annan. För att en registrerad ska ha rätt till dataportabilitet från en personuppgiftsansvarig till en annan måste det vara tekniskt möjligt.

Oavsett på vilket sätt den registrerade begär att personuppgifterna överförs gäller att behandlingen av personuppgifter grundar sig på antingen samtycke (uttryckligt samtycke vid känsliga personuppgifter) eller avtalet.

Undantag från när rätten är tillämpbar

Det finns två undantag när rätten till dataportabilitet inte gäller, dvs.:

  1. Om en begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art (artikel 12.5); och
  2. Om rätten till dataportabilitet påverkar andras rättigheter och friheter på ett ogynnsamt sätt (artikel 20.4); och

Av det första undantaget framgår även att den personuppgiftsansvarige får lov att:

a) ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b) vägra att tillmötesg begäran.

Enligt skäl 68 i GDPR förtydligas att rättigheten inte innebär någon skyldighet för den personuppgiftsansvarige att införa eller upprätthålla behandlingsystem som är tekniskt kompatibla för alla typer av förfrågningar.

Svensk Handels slutsats

Enligt Svensk Handel innebär rätten till dataportabilitet en möjlighet för den registrerade att kunna ta med sig personuppgifter som den registrerade har tillhandahållit vid byte av en tjänsteleverantör. Rättigheten ska med andra ord inte förstås som att andra företag ska kunna utnyttja rättigheten på ett sätt som medför både orimliga nackdelar och kostnader för den ursprunglige personuppgiftsansvarige.

Svensk Handels ståndpunkt är således att medlemsföretagen inte har någon skyldighet att sätta upp den typen av teknisk lösning som Ombuden begär. Detta med hänsyn till att affärsmodellen utgör en ogrundad och orimlig begäran som dessutom är av repetitiv karaktär. Ombudens begäran om att inrätta löpande tekniska överföringar av kvittodata är således en begäran som personuppgiftsansvariga kan vägra att tillmötesgå eller i vart fall ta ut en avgift för att genomföra.

Det är dock viktigt att du som medlemsföretag i egenskap av personuppgiftsansvarig alltid värnar om den registrerades rättigheter och arbetar så att de krav som ställs i dataskyddsförordningen efterlevs.

Vad ska du som medlemsföretag tänka på när du svarar Ombuden?

Svensk Handel har sammanfattat några omständigheter som du kan ta hjälp av i dialogen med Ombuden.

  • Vägra att tillmötesgå begäran. Den tekniska uppsättningen utgör en ogrundad och orimlig begäran av repetitiv karaktär. Som personuppgiftsansvarig har du därför rätt att vägra att tillmötesgå begäran.
  • Rätt att hänvisa till dina egna processer. I samband med att du vägrar att tillmötesgå begäran bör du dock hänvisa den registrerade till dina egna processer för utövande av den registrerades rättigheter.Notera att både skäl 68 i GDPR samt yttrande från IMY (DI-2018-8870) anger att du som medlemsföretag rätt att hänvisa den registrerade till dina egna processer för utövande av rätten till dataportabilitet. Det finns ingen skyldighet att sätta upp den typen av tekniska överföringar som Ombuden begär.
  • Rätten till dataportabilitet omfattar endast personuppgifter som den registrerade har tillhandahållit. Utifrån den fullmakt som Ombuden har tillhandahållit vissa medlemsföretag kan det ifrågasättas om alla uppgifter som efterfrågas omfattas av rätten till dataportabilitet. Med hänsyn till detta krav bör du bedöma om de personuppgifter som efterfrågas är sådana som den registrerade har tillhandahållit. Notera att art. 29-gruppen tidigare har angett att köp med lojalitetskort omfattas av rätten till dataportabilitet. Se art. 29-gruppen riktlinjer om rätten till dataportabilitet.
  • Rätten till dataportabilitet omfattar endast personuppgifter som behandlas baserat på avtalet som har ingåtts med den registrerade eller samtycke. Med hänsyn till detta behöver du kartlägga vilken rättslig grund som tillämpas för de personuppgifter som efterfrågas.
  • Nämn rätten att kunna ta ut en avgift. Utgångspunkten är att du som medlemsföretag har rätt att vägra att tillmötesgå begäran från Ombuden. Om Ombuden är påstridiga kan du fundera på om du vill nämna rätten att kunna ta ut en avgift för den tekniska lösningen och i samband med detta be Ombuden att inhämta den registrerades inställning till sådan avgift.
Sofia Stigmar
Publicerad: 2021.02.10 Senast uppdaterad: 2021.02.10 Kategorier: Artikel, Dataskydd och integritet

Skriv en kommentar