Hvilke behandlinger dekkes av dataportabilitet og hvilke gjør det ikke?

Dataportabilitetsretten etter personvernforordningen (GDPR) artikkel 20 dekker behandling som er basert på samtykke etter artikkel 6 nr. 1 bokstav a eller artikkel 9 nr. 2 bokstav a, og behandling basert på avtale etter artikkel 6 nr. 1 bokstav b, forutsatt at behandlingen foretas med automatiserte midler. Eksempler på behandling som dekkes er: strømmetjenester (basert på abonnementsavtale), nettbutikker (basert på kjøpsavtale), helse- og treningsapper (basert på samtykke), musikktjenester (basert på abonnementsavtale), og sosiale medier (basert på samtykke). Behandling som ikke dekkes er: behandling basert på berettiget interesse etter artikkel 6 nr. 1 bokstav f, behandling basert på rettslig forpliktelse etter bokstav c, behandling basert på offentlig myndighet etter bokstav e, og behandling som foretas utelukkende med manuelle midler. EU-personvernrådet (EDPB) har gitt retningslinjer om avgrensingen i Guidelines 05/2019 on the Right to Data Portability.

Kan jeg be om at dataene overføres direkte til en ny tjeneste?

Ja, etter personvernforordningen (GDPR) artikkel 20 nr. 2 har du rett til å be om at dataene overføres direkte fra én behandlingsansvarlig til en annen, der dette er teknisk mulig. Prinsippet er at du ikke skal behøve å fungere som mellommann dersom systemene kan kommunisere direkte. I praksis er det imidlertid mange tilfeller der direkte overføring ikke er teknisk mulig, fordi virksomhetene ikke har etablert kompatible dataoverføringsprotokoller. I slike tilfeller skal den opprinnelige behandlingsansvarlige levere data til deg, og du kan deretter importere dem manuelt i den nye tjenesten. Noen sektorer og plattformer har utviklet standardiserte overføringsprotokoller, for eksempel Data Transfer Project (DTP), som støtter direkte overføring mellom deltakende plattformer. Behandlingsansvarlig kan ikke nekte direkte overføring med den begrunnelse at det ville skade dem kommersielt; nektelse er bare rettmessig der direkte overføring faktisk ikke er teknisk mulig.

Hva er forskjellen mellom dataportabilitet og innsynsretten?

Dataportabilitetsretten etter personvernforordningen (GDPR) artikkel 20 og innsynsretten etter artikkel 15 overlapper, men tjener ulike formål og har ulike krav. Innsynsretten etter artikkel 15 gir deg rett til å vite hvilke personopplysninger en virksomhet behandler om deg, og til å få en kopi. Formålet er primært kontroll og overvåking av behandlingen. Innsynsretten krever ikke et maskinlesbart format; en PDF eller et brev er tilstrekkelig. Innsynsretten gjelder for all behandling av personopplysninger, uavhengig av rettslig grunnlag. Dataportabilitetsretten etter artikkel 20 gir derimot rett til en maskinlesbar kopi av de opplysningene du selv har gitt, med formål å muliggjøre viderebruk og import i andre systemer. Portabilitetsretten er begrenset til behandling basert på samtykke eller avtale og til automatisert behandling. I praksis er portabilitetsretten det riktige valget der du vil bytte tjeneste eller ha en importerbar datasikkerhetskopi; innsynsretten er det riktige valget der du vil kontrollere hva som behandles om deg.

Kan virksomheten nekte å gi meg dataene i maskinlesbart format?

Behandlingsansvarlig kan nekte å etterkomme en portabilitetsbegjæring der vilkårene ikke er oppfylt, for eksempel der behandlingen er basert på berettiget interesse og ikke på samtykke eller avtale, eller der det gjelder avledede opplysninger. Behandlingsansvarlig kan også nekte dersom begjæringen er åpenbart grunnløs eller overdreven etter personvernforordningen (GDPR) artikkel 12 nr. 5. Behandlingsansvarlig kan derimot ikke nekte portabilitet med den begrunnelse at utlevering er kommersielt ugunstig, at formatet er upraktisk for dem, eller at de bruker proprietære formater. Avslaget skal alltid begrunnes skriftlig og klageadgangen opplyses. Dersom avslaget er ubegrunnet, kan du klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77; Datatilsynets vedtak kan påklages til Personvernnemnda. Du kan dessuten kreve erstatning etter artikkel 82.

Er det noen begrensninger på hva portabilitetsretten dekker?

Ja, portabilitetsretten etter personvernforordningen (GDPR) artikkel 20 har flere viktige begrensninger. For det første dekker den bare behandling basert på samtykke eller avtale og ikke behandling basert på berettiget interesse, rettslig forpliktelse, vitale interesser eller offentlig myndighet. For det andre dekker den bare behandling som foretas med automatiserte midler. For det tredje dekker den bare opplysninger den registrerte selv har gitt; avledede opplysninger som kredittscore, risikoklassifiseringer og analyseresultater er ikke dekket. For det fjerde skal retten til å motta data ikke skade andres rettigheter og friheter etter artikkel 20 nr. 4, slik at data som inneholder opplysninger om andre personer, kan måtte leveres med de andres opplysninger slettet eller anonymisert. For det femte er direkte overføring til ny behandlingsansvarlig begrenset til der det er «teknisk mulig». Disse begrensningene er viktige å være klar over for å sette realistiske forventninger til hva portabilitetsbegjæringen vil resultere i.

GDPR dataportabilitetsbegjæring Norge

Q: Hva er dataportabilitet og hva gir retten deg krav på?

Dataportabilitet er retten til å motta dine egne personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre dem til en annen tjenesteleverandør etter personvernforordningen (GDPR) artikkel 20. Retten gir deg krav på å motta de opplysningene du selv har gitt til en virksomhet i et format som kan importeres i et annet system, for eksempel JSON, CSV eller XML. Retten gjelder der behandlingen er basert på samtykke eller avtale og foretas med automatiserte midler. Portabilitetsretten dekker opplysninger du aktivt har oppgitt, for eksempel profilopplysninger, og opplysninger innsamlet gjennom din aktivitet, for eksempel kjøpshistorikk, spillehistorikk og aktivitetslogg. Den dekker ikke avledede opplysninger som kredittscore og analyseresultater. Retten er gratis å benytte, og behandlingsansvarlig skal svare innen én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3.

GDPR dataportabilitetsbegjæring

Personvernforordningen (GDPR) art. 20; personopplysningsloven (2018); art. 12 svarfrist

BEGJÆRING OM DATAPORTABILITET

Etter personvernforordningen (GDPR) artikkel 20

TIL BEHANDLINGSANSVARLIG

[Mottaker Navn], [Mottaker Adresse]

FRA DEN REGISTRERTE

[Registrert Navn], [Registrert Adresse]. Fødselsdato: [Registrert Fodsel]. E-post: [Registrert Epost].

BEGJÆRING OM DATAPORTABILITET

Undertegnede, [Registrert Navn], fremsetter herved begjæring om dataportabilitet etter personvernforordningen (GDPR) artikkel 20, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018).

Etter personvernforordningen (GDPR) artikkel 20 nr. 1 har den registrerte rett til å motta personopplysningene som vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format, dersom behandlingen er basert på samtykke etter artikkel 6 nr. 1 bokstav a eller artikkel 9 nr. 2 bokstav a, eller på avtale etter artikkel 6 nr. 1 bokstav b, og behandlingen foretas med automatiserte midler.

Opplysninger som begjæres overlevert: [Data Omfang].

Ønsket format: [Oensket Format].

KONKRETE KRAV

Undertegnede krever at [Mottaker Navn] innen svarfristen på én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3:

(a) leverer de angitte opplysningene i valgt format, enten direkte til undertegnede eller til ny behandlingsansvarlig [Overforing Mottaker] etter personvernforordningen (GDPR) artikkel 20 nr. 2, der dette er teknisk mulig;

(b) bekrefter at leveringen er utført, med opplysning om dato og metode;

(c) gir en begrunnelse dersom begjæringen avslås helt eller delvis, herunder opplysning om at portabilitetsretten ikke gjelder opplysninger behandlet på grunnlag av berettiget interesse etter artikkel 6 nr. 1 bokstav f eller rettslig forpliktelse etter bokstav c, og informerer om klageadgangen.

Det presiseres at retten til dataportabilitet ikke berører sletteretten etter personvernforordningen (GDPR) artikkel 17, og at undertegnede forbeholder seg retten til å fremsette en særskilt slettingsbegjæring.

KLAGEADGANG

Dersom begjæringen ikke etterkommes innen fristen, eller svaret er utilfredsstillende, forbeholder undertegnede seg retten til å klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018). Datatilsynets vedtak kan påklages til Personvernnemnda. Retten til effektivt rettsmiddel for domstolene følger av personvernforordningen (GDPR) artikkel 79.

UNDERSKRIFT

Sted og dato: ___________________________

Underskrift: ___________________________

[Registrert Navn]

Registrert

________________

Signature

Vedlikeholdt av Vladislav Sergienko, grunnlegger·Mal sist endret: 2026-06-23·Rapporter en feil

Hva er GDPR dataportabilitetsbegjæring Norge?

GDPR dataportabilitetsbegjæring i Norge er en skriftlig begjæring der en registrert person påberoper seg retten til dataportabilitet etter personvernforordningen (GDPR) artikkel 20. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Den behandlingsansvarlige skal levere de personopplysningene den registrerte har gitt, i et strukturert, alminnelig anvendt og maskinlesbart format, og der det er teknisk mulig overføre disse direkte til en annen behandlingsansvarlig.

Retten til dataportabilitet er en ny rettighet som kom med personvernforordningen (GDPR) og ikke hadde noe motstykke i den tidligere personopplysningsloven fra 2000. Formålet er å gi den registrerte kontroll over egne data, gjøre det lettere å skifte tjenesteleverandør, og fremme konkurranse mellom tjenesteleverandører i det digitale markedet. Datatilsynet har utgitt veiledning om dataportabilitet, og EU-personvernrådet (EDPB) har gitt retningslinjer om rettens omfang.

Portabilitetsretten har tre vilkår etter personvernforordningen (GDPR) artikkel 20 nr. 1. Det første vilkåret er at behandlingen er basert på samtykke etter artikkel 6 nr. 1 bokstav a eller artikkel 9 nr. 2 bokstav a, eller på avtale etter artikkel 6 nr. 1 bokstav b. Retten gjelder ikke for behandling basert på berettiget interesse etter bokstav f eller rettslig forpliktelse etter bokstav c. Det andre vilkåret er at behandlingen foretas med automatiserte midler. Behandling som skjer utelukkende manuelt, er ikke dekket. Det tredje vilkåret er at det gjelder opplysninger den registrerte selv har gitt til behandlingsansvarlig, herunder opplysninger den registrerte aktivt har oppgitt og opplysninger innsamlet gjennom den registrertes aktivitet (logg, kjøpshistorikk, spillehistorikk).

Portabilitetsplikten dekker ikke opplysninger som er utledet eller fremstilt av behandlingsansvarlig basert på den registrertes data, for eksempel kredittscore, risikoprofileringer eller analyseresultater. Slike avledede opplysninger er behandlingsansvarliges intellektuelle produkt og er ikke «gitt» av den registrerte.

Direkte overføring til ny behandlingsansvarlig er mulig. Etter personvernforordningen (GDPR) artikkel 20 nr. 2 har den registrerte rett til å få opplysningene overført direkte fra en behandlingsansvarlig til en annen, der dette er teknisk mulig. Dette er særlig praktisk ved tjenesteskifte, der man ønsker at musikktjeneste, strømmetjeneste, bank eller sosiale medier overfører profildata direkte til en ny leverandør. «Teknisk mulig» avgjøres av de involverte systemenes mulighet til å utveksle data, og det er ingen absolutt plikt for behandlingsansvarlig til å gjøre det teknisk mulig.

Portabilitetsretten gjelder ved siden av innsynsretten etter personvernforordningen (GDPR) artikkel 15. Innsynsretten gir rett til å vite hva som behandles og få en kopi; portabilitetsretten gir rett til en maskinlesbar kopi som kan importeres i et annet system. Portabilitetsretten berører heller ikke sletteretten etter artikkel 17.

Forskjellene mot beslektede begjæringer er viktige. Dataportabilitetsbegjæringen gir maskinlesbar kopi til viderebruk, mens innsynsbegjæringen etter artikkel 15 gir en menneskelesbar kopi primært for kontrollformål. Slettingsbegjæringen etter artikkel 17 fjerner opplysningene, mens portabilitet beholder dem hos den opprinnelige behandlingsansvarlige. Det videre forms-legal.com biblioteket inneholder maler for alle disse begjæringene.

Når trenger du GDPR dataportabilitetsbegjæring Norge?

GDPR dataportabilitetsbegjæring i Norge er aktuell i alle situasjoner der en person ønsker å ta med seg sine egne data fra én tjenesteleverandør til en annen, eller ønsker en maskinlesbar kopi av sine data for eget bruk.

Ved skifte av streamingtjeneste eller musikktjeneste. Den kanskje mest praktiske bruken av dataportabilitet er ved skifte av musikktjeneste eller strømmetjeneste. Spillelister, favoritter, sesjonshistorikk og brukerpreferanser kan etter personvernforordningen (GDPR) artikkel 20 kreves utlevert i maskinlesbart format, slik at de kan importeres i en ny tjeneste. Denne rettigheten gjør leverandørbytte langt enklere og reduserer «lock-in»-effekten.

Ved skifte av bank eller finansiell tjeneste. PSD2-direktivet (betalingstjenestedirektivet) og norsk lovgiving om åpen bankvirksomhet (Open Banking) supplerer portabilitetsretten med egne regler om tilgang til transaksjonsdata. Dataportabilitet etter personvernforordningen (GDPR) artikkel 20 gir i tillegg rett til en bredere personlig datapakke inkludert profil- og kontoopplysninger, noe som kan være nyttig ved skifte av bank eller ved sammenligning av banktilbud.

Ved skifte av helseplattform eller egenbehandlingsapp. Helseopplysninger og aktivitetsdata som er registrert i en tredjepartsapp (fitness-apper, søvnapper, kostholdsapper), kan etter personvernforordningen (GDPR) artikkel 20 kreves utlevert i maskinlesbart format. Portabiliteten gjør det mulig å overføre disse til en annen helseapp eller til fastlegen. Merk at helseopplysninger i pasientjournalen er regulert av spesiallovgivningen i pasientjournalloven (2014) og ikke nødvendigvis dekkes av portabilitetsretten.

Ved skifte av sosiale medier. Mange sosiale medieplattformer tilbyr nedlasting av brukerdata, og portabilitetsretten etter personvernforordningen (GDPR) artikkel 20 gir en rettslig forankring for dette kravet. Dataene kan inneholde profil, innlegg, bilder, meldinger og kontaktlister. Direkte overføring til en ny plattform er teknisk mulig for noen plattformer gjennom initiativet Data Transfer Project.

Ved ønske om datasikkerhetskopi for eget bruk. En person kan ønske å ha en kopi av egne data i maskinlesbart format som personlig datasikkerhetskopi, uavhengig av planer om leverandørbytte. Portabilitetsretten etter personvernforordningen (GDPR) artikkel 20 gir rett til å motta slike data gratis én gang, og behandlingsansvarlig kan bare kreve gebyr ved åpenbart grunnløse eller overdrevne begjæringer.

Ved konkurs eller stengning av tjeneste. Dersom en tjenesteklar melder om stengning eller konkurs, er det viktig å hente ut sine data mens tjenesten fremdeles er tilgjengelig. Portabilitetsretten etter personvernforordningen (GDPR) artikkel 20 gir en juridisk forankring for å kreve utlevering i maskinlesbart format, slik at data kan lagres trygt og importeres i en ny tjeneste.

Ved forskning og analyse av egne data. En person kan bruke portabilitetsretten for å analysere egne data, for eksempel kjøpshistorikk, nettleservaner, søkehistorikk eller annen atferdsdata. Maskinlesbart format muliggjør analyse i regneark eller analyseverktøy. Personvernforordningen (GDPR) artikkel 20 støtter dette som et formål, da retten er en del av den registrertes kontroll over egne opplysninger.

Hva bør GDPR dataportabilitetsbegjæring Norge inneholde

En effektiv GDPR dataportabilitetsbegjæring Norge inneholder følgende nøkkelelementer for å oppfylle kravene etter personvernforordningen (GDPR) artikkel 20.

Identifikasjon av den registrerte. Begjæringen skal inneholde tilstrekkelige opplysninger til sikker identifikasjon av den registrerte, slik at opplysningene utleveres til riktig person. Fullt navn og eventuelt fødselsdato eller brukernavn er som oftest tilstrekkelig. Etter personvernforordningen (GDPR) artikkel 12 nr. 6 kan behandlingsansvarlig ved rimelig tvil be om ytterligere identifikasjon, men kravet skal ikke være mer omfattende enn nødvendig.

Kontaktopplysninger for levering. Begjæringen skal angi e-postadresse for levering av data, da elektronisk levering er den vanligste formen. Klar angivelse av foretrukket leveringsadresse gjør det enklere for behandlingsansvarlig å levere innen fristen.

Identifikasjon av behandlingsansvarlig. Begjæringen rettes til den behandlingsansvarlige med navn og adresse. Kontaktopplysningene finnes i virksomhetens personvernerklæring eller i Enhetsregisteret hos Brønnøysundregistrene. Begjæringen sendes til e-postadressen for personvernspørsmål for rask behandling.

Angivelse av hvilke opplysninger som ønskes. En presis beskrivelse av hvilke opplysninger som ønskes utlevert, gjør det enklere for behandlingsansvarlig å identifisere og pakke de riktige opplysningene. Begjæringen kan gjelde alle opplysninger den registrerte har gitt, eller avgrenses til en bestemt kategori eller periode. Det bør presiseres at begjæringen gjelder opplysninger som er «gitt» av den registrerte etter personvernforordningen (GDPR) artikkel 20 nr. 1, da portabilitetsplikten ikke dekker avledede opplysninger.

Ønsket format for levering. Begjæringen bør angi ønsket format for levering, for eksempel JSON, CSV eller XML. Behandlingsansvarlig er forpliktet til å levere i et strukturert, alminnelig anvendt og maskinlesbart format etter personvernforordningen (GDPR) artikkel 20 nr. 1. Det er ikke krav om et bestemt format, men formatet skal gjøre det mulig å importere dataene i et annet system.

Eventuelt krav om direkte overføring til ny behandlingsansvarlig. Dersom den registrerte ønsker at dataene overføres direkte til en ny leverandør etter personvernforordningen (GDPR) artikkel 20 nr. 2, skal dette angis i begjæringen med navn på ny behandlingsansvarlig. Direkte overføring er mulig «der dette er teknisk mulig», og behandlingsansvarlig er ikke ansvarlig for at det teknisk lar seg gjøre. Disse elementene utfyller forms-legal.com bibliotekets maler for GDPR-rettigheter.

Henvisning til svarfristen og klageadgangen. Begjæringen bør vise til svarfristen på én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3 og informere om klageadgangen til Datatilsynet etter artikkel 77. Datatilsynets vedtak kan påklages til Personvernnemnda.

Datering og underskrift. Begjæringen bør dateres og undertegnes for å dokumentere tidspunktet for fremsettelsen og for å bekrefte at begjæringen er autentisk.

Slik fyller du ut GDPR dataportabilitetsbegjæring Norge

Å fylle ut en GDPR dataportabilitetsbegjæring Norge korrekt krever at man følger trinnene nedenfor, slik at begjæringen oppfyller kravene etter personvernforordningen (GDPR) artikkel 20 og kan behandles effektivt av behandlingsansvarlig.

Trinn 1 — Kontroller at vilkårene for portabilitetsretten er oppfylt. Portabilitetsretten etter personvernforordningen (GDPR) artikkel 20 gjelder bare der behandlingen er basert på samtykke etter artikkel 6 nr. 1 bokstav a, eller på avtale etter artikkel 6 nr. 1 bokstav b, og behandlingen foretas med automatiserte midler. Retten gjelder ikke for behandling basert på berettiget interesse eller rettslig forpliktelse. Kontroller i virksomhetens personvernerklæring hva som er det rettslige grunnlaget for den behandlingen begjæringen gjelder.

Trinn 2 — Oppgi dine egne opplysninger for identifikasjon. Oppgi fullt navn og eventuelt fødselsdato i format DD.MM.ÅÅÅÅ, brukernavn eller et annet identifikasjonstrekk som knytter deg til ditt kundeforhold. Oppgi bare det som er nødvendig for sikker identifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6.

Trinn 3 — Oppgi kontaktopplysninger for levering. Oppgi din e-postadresse der du ønsker å motta datapakken. Dersom du ønsker levering på annen måte, for eksempel via en sikker nedlastingslenke, angi dette i begjæringen.

Trinn 4 — Identifiser behandlingsansvarlig og send til riktig adresse. Finn e-postadressen for personvernhenvendelser i virksomhetens personvernerklæring. Send begjæringen til denne adressen for rask behandling.

Trinn 5 — Angi hvilke opplysninger du ber om. Beskriv hvilke kategorier av opplysninger du ber om, for eksempel alle opplysninger du har oppgitt, bruks- og aktivitetsdata, kommunikasjonshistorikk, kjøpshistorikk, profilopplysninger. Dersom begjæringen kun gjelder en bestemt periode, angi dette. Husk at portabilitetsplikten ikke dekker avledede opplysninger som kredittscore og analyseresultater.

Trinn 6 — Velg ønsket format. Velg ønsket format for leveringen: JSON er vanlig for strukturerte data og egner seg for import i de fleste systemer; CSV er praktisk for tabelldata og kan åpnes i regneark; XML er alminnelig anvendt for dokumentbaserte data. Dersom du ikke har preferanse, angi bare at du ønsker et maskinlesbart format etter personvernforordningen (GDPR) artikkel 20.

Trinn 7 — Angi eventuell ny behandlingsansvarlig for direkte overføring. Dersom du ønsker at dataene overføres direkte til en ny leverandør etter personvernforordningen (GDPR) artikkel 20 nr. 2, oppgi navn og kontaktopplysninger til den nye leverandøren. Dersom du bare ønsker dataene utlevert til deg selv, la dette feltet stå tomt.

Trinn 8 — Vis til svarfristen og datér begjæringen. Vis til at behandlingsansvarlig skal svare innen én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3. Oppgi sted og dato og underskriv. Send begjæringen på en måte som gir notoritet og ta vare på en kopi.

Trinn 9 — Følg opp ved behov. Dersom behandlingsansvarlig ikke svarer innen fristen, send en påminnelse og klag til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 via datatilsynet.no.

Juridiske krav til GDPR dataportabilitetsbegjæring Norge

GDPR dataportabilitetsbegjæring Norge er regulert av personvernforordningen (GDPR) og personopplysningsloven (2018) som fastlegger vilkårene for retten, dens omfang og behandlingsansvarliges plikter.

Portabilitetsretten etter personvernforordningen (GDPR) artikkel 20. Etter artikkel 20 nr. 1 har den registrerte rett til å motta personopplysningene vedkommende har gitt til en behandlingsansvarlig, i et strukturert, alminnelig anvendt og maskinlesbart format. Retten gjelder der behandlingen er basert på samtykke etter artikkel 6 nr. 1 bokstav a, eller på avtale etter artikkel 6 nr. 1 bokstav b, og behandlingen foretas med automatiserte midler. Retten til direkte overføring til ny behandlingsansvarlig der dette er teknisk mulig følger av artikkel 20 nr. 2.

Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført ved personopplysningsloven (2018). De samme rettighetene gjelder i Norge som i EU. Datatilsynet er nasjonal tilsynsmyndighet, og EDPB (EU-personvernrådet) har gitt retningslinjer om portabilitetsretten (Guidelines 05/2019 on the Right to Data Portability). Datatilsynets vedtak kan påklages til Personvernnemnda.

Vilkår for portabilitetsretten. Portabilitetsretten gjelder kun der tre kumulative vilkår er oppfylt: (1) behandlingen er basert på samtykke eller avtale (ikke berettiget interesse, rettslig forpliktelse, vitale interesser eller offentlig myndighet); (2) behandlingen foretas med automatiserte midler; og (3) det gjelder opplysninger den registrerte selv har gitt. Avledede opplysninger som kredittscore og risikoklassifiseringer er ikke «gitt» av den registrerte og er ikke dekket.

Formatets krav etter personvernforordningen (GDPR) artikkel 20 nr. 1. Opplysningene skal leveres i et strukturert, alminnelig anvendt og maskinlesbart format. Det kreves ikke et bestemt format, men formatet skal gjøre det mulig å importere dataene i et annet system. Interoperable formater som JSON, CSV og XML er eksempler på alminnelig anvendte maskinlesbare formater. PDF er ikke maskinlesbart i forordningens forstand dersom det ikke kan parses av dataprogrammer.

Direkte overføring etter personvernforordningen (GDPR) artikkel 20 nr. 2. Den registrerte har rett til å få overført opplysningene direkte fra én behandlingsansvarlig til en annen der dette er teknisk mulig. Det er ingen absolutt plikt for behandlingsansvarlig til å gjøre det teknisk mulig, men plikten gjelder der det allerede er teknisk mulig. Behandlingsansvarlig er ikke ansvarlig for den mottakende behandlingsansvarliges systemer.

Svarfrist og prosessregler etter personvernforordningen (GDPR) artikkel 12. Behandlingsansvarlig skal svare innen én måned etter artikkel 12 nr. 3. Levering er gratis etter artikkel 12 nr. 5. Avslag skal begrunnes og klageadgangen opplyses.

Forholdet til sektorregler i norsk lovgivning. Portabilitetsretten suppleres av sektorregler. PSD2 gir regler om tilgang til betalingsdata. Pasientjournalloven (2014) gir pasienter rett til innsyn i og kopi av journal. Disse reglene kan gi bedre tilgang i sine respektive sektorer, og den registrerte bør vurdere å benytte begge regelverkene der begge er aktuelle.

Klageadgang og sanksjoner etter personvernforordningen (GDPR) artiklene 77, 79 og 82. Den registrerte kan klage til Datatilsynet etter artikkel 77, som kan pålegge behandlingsansvarlig å etterkomme portabilitetsbegjæringen og ilegge overtredelsesgebyr etter artikkel 83. Datatilsynets vedtak kan påklages til Personvernnemnda. Den registrerte har rett til erstatning etter artikkel 82 og rett til domstolsbehandling etter artikkel 79.

Vanlige feil i GDPR dataportabilitetsbegjæring Norge

Vanlige feil ved utforming og bruk av GDPR dataportabilitetsbegjæring Norge kan forsinke behandlingen eller føre til avslag.

Feil 1 — Begjæring om opplysninger som ikke er dekket. Å be om portabilitet av avledede opplysninger, som kredittscore, risikoklassifiseringer eller analyseresultater, gir ikke rett til portabilitet etter personvernforordningen (GDPR) artikkel 20 nr. 1, fordi disse ikke er «gitt» av den registrerte. Løsning: avgrens begjæringen til opplysninger den registrerte selv har gitt, for eksempel profilopplysninger, aktivitetslogg og innhold.

Feil 2 — Begjæring der vilkårene ikke er oppfylt. Portabilitetsretten gjelder bare der behandlingen er basert på samtykke eller avtale og foretas med automatiserte midler. Begjæring om portabilitet av opplysninger behandlet på grunnlag av berettiget interesse eller rettslig forpliktelse gir ikke portabilitetsrett. Løsning: sjekk det rettslige grunnlaget i virksomhetens personvernerklæring før begjæringen fremsettes.

Feil 3 — Forveksling med innsynsretten. Innsynsretten etter personvernforordningen (GDPR) artikkel 15 og portabilitetsretten etter artikkel 20 overlapper, men er ulike. Innsynsretten gir en kopi primært for kontrollformål og krever ikke maskinlesbart format; portabilitetsretten gir en maskinlesbar kopi for viderebruk. Løsning: bruk portabilitetsbegjæringen der du trenger maskinlesbare data for import i et annet system; bruk innsynsbegjæringen der du bare vil vite hva som er registrert.

Feil 4 — Manglende angivelse av ønsket format. En begjæring uten angivelse av format kan resultere i levering i et format som ikke passer den tiltenkte bruken. Løsning: angi ønsket format (JSON, CSV, XML eller annet maskinlesbart format) i begjæringen, og informer om hva dataene skal brukes til dersom dette er relevant for formatvalget.

Feil 5 — Uklar angivelse av ny behandlingsansvarlig ved direkte overføring. En vag beskrivelse av den nye behandlingsansvarlige gjør det vanskelig for den opprinnelige behandlingsansvarlige å utføre direkte overføring. Løsning: oppgi full navn og kontaktopplysninger til den nye behandlingsansvarlige ved ønske om direkte overføring etter personvernforordningen (GDPR) artikkel 20 nr. 2.

Feil 6 — Urealistiske forventninger om direkte overføring. Å forvente at den opprinnelige behandlingsansvarlige sørger for direkte overføring der dette ikke er teknisk mulig. Retten til direkte overføring gjelder bare der det er «teknisk mulig», og ikke alle virksomheter har teknisk infrastruktur for dette. Løsning: planlegg for manuell mottak og import av data i den nye tjenesten dersom direkte overføring ikke er mulig.

Feil 7 — Manglende oppfølging ved avslag. Å akseptere et ubegrunnet avslag uten å klage gjør at man ikke får håndhevet portabilitetsretten. Løsning: be om skriftlig begrunnelse for avslaget og klag til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 dersom avslaget er ubegrunnet.

Siter denne siden

Henvis til denne gratis malen i en artikkel, et pensum eller en forskningsnotat:

APA

Forms Legal. (2026). GDPR dataportabilitetsbegjæring Norge (Norge) [Legal document template]. Forms Legal. https://forms-legal.com/nb/norge/government/gdpr/gdpr-dataportabilitet

MLA

"GDPR dataportabilitetsbegjæring Norge (Norge)." Forms Legal, 2026, https://forms-legal.com/nb/norge/government/gdpr/gdpr-dataportabilitet.

BibTeX

@misc{formslegal-gdpr-dataportabilitet,
  author       = {{Forms Legal}},
  title        = {GDPR dataportabilitetsbegjæring Norge (Norge)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/nb/norge/government/gdpr/gdpr-dataportabilitet}},
  note         = {Free legal document template}
}

Også tilgjengelig for disse jurisdiksjonene:

Portugal

Ofte stilte spørsmål

Mal med lovhenvisninger — Malen ble sist endret juni 2026

Denne malen leveres kun til informasjonsformål og utgjør ikke juridisk rådgivning. Lover varierer mellom jurisdiksjoner og endres over tid. Rådfør deg med en kvalifisert advokat for råd som er spesifikke for din situasjon.Fullstendig ansvarsfraskrivelse

Fant du en feil? Gi oss beskjed