Databeskyttelse

Dataportabilitet (art. 20 GDPR): retten til at flytte sine data i 2026

Dataportabilitet efter art. 20 GDPR: hvornår retten gælder, forskellen fra indsigtsret, kravet om maskinlæsbart format og hvordan du efterlever den i 2026.

Also available in:English·Français

Dataportabilitet giver den registrerede ret til at modtage de personoplysninger, vedkommende har givet dig, i et struktureret, almindeligt anvendt og maskinlæsbart format — og ret til at få oplysningerne overført direkte til en anden dataansvarlig, hvor det er teknisk muligt. Retten følger af artikel 20 i databeskyttelsesforordningen (GDPR). Formålet er at give den registrerede kontrol over egne data og at fremme konkurrence ved at gøre det lettere at skifte tjenesteudbyder. Dataportabilitet er dog snævrere end indsigtsretten: den gælder kun for oplysninger, den registrerede selv har leveret, og kun når behandlingen bygger på samtykke eller kontrakt og foretages automatisk.

Denne guide gennemgår, hvornår retten gælder, hvilke oplysninger den omfatter, hvordan den adskiller sig fra indsigtsretten, og hvad kravet om maskinlæsbart format betyder i praksis.

Hvornår gælder retten til dataportabilitet?

Efter artikel 20, stk. 1, gælder dataportabilitet kun, når alle tre betingelser er opfyldt:

  1. Behandlingen bygger på samtykke (art. 6, stk. 1, litra a, eller art. 9, stk. 2, litra a) eller på kontrakt (art. 6, stk. 1, litra b).
  2. Behandlingen foretages automatisk (dvs. ikke rent manuelt/papirbaseret).
  3. Der er tale om oplysninger, som den registrerede selv har leveret.

Bygger behandlingen på et andet grundlag — fx retlig forpligtelse eller legitim interesse — gælder retten til dataportabilitet ikke. Det er en vigtig forskel fra indsigtsretten, som gælder uanset behandlingsgrundlag. En medarbejders lønoplysninger, der behandles på grundlag af en retlig forpligtelse, er fx ikke omfattet af dataportabilitet, men er omfattet af indsigtsret.

Hvilke oplysninger er omfattet?

Retten omfatter oplysninger, den registrerede har “leveret”. EDPB’s vejledning (WP 242) fortolker dette bredt til at omfatte:

  • Aktivt afgivne oplysninger — fx navn, e-mail og adresse indtastet i en formular.
  • Observerede oplysninger genereret ved brugerens aktivitet — fx søgehistorik, lokationsdata eller aktivitetslog fra en tjeneste.

Derimod er afledte og udledte oplysninger, som den dataansvarlige selv har skabt — fx en kreditvurdering, en profil eller et scoringsresultat — ikke omfattet. De kan være genstand for indsigt, men ikke for portabilitet.

Udøvelsen af dataportabilitet må desuden ikke krænke andres rettigheder og friheder (art. 20, stk. 4). Indeholder de leverede oplysninger data om tredjeparter (fx kontakter eller beskeder til andre), skal den modtagende dataansvarlige kun behandle dem til den registreredes eget formål.

Format: struktureret, almindeligt anvendt og maskinlæsbart

Oplysningerne skal leveres i et struktureret, almindeligt anvendt og maskinlæsbart format — i praksis fx CSV, XML eller JSON. En PDF eller et scannet dokument opfylder ikke kravet, fordi det ikke uden videre kan importeres i et andet system. Formålet er, at den registrerede reelt skal kunne genbruge oplysningerne hos en anden udbyder.

Hvor det er teknisk muligt, har den registrerede desuden ret til at få oplysningerne overført direkte fra én dataansvarlig til en anden. Der er ingen pligt til at etablere teknisk kompatible systemer med alle andre udbydere, men du skal kunne levere data i et almindeligt format, som kan importeres.

Frist og forhold til øvrige rettigheder

Fristen for at efterkomme en portabilitetsanmodning er den samme som for indsigt: uden unødig forsinkelse og senest én måned, med mulighed for forlængelse i op til to måneder ved komplekse anmodninger (art. 12, stk. 3). Udøvelse af dataportabilitet påvirker ikke retten til sletning: den registrerede kan både flytte sine data og bede om, at de slettes hos den oprindelige udbyder — forudsat betingelserne for sletning er opfyldt.

For at kunne efterleve retten skal du vide, hvilke oplysninger den registrerede har leveret, og på hvilket grundlag de behandles. Det fremgår af din fortegnelse over behandlingsaktiviteter, hvor behandlingsgrundlaget for hvert formål bør være noteret. En platform som Legiscope kan hjælpe med at afgøre, hvilke behandlinger der er omfattet af portabilitet, og dokumentere håndteringen af anmodningerne.

Praktiske scenarier for dataportabilitet

Retten til dataportabilitet blev skabt med konkrete situationer i tankerne, hvor brugeren skal kunne skifte udbyder uden at miste sine data:

  • Skift af bank eller betalingstjeneste. Transaktionshistorik og kontooplysninger, som kunden har afgivet eller genereret ved brug, kan overføres til en ny udbyder.
  • Skift af e-mail- eller cloud-tjeneste. Kontakter, kalender og filer, brugeren selv har lagt op, er omfattet.
  • Sociale medier og streamingtjenester. Opslag, spillelister og aktivitetshistorik kan hentes ud i et maskinlæsbart format.
  • IoT og wearables. Måledata fra fx en aktivitetsmåler, som brugeren har genereret, kan flyttes til en anden platform.

I alle tilfælde gælder de tre betingelser: samtykke eller kontrakt som grundlag, automatisk behandling, og oplysninger brugeren selv har leveret. En scoringsmodel eller en profil, udbyderen selv har udledt, følger ikke med.

Sikkerhed ved udlevering

Dataportabilitet skaber en sikkerhedsrisiko, der ofte overses: du udleverer en samlet pakke med personoplysninger, og havner den hos den forkerte, er det i sig selv et brud på persondatasikkerheden. Tre forholdsregler:

  1. Bekræft identiteten af den, der anmoder, inden du udleverer — men uden at kræve unødige oplysninger (art. 12, stk. 6).
  2. Vælg en sikker leveringskanal. Send ikke en ukrypteret fil med følsomme oplysninger på e-mail. Brug en sikker portal eller kryptering.
  3. Beskyt tredjeparter. Indeholder de leverede data oplysninger om andre (fx kontakter eller beskeder), må udleveringen ikke krænke deres rettigheder (art. 20, stk. 4).

Hold styr på, hvilke behandlinger der er omfattet af portabilitet, i din fortegnelse over behandlingsaktiviteter, hvor behandlingsgrundlaget for hvert formål bør fremgå — det er den hurtigste måde at afgøre, om en anmodning er omfattet.

Frist, gebyr og afslag

De processuelle regler for dataportabilitet følger de almindelige regler i artikel 12:

  • Frist: uden unødig forsinkelse og senest én måned, med mulighed for forlængelse i op til to måneder ved komplekse eller mange anmodninger. Underret om en forlængelse inden for den første måned.
  • Gebyr: udgangspunktet er gratis. Kun ved åbenbart grundløse eller uforholdsmæssige anmodninger — navnlig gentagne — kan du opkræve et rimeligt gebyr eller afvise. Bevisbyrden ligger hos dig.
  • Afslag: afviser du helt eller delvist, skal du begrunde afslaget og oplyse om retten til at klage til Datatilsynet og til at indbringe sagen for domstolene. Et typisk delvist afslag angår oplysninger, der ikke er “leveret” af den registrerede (fx udledte profiler), eller hvor udleveringen ville krænke andres rettigheder.

Det retlige grundlag findes i artikel 20 i databeskyttelsesforordningen. For fortolkningen af, hvornår retten gælder, og hvordan den adskiller sig fra de øvrige rettigheder, henviser Datatilsynet til de fælleseuropæiske retningslinjer. Håndtér portabilitet i samme interne proces som indsigt og sletning, så fristerne styres ét sted.

Ofte stillede spørgsmål

Hvad er forskellen på indsigtsret og dataportabilitet?

Indsigtsretten (art. 15) gælder for alle oplysninger, du behandler om den registrerede, uanset behandlingsgrundlag, og giver ret til en kopi i et læsbart format. Dataportabilitet (art. 20) gælder kun for oplysninger, den registrerede selv har leveret, og kun når behandlingen bygger på samtykke eller kontrakt og foretages automatisk — men til gengæld i et maskinlæsbart format, der kan overføres til en anden udbyder.

Skal jeg kunne overføre data direkte til en konkurrent?

Kun hvor det er teknisk muligt. Du har pligt til at levere oplysningerne i et struktureret, maskinlæsbart format, som kan importeres andetsteds, men du er ikke forpligtet til at bygge og vedligeholde direkte, kompatible integrationer med alle andre udbydere.

Er en kreditvurdering eller profil omfattet af dataportabilitet?

Nej. Afledte og udledte oplysninger, som du selv har skabt — fx en scoringsmodel, en profil eller en kreditvurdering — er ikke omfattet af dataportabilitet. De kan dog være genstand for indsigt efter artikel 15, herunder oplysninger om logikken bag automatiske afgørelser.

Konklusion

Dataportabilitet er en målrettet ret: den gælder for de oplysninger, den registrerede selv har leveret, når behandlingen bygger på samtykke eller kontrakt og foretages automatisk. Oplysningerne skal leveres i et struktureret, maskinlæsbart format og om muligt overføres direkte til en anden udbyder. Hold styr på behandlingsgrundlaget i din fortegnelse, håndtér portabilitet i samme proces som indsigt og sletning, og overhold månedsfristen. Byg gerne portabilitet ind fra start gennem databeskyttelse gennem design.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →