Application of the Right To Data Portability: a Technical and Managerial Perspective

Abstract

European Union’s General Data Protection Regulation provides individuals with new rights one of which is the Right to Data Portability. The Right to Data Portability has been further explained by relevant European data protection bodies’ guidelines (European Data Protection Board, Article 29 Working Party, Information Commissioner’s Office). Article 29 Working Party and Information Commissioner’s Office refer to midata initiative in the United Kingdom as an exemplary application of the Right to Data Portability. We investigate whether midata initiative is compliant with the Right to Data Portability and these guidelines as it was claimed by relevant European data protection bodies. In this thesis by using open, axial and selective coding to compare and explain the relationships between midata and these guidelines, we found that while midata is compliant with the Right to Data Portability and these guidelines in some respects, it is also not compliant regarding certain elements. We believe that our findings should provoke and shape revisions of these guidelines as many privacy professionals look at these guidelines to understand and interpret General Data Protection Regulation’s Right to Data Portability. This thesis also translates the Right to Data Portability’s provisional requirements to action plan steps in the context of data, technology and management. It provides good practice recommendations, scenarios and discussions for project managers and privacy professionals to support decision making and management practice in the application of the Right to Data Portability.

Avrupa Birliği’nin Genel Veri Koruma Tüzüğü bireylere “Veri Taşıma Hakkı” adında yeni bir hak tanımaktadır. Avrupa veri koruma otoritelerinin rehberleri(European Data Protection Board, Article 29 Working Party, Information Commissioner’s Office) Veri Taşıma Hakkı’nı daha detaylı olarak açıklamaktadır. Article 29 Working Party ve Information Commissioner’s Office, Birleşik Krallık’ın geliştirdiği midata girişimine veri taşıma hakkının örnek bir uygulaması sıfatıyla referansta bulunmaktadır. İşbu tez, midata girişiminin Veri Taşıma Hakkı’nın hükümleri ve veri koruma otoritelerinin bu konudaki rehberleri ile uyumlu olup olmadığı değerlendirmektedir. İçerikte açık, eksenel ve seçici işaretleme metodlarıyla midata ve bu rehberler arasındaki ilişki ve uyum incelenmekte ve midata girişiminin Veri Taşıma Hakkı rehberleriyle uyumlu olan ve olmayan öğeleri değerlendirilmektedir. Bulgularımız bu rehberlerin yeniden gözden geçirilmesi gerektiğini göstermektedir. Zira, birçok kişisel verilerin korunması uzmanı bu rehberlere bakarak Genel Veri Koruma Tüzüğü’nün Veri Taşıma Hakkı’nı anlamaya ve yorumlamaya çalışmaktadır. Bu tez aynı zamanda Veri Taşıma Hakkı’nın yasal gereksenimlerini veri, teknoloji ve yönetim perspektifinden aksiyon planı adımlarına çeviremektedir. İşbu tez Veri Taşıma Hakkı’nın uygulanması sırasında kullanılmak üzere, proje yöneticilerin ve kişisel verilerin korunması uzmanlarının karar alma ve yönetim pratiklerine iyi uygulama önerileri, senaryoları ve tartışmaları sağlamaktadır.