Personvern

Rett til dataportabilitet (artikkel 20 GDPR): slik oppfyller du kravet i 2026

Dataportabilitet etter artikkel 20 GDPR: hva den registrerte kan kreve, når retten gjelder, maskinlesbart format, direkte overføring og forskjellen fra innsyn.

Also available in:English·Français

Rett til dataportabilitet gir den registrerte rett til å motta personopplysninger vedkommende har gitt til en virksomhet, i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre dem til en annen behandlingsansvarlig uten hinder. Retten følger av artikkel 20 i personvernforordningen (GDPR). Den gjelder bare når behandlingen bygger på samtykke eller avtale og skjer automatisert. Formålet er å styrke den registrertes kontroll over egne opplysninger og å redusere innelåsing hos én leverandør – for eksempel ved bytte av bank, strømleverandør, treningssenter eller skytjeneste.

Denne artikkelen forklarer hva dataportabilitet omfatter, når retten gjelder og ikke gjelder, hva som ligger i «maskinlesbart format», når man må overføre direkte til en annen aktør, og hvordan retten skiller seg fra innsynsretten. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.

Hva innebærer retten til dataportabilitet?

Artikkel 20 nr. 1 gir den registrerte to sammenhengende rettigheter: å motta sine opplysninger i et strukturert, alminnelig anvendt og maskinlesbart format, og å overføre dem til en annen behandlingsansvarlig. Etter artikkel 20 nr. 2 kan den registrerte også kreve at opplysningene overføres direkte fra én behandlingsansvarlig til en annen, når det er teknisk mulig.

Retten omfatter bare opplysninger den registrerte selv har «gitt» virksomheten. Det dekker både opplysninger den registrerte aktivt har oppgitt (navn, adresse, e-post) og opplysninger som er generert gjennom bruk av tjenesten (søkehistorikk, transaksjonsdata, aktivitetslogger). Derimot omfattes ikke opplysninger virksomheten selv har utledet eller beregnet, som en kredittscore eller en profilkategori – disse dekkes av innsynsretten, men ikke av portabilitetsretten.

Når gjelder retten til dataportabilitet?

To vilkår må være oppfylt samtidig. For det første må behandlingen bygge på samtykke (artikkel 6 nr. 1 bokstav a eller artikkel 9 nr. 2 bokstav a) eller på avtale (artikkel 6 nr. 1 bokstav b). Bygger behandlingen på et annet grunnlag – for eksempel rettslig forpliktelse eller berettiget interesse – gjelder ikke portabilitetsretten. For det andre må behandlingen være automatisert; papirarkiver faller utenfor. Dette skiller portabilitet skarpt fra innsynsretten, som gjelder uansett rettslig grunnlag og format.

Hva betyr «strukturert, maskinlesbart format»?

Opplysningene skal leveres i et format som lar seg gjenbruke av andre systemer uten manuell bearbeiding. I praksis betyr det åpne, standardiserte formater som CSV, XML eller JSON – ikke en innlåst PDF eller et skjermbilde. Poenget er interoperabilitet: en annen leverandør skal kunne importere opplysningene direkte. Personvernrådet oppfordrer virksomheter til å tilby robuste, sikre og interoperable eksportløsninger, gjerne via API der det er praktisk.

Retten til dataportabilitet skal ikke ha negativ innvirkning på andres rettigheter og friheter (artikkel 20 nr. 4). Inneholder et datasett opplysninger om andre personer – for eksempel en kontaktliste eller en meldingstråd – kan den mottakende virksomheten bare behandle disse i den registrertes egen interesse, ikke til egne formål.

Hva er forskjellen på dataportabilitet og innsyn?

Selv om de to rettighetene overlapper, er de forskjellige. Innsyn etter artikkel 15 gir en kopi av alle opplysninger om den registrerte, i et lesbart format, uansett rettslig grunnlag – formålet er å informere. Portabilitet etter artikkel 20 gir bare opplysningene den registrerte selv har gitt, bygget på samtykke eller avtale og automatisert, i et maskinlesbart format – formålet er gjenbruk og bytte. En virksomhet som besvarer et portabilitetskrav med en PDF, oppfyller kanskje innsynsretten, men ikke portabilitetsretten.

Dataportabilitet i praksis

Fristen for å svare er den samme som for øvrige rettigheter: uten ugrunnet opphold og senest innen én måned, med mulighet for forlengelse på to måneder ved komplekse forespørsler. Svaret skal være kostnadsfritt.

For norske virksomheter er portabilitet mest praktisk i sektorer med hyppig leverandørbytte – bank og finans, energi, telekom, treningssentre og digitale tjenester. Å bygge en fungerende eksportfunksjon i tråd med innebygd personvern er både et regelkrav og et konkurransefortrinn: det gjør det enklere for kunder å komme til, ikke bare å forlate. Det forutsetter at virksomheten har oversikt over hvilke opplysninger som stammer fra kunden selv, noe behandlingsprotokollen skal gi. Et verktøy som Legiscope kan dokumentere hvilke behandlinger som utløser portabilitetsrett, slik at eksportløsningen dekker riktige datasett.

Hvilke sektorer berøres mest av dataportabilitet?

Retten får størst praktisk betydning der kunder bytter leverandør ofte, og der opplysningene har verdi hos den nye tilbyderen. I bank og finans kan kunder ta med seg transaksjonshistorikk; energiselskaper må kunne levere ut forbruksdata; treningssentre, strømmetjenester og digitale plattformer får jevnlig krav om eksport av bruks- og aktivitetsdata. For disse virksomhetene er en gjennomtenkt eksportfunksjon både et regelkrav og et konkurransefortrinn – den senker terskelen for nye kunder som vil ta med seg dataene sine fra en konkurrent. I andre sektorer, som offentlig forvaltning der behandlingen typisk bygger på lovpålagte oppgaver, utløses portabilitetsretten sjelden, fordi grunnlaget verken er samtykke eller avtale. Ved leverandørbytte kombineres et portabilitetskrav ofte med et krav om sletting hos den gamle tilbyderen, slik at kunden både tar med seg dataene og får dem fjernet fra det gamle systemet. Å vite på forhånd hvilke av virksomhetens behandlinger som faktisk omfattes, sparer mye tid når kravet kommer, og forutsetter en oppdatert behandlingsprotokoll som viser grunnlaget for hver behandling.

Vanlige feil

  • Å levere feil format. En PDF eller et skjermbilde oppfyller ikke kravet til maskinlesbart format. Bruk CSV, XML eller JSON.
  • Å inkludere utledede opplysninger. Score, profiler og analyser virksomheten selv har laget, omfattes ikke av portabilitetsretten.
  • Å anvende retten på feil grunnlag. Bygger behandlingen på berettiget interesse eller rettslig forpliktelse, gjelder ikke portabilitet.
  • Å eksportere andres opplysninger ukritisk. Tredjepersoners opplysninger må håndteres varsomt.
  • Å forveksle portabilitet med innsyn og dermed svare med feil omfang og format.

Ofte stilte spørsmål

Når gjelder retten til dataportabilitet?

Bare når behandlingen bygger på samtykke eller avtale og skjer automatisert. Bygger behandlingen på et annet rettslig grunnlag, som rettslig forpliktelse eller berettiget interesse, gjelder ikke retten. Papirbaserte behandlinger faller også utenfor.

Må man overføre opplysningene direkte til en konkurrent?

Ja, når det er teknisk mulig, jf. artikkel 20 nr. 2. Den registrerte kan kreve direkte overføring til en annen behandlingsansvarlig. Virksomheten kan ikke nekte fordi mottakeren er en konkurrent, men er ikke forpliktet til å innføre teknisk kompatible systemer der de ikke finnes.

Hva er forskjellen på dataportabilitet og innsyn?

Innsyn gir en kopi av alle opplysninger om den registrerte, uansett grunnlag, i lesbart format. Portabilitet gir bare opplysningene den registrerte selv har gitt, bygget på samtykke eller avtale og automatisert, i maskinlesbart format egnet for gjenbruk. Portabilitet er dermed snevrere i omfang, men strengere på format.

Må vi bygge et API for å oppfylle portabilitetsretten?

Nei, forordningen krever ikke en bestemt teknisk løsning. Kravet er at opplysningene leveres i et strukturert, alminnelig anvendt og maskinlesbart format – en CSV-, XML- eller JSON-fil oppfyller dette. Et API kreves bare der den registrerte ber om direkte overføring til en annen behandlingsansvarlig, og dette er teknisk mulig. For de fleste små og mellomstore virksomheter er en eksportfil fullt tilstrekkelig. Virksomheten er heller ikke forpliktet til å innføre teknisk kompatible systemer utelukkende for å muliggjøre direkte overføring der en slik løsning ikke allerede finnes.

Konklusjon

Dataportabilitet er den nyeste og mest tekniske av de registrertes rettigheter. Den gjelder bare opplysninger den registrerte selv har gitt, når behandlingen bygger på samtykke eller avtale og er automatisert, og den skal leveres i et maskinlesbart format som muliggjør gjenbruk. Skill den klart fra innsynsretten: ulikt omfang, ulikt grunnlag, ulikt format. For virksomheter er en god eksportløsning både et regelkrav og en fordel. Kartlegg hvilke behandlinger som utløser retten i behandlingsprotokollen, og bygg eksporten inn fra start etter prinsippet om innebygd personvern.

Denne artikkelen gir generell informasjon om artikkel 20 og utgjør ikke juridisk rådgivning.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →