1. Den enkelte har rett til å få utlevert personopplysningene sine og å lagre disse på en privat enhet til videre og personlig bruk.
2. Den enkelte har rett til å flytte, kopiere eller overføre personopplysningene sine fra en virksomhet til en annen.

Påvirker retten til dataportabilitet andre rettigheter?

Når en person utøver retten til dataportabilitet, mister man ikke de andre rettighetene man har til sine opplysninger. Den enkelte kan for eksempel fortsette å bruke tjenesten etter at retten til dataportabilitet har blitt utøvet. Hvis den enkelte ønsker å slette, endre eller få adgang til sine personopplysninger, kan vedkommende gjøre det uavhengig av utøvelse av retten til dataportabilitet.

Retten til dataportabilitet innebærer ikke en automatisk sletting av data i forbindelse med at opplysningene overføres til en annen virksomhet.

Retten til dataportabilitet gjelder kun opplysninger som den enkelte selv har gitt til virksomheten. Det gjelder opplysninger som den enkelte bevisst og aktivt har gitt fra seg, for eksempel i forbindelse med opprettelse av en brukerkonto. Det gjelder også opplysninger som er samlet inn fra den enkelte gjennom vedkommendes aktive bruk av en tjeneste, for eksempel lokasjonsdata som blir samlet inn når man bruker en treningsapp.

Personopplysninger som ikke er samlet inn direkte fra den enkelte er ikke omfattet av denne retten. Dette gjelder blant annet opplysninger basert på den enkeltes aktive bruk av en tjeneste, slik som analyser og profiler.

Retten til dataportabilitet kan bare utøves så fremt den ikke krenker andre individers rettigheter eller friheter. Hvis datasettet den enkelte ønsker utlevert og overført til en ny tjenesteleverandør også inneholder opplysninger om andre personer, må disse som hovedregel skilles ut før utlevering. Unntak gjelder for eksempel for kontaktlister og epostkorrespondanse.

Hvis man kun er interessert i å vite hvilke data en virksomhet har samlet inn om seg selv, kan man bruke retten til innsyn i stedet for retten til dataportabilitet. Retten til dataportabilitet er en rettighet som kommer i tillegg til retten til innsyn.

Personopplysningsloven gir ikke spesifikke anbefalinger om hvilke formater personopplysningene skal utleveres i. Hvilket format som er mest hensiktsmessig varierer fra sektor til sektor. Det er imidlertid ønskelig at dataformatet ivaretar hensynet til interoperabilitet slik at datasett enklest mulig kan flyttes fra en virksomhet til en annen.

Opplysningene skal oversendes kryptert (eks. ikke ukryptert på epost). Om det er behov for å sende opplysningene videre, bør de sendes på samme måte som de ble sendt i utgangspunktet.

Den enkelte kan også kreve å få opplysningene utlevert til en personlig lagringsenhet eller en betrodd tredjepart. Tredjeparten kan oppbevare og lagre opplysningene på vegne av vedkommende, og gi andre virksomheter tilgang til opplysningene med vedkommendes samtykke. 

Det må legges til rette for at personopplysningene kan overføres direkte til en annen tjenesteleverandør når dette er teknisk mulig.

Før en virksomhet utleverer opplysningene må det benyttes en autentiseringsløsning som verifiserer identiteten til vedkommende som anmoder om dataportabilitet.

Datatilsynet oppfordrer virksomheter til å utvikle felles standarder og automatiserte løsninger for dataoverføring slik at det blir enklest mulig for forbrukerne å benytte sin rett til dataportabilitet.

Tidsfristen kan utvides til to måneder hvis utleveringen er svært kompleks og tidkrevende, eller hvis virksomheten mottar mange henvendelser om utlevering samtidig. Hvis virksomheten trenger ekstra tid til å imøtekomme kravet om dataportabilitet, skal dette begrunnes og informeres om innen en måned.

Hvis virksomheten ikke behøver å imøtekomme anmodningen om dataportabilitet, skal den gi informasjon om dette innen en måned. Avslaget må begrunnes, og informasjon om retten til å klage avgjørelsen inn for Datatilsynet eller andre klagemekanismer skal bli gitt.

Virksomheter har ikke lov til å ta gebyr for å imøtekomme kravet om dataportabilitet, med mindre virksomheten kan påvise at kravet om dataportabilitet er grunnløst eller overdrevet i den forstand at kravet stadig gjentas.

Virksomheten bør blant annet forklare hvilke typer opplysninger om brukerne som omfattes av retten til dataportabilitet og hvilke som ikke gjør det. Hvis kunden ønsker å slette en konto, bør vedkommende få tydelig informasjon om sin rett til dataportabilitet slik at man har mulighet til å få opplysningene sine utlevert før kontoen slettes.

Virksomheten som mottar anmodningen om dataportabilitet er ikke ansvarlig for den videre behandlingen av opplysningene etter at de er utlevert.

Virksomheten som mottar opplysningene er ansvarlig for den videre behandlingen av opplysningene. Virksomheten kan ikke behandle opplysningene uten et lovlig behandlingsgrunnlag, og må behandle opplysningene i tråd med kravene i personopplysningsloven. Virksomheten kan for eksempel ikke behandle opplysningene hvis de ikke er relevante og nødvendige for det formålet tjenesten oppgir at de skal brukes til.