GDPR dataportabilitet begäran Sverige

GDPR dataportabilitet begäran i Sverige är ett formellt dokument som en registrerad person använder för att utöva rätten till dataportabilitet enligt artikel 20 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) och lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen). Rätten till dataportabilitet är en av de nyaste och mest tekniskt avancerade av de rättigheter som GDPR tillerkänner registrerade, och den skiljer sig väsentligt från rätten till registerutdrag.

Artikel 20.1 GDPR ger den registrerade rätten att ta del av de personuppgifter som rör hen och som hen har tillhandahållit en personuppgiftsansvarig, i ett strukturerat, allmänt använt och maskinläsbart format. Rätten gäller under två förutsättningar som båda måste vara uppfyllda: att behandlingen grundar sig antingen på samtycke (artikel 6.1.a eller artikel 9.2.a GDPR) eller avtal (artikel 6.1.b GDPR), och att behandlingen utförs automatiserat. Rätten gäller alltså inte behandling som grundar sig på rättslig förpliktelse, berättigat intresse eller allmänt intresse.

Artikel 20.2 GDPR ger dessutom rätten att begära att personuppgifterna överförs direkt från en personuppgiftsansvarig till en annan, om det är tekniskt möjligt (portabilitetsrätten i snäv mening). Denna rätt är särskilt viktig för tjänster som banktjänster, streamingtjänster, sociala medier och hälsoapplikationer, där en person kan vilja byta leverantör och föra med sig sina data.

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) kompletterar GDPR i Sverige och fastslår Integritetsskyddsmyndigheten (IMY), Drottninggatan 29, 111 51 Stockholm, som tillsynsmyndighet. IMY publicerar vägledning om registrerades rättigheter på imy.se. Vid overträdelse av rätten till dataportabilitet kan IMY påföra sanktionsavgifter.

Dataportabilitetsbegäran i Sverige skiljer sig från fyra angränsande begäran. Begäran om registerutdrag (artikel 15 GDPR) ger tillgång till information om behandlingens ändamål, kategorier och mottagare – men inte nödvändigtvis i maskinläsbart format. Begäran om rättelse (artikel 16 GDPR) korrigerar felaktiga uppgifter. Begäran om radering (artikel 17 GDPR, rätten att bli bortglömd) raderar uppgifter. Begäran om begränsning av behandling (artikel 18 GDPR) begränsar aktivt bruk av uppgifterna. Dataportabilitetsbegäran fokuserar istället på att erhålla en kopia av uppgifterna i portabelt format för eget bruk eller överflytt till annan tjänst.

Praktiska exempel på när dataportabilitet används. En person som vill byta bank begär ut sin transaktionshistorik och kontouppgifter från befintlig bank i CSV-format för import till ny bank. En person som vill lämna en social medieplatform (Facebook, Instagram, LinkedIn) begär ut sina inlägg, bilder, vänner och meddelanden i JSON-format. En person som vill byta musik- eller streamingtjänst (Spotify till Apple Music) begär ut lyssningshistorik och spellistor. En patient som vill byta vårdgivare begär ut patientdata i strukturerat format. På forms-legal.com finns kompletta mallar för alla GDPR-relaterade begäran inklusive registerutdrag och radering.

GDPR dataportabilitetsbegäran i Sverige används i en rad situationer där en registrerad person vill ta kontroll över sina personuppgifter och flytta dem till en annan tjänst eller lagra dem privat.

Bankbyte och finansiella tjänster. Vid byte av bank kan en kund begära ut sin kompletta transaktionshistorik, kontoutdrag, löneinbetalningar och sparuppgifter i maskinläsbart format (CSV, JSON). Med PSD2-direktivet (Europaparlamentets och rådets direktiv (EU) 2015/2366) och Finansinspektionens öppna bankningsregler har banker teknisk skyldighet att tillhandahålla APIer för dataåtkomst. Klarna, SEB, Nordea, Handelsbanken och Swedbank hanterar portabilitetsförfrågningar. Sparkontodata, bolåneuppgifter och investeringshistorik kan begäras ut för analys eller import till ny plattform.

Byte av streamingtjänst. En person som vill lämna Spotify, Netflix, HBO Max eller liknande tjänst kan begära ut lyssningshistorik, tittarhistorik, spellistor, favoriter och rekommendationsprofil. Spotify tillhandahåller dataexport via My Spotify-funktionen men formell GDPR-begäran kan ge en mer komplett dataset. YouTube erbjuder Google Takeout-tjänsten. Vid byte av tjänst kan användaren lämna begäran om direktöverföring om den mottagande tjänsten stöder detta.

Sociala medier. En person som vill lämna Facebook, Instagram, LinkedIn, Twitter/X eller TikTok kan begära ut inlägg, bilder, videor, meddelanden, vänlistor, kommentarer och reklamanpassningsdata. EU:s Digital Services Act (DSA, Europaparlamentets och rådets förordning (EU) 2022/2065) ger kompletterande rättigheter avseende portabilitet för mycket stora onlineplattformar (VLOP, Very Large Online Platforms) med mer än 45 miljoner EU-användare. GDPR artikel 20 och DSA artikel 35-38 kompletterar varandra.

Hälsoapplikationer. En person som använder hälso- och träningsappar (Garmin, Polar, Apple Health, Google Fit, 1177 Vårdguiden) kan begära ut hälsodata, träningsloggar, sömndata och medicinsk information. Vid hälso- och sjukvård gäller patientdatalagen (2008:355) parallellt och patientens rätt till journalkopia. Karolinska Universitetssjukhusets patientportal och 1177 ger tillgång till patientdata via e-tjänster.

E-handel och kundprogram. En person som vill lämna ett kundprogram (IKEA Family, H&M Club, Coop Mervärde, ICA-kortet) kan begära ut köphistorik, bonuspoäng, preferensprofil och kommunikationshistorik. Vid byte av e-handelsplattform kan säljare begära ut produktdata och transaktionshistorik från Shopify, WooCommerce eller liknande plattform.

Arbetsmarknadsplattformar. En person som lämnar LinkedIn, Indeed eller liknande arbetsmarknadsplattform kan begära ut sin profil, rekommendationer, meddelanden och nätverksdata för backup eller import till ny plattform. LinkedIn erbjuder dataexport men formell GDPR-begäran ger bredare täckning.

Försäkring och pension. En person som byter försäkringsbolag eller pensionsförvaltare (SPP, Alecta, Skandia, Folksam) kan begära ut försäkringshistorik, premiebetalningar och policydokumentation i maskinläsbart format. Pensionsmyndigheten och MinPension.se ger åtkomst till pensionsdata via e-legitimation.

GDPR dataportabilitetsbegäran i Sverige måste innehålla specifika element för att säkerställa att personuppgiftsansvarig kan identifiera dig, förstå begäran och uppfylla skyldigheten inom en månad per artikel 12.3 GDPR.

Identifiering av den registrerade. Fullständigt namn, födelsedag eller personnummer (ÅÅÅÅMMDD-XXXX enligt folkbokföringslagen (1991:481)), e-postadress som är registrerad hos den ansvarige och eventuellt kundnummer, användarnamn eller kontonummer. Identifieringsuppgifter ska vara tillräckliga för att den ansvarige ska kunna hitta dina uppgifter i sina system. IMY:s vägledning klargör att oproportionerlig identifiering inte får krävas – den ansvarige kan inte kräva kopia av pass om enkel e-postverifiering räcker.

Identifiering av personuppgiftsansvarig. Fullständigt namn och organisationsnummer (XXXXXX-XXXX) eller adress till den organisation du riktar begäran till. Adress till dataskyddsombudet (DPO) om känt. E-post till integritetsfunktionen (vanligen dataskydd@, dpo@, privacy@ eller gdpr@företaget.se). Begäran bör skickas via spårbart medium (e-post med bekräftelse, rekommenderat brev) för dokumentation av mottagningsdatum.

Specifikation av uppgiftskategorier. Tydlig beskrivning av vilka kategorier av personuppgifter du begär ut. Rätten till dataportabilitet gäller uppgifter du aktivt har lämnat (kontaktuppgifter, inloggningsdata, köphistorik, inlägg, profil) men inte uppgifter som den ansvarige genererat internt (kreditbedömning, interna anteckningar, analysresultat). Beakta att rätten gäller uppgifter från samtycke eller avtal – uppgifter behandlade med annan rättslig grund (rättslig förpliktelse, berättigat intresse) faller utanför artikel 20.

Önskat format. Begäran ska ange önskat format: JSON (JavaScript Object Notation, det vanligaste maskinläsbara formatet), CSV (Comma-Separated Values, lämpligt för tabelldata), XML (eXtensible Markup Language, strukturerat format) eller valfritt format som uppfyller kravet på strukturerat, allmänt använt och maskinläsbart format. Artikel 20.1 GDPR specificerar kraven men anger inte ett specifikt format. EDPB:s riktlinjer 5/2019 om rätten till portabilitet ger vägledning.

Önskat leveranssätt. Begäran kan specifiera hur du vill ta emot uppgifterna: säker nedladdningslänk via e-post (vanligast), direktöverföring till annan personuppgiftsansvarig (artikel 20.2 GDPR, om tekniskt möjligt), krypterat via e-post eller på USB-medium. Vid direktöverföring ska mottagande organisation namnges.

Datum för begäran. Datumet är viktigt för beräkning av svarstiden. Personuppgiftsansvarig ska svara inom en månad från mottagningsdatum. Vid tvister om svarsfristen ger dokumenterat datum ett rättsligt stöd för klagomål till IMY.

Rättslig hänvisning. Begäran bör explicit hänvisa till artikel 20 GDPR och lag (2018:218) för att undanröja oklarhet om rättslig grund och skyldighet. Referens till IMY som tillsynsmyndighet informerar den ansvarige om konsekvenserna av bristfälligt svar.

Information om påföljder. Påminnelse om svarstidsfrist (en månad per artikel 12.3 GDPR), konsekvenser av bristande svar och rätt att inge klagomål till IMY ([email protected]) och att väcka talan i domstol per artikel 79 GDPR. På forms-legal.com finns kompletta mallar för alla GDPR-begäran.

GDPR dataportabilitetsbegäran i Sverige fylls i och skickas korrekt enligt följande steg.

Steg 1 - Identifiera rätten. Kontrollera att din begäran faller under artikel 20 GDPR. Rätten gäller: (a) uppgifter du aktivt har lämnat (registrerade uppgifter, köphistorik, inlägg, profil), (b) behandling som grundar sig på samtycke (artikel 6.1.a) eller avtal (artikel 6.1.b GDPR), och (c) automatiserad behandling. Rätten gäller inte uppgifter behandlade med stöd av rättslig förpliktelse (bokföring), berättigat intresse eller manuell behandling.

Steg 2 - Fyll i dina identifikationsuppgifter. Ange fullständigt namn, födelsedag (ÅÅÅÅ-MM-DD), registrerad e-postadress och eventuellt kundnummer. Använd uppgifter som matchar vad du lämnat vid registrering eller köp hos den ansvarige. Oproportionerlig identifiering (krav på passkopiering) kan bestridas med hänvisning till IMY:s vägledning.

Steg 3 - Identifiera personuppgiftsansvarig. Sök upp korrekt juridisk person och dataskyddskontakt. Många större företag har en dedicerad GDPR-begäransportal: Spotify (spotify.com/privacy), Google (myaccount.google.com/data-and-privacy), Facebook (facebook.com/help/contact/540977946302970), LinkedIn (linkedin.com/psettings/member-data). Skicka till dataskyddsombudet (DPO) om sådant finns – detta säkerställer att rätt person tar emot begäran.

Steg 4 - Specificera uppgiftskategorier konkret. Lista vilka kategorier du vill ha ut: 'köphistorik', 'profil och kontaktuppgifter', 'lyssningshistorik', 'meddelanden', 'betalningsuppgifter', 'aktivitetslogg'. Var specifik utan att begränsa dig onödan – du kan använda formuleringen 'alla personuppgifter som jag har lämnat' för att täcka in hela datasetet.

Steg 5 - Välj format och leveranssätt. JSON är det vanligaste och mest universella maskinläsbara formatet. CSV är lämpligt om du vill öppna data i Excel eller Google Sheets. Välj direktöverföring (artikel 20.2) om du byter till en specifik annan tjänst och ange mottagarens namn. De flesta tjänster levererar via säker nedladdningslänk med begränsad giltighetstid.

Steg 6 - Skicka begäran med spårning. Skicka via e-post till DPO eller dataskyddsfunktionen och begär läskvitto. Spara avsänt e-postmeddelande. Alternativt skicka via rekommenderat brev. Dokumentation av mottagningsdatum är avgörande om svarstiden behöver bestridas. Ange datum i begäran.

Steg 7 - Bevaka svar. Personuppgiftsansvarig ska svara inom en månad. Om de behöver förlängning ska de meddela dig inom den första månaden. Om du inte fått svar inom en månad, skicka en påminnelse. Om du fortfarande inte fått svar, inge klagomål till IMY på imy.se eller [email protected]. IMY behandlar klagomål och kan utfärda föreläggande.

Steg 8 - Hantera mottagna uppgifter. När uppgifterna levereras, kontrollera att du fått vad du begärt. Uppgifterna levereras vanligen som en ZIP-fil med JSON, CSV eller andra filer. Kontrollera att format och innehåll matchar begäran. Om uppgifter saknas eller levereras i otillgängligt format, kontakta den ansvarige och vid behov IMY.

GDPR dataportabilitetsbegäran i Sverige är underkastad ett specifikt rättsligt ramverk som fastslår både den registrerades rättigheter och den personuppgiftsansvariges skyldigheter.

Artikel 20 GDPR – rätten till dataportabilitet. Artikel 20.1 GDPR ger rätten att ta del av uppgifter i strukturerat, allmänt använt och maskinläsbart format, under förutsättning att behandlingen grundar sig på samtycke (artikel 6.1.a eller 9.2.a) eller avtal (artikel 6.1.b) och utförs automatiserat. Artikel 20.2 GDPR ger rätten till direktöverföring om tekniskt möjligt. Artikel 20.3 GDPR klargör att rätten inte påverkar ändras rättigheter och friheter (vid uppgifter om fler registrerade gäller försiktighet). Artikel 20.4 GDPR klargör att rätten inte påverkar rätten till radering.

Artikel 12 GDPR – svarstid och form. Personuppgiftsansvarig ska vidta åtgärder på begäran och informera den registrerade om åtgärderna utan onödigt dröjsmål och senast inom en månad från mottagandet av begäran. Vid behov kan tidsfristen förlängas med ytterligare två månader om begäran är komplex eller ett stort antal begäran inkommer. Den registrerade ska underrättas om förlängningen inom en månad. Avslag ska motiveras med hänvisning till specifik rättslig grund per artikel 12.4 GDPR.

EDPB:s riktlinjer 5/2019 om rätten till portabilitet (WP 242 rev.01). Europeiska dataskyddsstyrelsen (EDPB) har antagit riktlinjer om rätten till dataportabilitet som preciserar innebörden av 'uppgifter som den registrerade har tillhandahållit', 'strukturerat, allmänt använt och maskinläsbart format' och tillämpningsområdet för direktöverföring. Riktlinjerna är inte juridiskt bindande men beaktas av IMY och domstolar.

Digital Services Act (DSA), Europaparlamentets och rådets förordning (EU) 2022/2065. DSA ger kompletterande portabilitetsrättigheter för användare av mycket stora onlineplattformar (VLOP) och sökmotorer (VLOSE). Artikel 35 DSA kräver att VLOP erbjuder verktyg för dataportabilitet. DSA och GDPR artikel 20 tillämpas parallellt och kompletterar varandra.

Data Governance Act (DGA), Europaparlamentets och rådets förordning (EU) 2022/868. DGA reglerar återanvändning av skyddade offentliga data och frivillig datadelning och kompletterar GDPR och DSA inom det bredare ramverket för en europeisk dataekonomi.

Administrativa sanktionsavgifter artikel 83.4 GDPR. Överträdelse av artiklarna 12 och 20 GDPR kan leda till sanktionsavgifter på upp till 10 miljoner euro eller 2% av den globala årsomsättningen. IMY kan dessutom utfärda föreläggande att fullgöra skyldigheten. Skadestånd enligt artikel 82 GDPR och 7 kap. 1 § dataskyddslagen är möjligt vid materiell eller immateriell skada.

Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen reglerar IMY:s tillsyn och överklagandeordningen. Klagomål till IMY kan inges via imy.se. IMY:s beslut kan överklagas till Förvaltningsrätten i Stockholm per 7 kap. 4 § dataskyddslagen.

Vanliga misstag vid GDPR dataportabilitetsbegäran i Sverige som leder till försenade svar, avslag eller bristfällig leverans.

Misstag 1 - Felaktig tillämpning av rätten. Begäran om portabilitet riktas mot behandling som grundar sig på berättigat intresse eller rättslig förpliktelse, där rätten inte gäller. Artikel 20 GDPR kräver att behandlingen grundar sig på samtycke eller avtal. Exempelvis gäller inte portabilitetsrätten för uppgifter som behandlas av banken för KYC-kontroll (rättslig förpliktelse) eller av arbetsgivare för löneadministration (rättslig förpliktelse). Lösning: kontrollera rättslig grund för behandlingen innan begäran skickas.

Misstag 2 - Otillräcklig identifiering. Begäran utan tillräckliga identifikationsuppgifter leder till krav på komplettering och försenat svar. Den ansvarige har rätt att kräva ytterligare information för att säkerställa den registrerades identitet. Inkludera alltid namn, e-post registrerad hos ansvarige, födelsedag och eventuellt kundnummer. Undvik att skicka begäran från en annan e-post än den registrerade.

Misstag 3 - Otydlig specifikation av önskade uppgifter. Alltför vaga formuleringar ('all min data') kan leda till ofullständiga leveranser. Alternativt kan alltför snäva formuleringar utesluta relevanta uppgiftskategorier. Specificera konkret: kontaktuppgifter, köphistorik, profil, inlägg, meddelanden, aktivitetslogg. Rätten till portabilitet gäller 'tillhandahållna uppgifter' – uppgifter du aktivt lämnat, inte uppgifter ansvarige genererat internt.

Misstag 4 - Begäran skickas till fel adress. Begäran skickas till kundtjänst istället för dataskyddsombudet (DPO) eller integritetsfunktionen. Kundtjänst kanske inte hanterar GDPR-begäran och kan fördröja processen. Sök upp DPO:ns kontaktuppgifter (ges i integritetspolicyn per artikel 13.1.b GDPR). Alternativt används GDPR-portalen om sådan finns.

Misstag 5 - Inget spår av begäran. Begäran skickas utan spårning (e-post utan läskvitto, telefonsamtal). Om den ansvarige påstår att de inte fått begäran saknas bevis. Skicka alltid via e-post med begärd läsbekräftelse eller via rekommenderat brev. Dokumentera datum och innehåll.

Misstag 6 - Passivitet vid utebliven respons. Den ansvarige svarar inte inom en månad och den registrerade tar inte action. Skicka en påminnelse vid utebliven respons och inge klagomål till IMY utan dröjsmål. IMY:s klagomålsformulär finns på imy.se. IMY kan utfärda föreläggande och sanktionsavgifter vid bristfällig hantering.

Misstag 7 - Förväxling med rätten till registerutdrag. Dataportabilitet (artikel 20) och registerutdrag (artikel 15) är separata rättigheter med olika syften. Registerutdrag ger information om behandlingens ändamål och kategorier men inte nödvändigtvis i maskinläsbart format. Dataportabilitet ger uppgifterna i portabelt format. Rätten till registerutdrag är bredare (gäller alla rättsliga grunder) men portabilitetsrätten kräver maskinläsbart format.