Artikel top billede

(Foto: Computerworld US/CSO)

Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Klumme: Persondataforordningen indfører retten til at blive glemt, så alle i højere grad kan kontrollere sine personlige oplysninger. Det kommer til at koste for virksomhederne.

Den nye persondataforordning indfører en ny rettighed, som har skabt en del røre, nemlig "Retten til at blive glemt". 

Hvad består rettigheden "Retten til at blive glemt" faktisk af? Hvad får de omfattede personer ret til?

Reglen, som er anført i paragraf 7 i den nye Persondataforordning, uddyber og præciserer retten til sletning, berigtigelse eller blokering, som fandtes i det gamle persondatadirektiv.

I bund og grund betyder det, at en person kan kræve, at en virksomhed fjerner, retter eller blokerer personoplysninger vedrørende personen, som denne ikke længere ønsker offentliggjort, opbevaret eller behandlet.

Rettigheden er derved bestemt et nyttigt værktøj til at få personer til at føle, at de har bedre kontrol over deres personlige oplysninger.

Ikke en ny rettighed

Rettigheden er dog ikke noget helt nyt.

For det første fandtes en enklere men lignende regel i det gamle persondatadirektiv. For det andet er reglen for nylig blevet anvendt i en EU-dom vedrørende Google, hvor det blev vurderet, at Google skulle tage sig af forespørgsler fra enkeltpersoner om at fjerne links til frit tilgængelige websider, som kom frem, når de søgte på deres navne.

Google-dommen omtaler "Retten til at blive glemt"-reglen i den nye persondataforordning. Men da persondataforordning jo ikke var trådt i kraft endnu, henviste EU-domstolen ikke udtrykkeligt denne rettighed.

I stedet henviste retten til privatlivets fred og retten til beskyttelse af persondata i EU's charter om grundlæggende rettigheder.

Omkostningsfuld rettighed

Den nye rettighed vil helt sikkert skabe mere administrativt arbejde for virksomheder og være en byrde både økonomisk og tidsmæssigt.

Dette er allerede situationen nu for Google, som har måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler i forbindelse med "Retten til at blive glemt".

For at håndtere "Retten til at blive glemt" skal man som virksomhed sikre sig, at man har implementeret både software til at slette data, værktøjer til at fjerne krypteringsnøgler og værktøjer til at fjerne malware samt sikre sig, at man har nok personale til at tage sig af forespørgslerne fra personer der ønsker at blive "glemt".

Hvem er forpligtet i forhold til "Retten til at blive glemt"?

I den ovennævnte Google-dom, blev Google - til Googles egen overraskelse - vurderet til at være dataansvarlig og derfor forpligtet til at imødekomme anmodningerne om "Retten til at blive glemt".

Men den nye persondataforordning fortæller os ikke, hvem der ellers vil være dataansvarlig med pligt til at efterleve "Retten til at blive glemt".

Det er for eksempel uklart, om Facebook, LinkedIn, Twitter eller andre service-udbydere på internettet er dataansvarlige med pligt til at efterleve "Retten til at blive glemt".

På mange måder vil det være mærkeligt, hvis Google skal følge reglerne, mens Twitter ikke skal. I givet fald skulle Google fjerne søgeresultater, der viser informationer om en person på Twitter, mens Twitter ikke skulle fjerne opslaget fra virksomhedens egen platform.

Men som nævnt er situationen uafklaret. Det er dog sikkert, at virksomheder, der ikke følger "Retten til at blive glemt", kan blive idømt store bøder - også selv om om fortolkningen af reglerne er uklar.

Hvad med tredjeparter, der bruger de personlige oplysninger?

Ifølge den nye persondataforordning er det også et krav, at virksomheder, som offentliggør personoplysninger, tager alle rimelige foranstaltninger - herunder tekniske - for at sikre, at tredjeparter, som behandler oplysningerne, bliver informeret om en persons forespørgsel om at få hans eller hendes oplysninger slettet.

Dette betyder for eksempel, at Google skal gøre alle rimelige foranstaltninger for at sikre, at alle, der har haft adgang til oplysningerne fra Google-servicen, og som nu behandler dem, bliver informeret om kravet om at slette disse.

Dette er en kæmpestor tidskrævende forpligtelse, som vil være en byrde for mange virksomheder.

Er der en udvej?

Der er også en undtagelse til "Retten til at blive glemt" i den nye persondataforordning.

Ifølge denne undtagelse kan behandlingen af personoplysninger med det formål at udøve retten til ytrings- og informationsfrihed ikke blive begrænset af "Retten til at blive glemt".

Dette betyder, at forespørgsler om "Retten til at blive glemt" kan afvises med begrundelse i ytrings- og informationsfriheden.

Det er dog en lidt problematisk udvej, da den nye persondataforordning ikke giver nogen retningslinjer for, hvordan ytrings- og informationsfrihed skal fortolkes.

Da erfaringen fortæller os, at medlemslandende har temmelig forskellige fortolkninger af, hvordan ytrings- og informationsfrihed skal balanceres i forhold til retten til privatlivets fred, er det meget sandsynligt, at den nye persondataforordning ikke vil give en harmoniseret tilgang til "Retten til at blive glemt" og ytringsfrihedsundtagelsen.

Fremtidsudsigterne

Kort fortalt giver "Retten til at blive glemt" personer nogle brugbare værktøjer til at føle, at det er mere sikkert at dele personlige oplysninger.

Set fra virksomhedernes synspunkt vil rettigheden betyde mange administrative omkostninger og et meget usikkert grundlag for, hvordan reglen skal overholdes og fortolkes korrekt.

Det bliver interessant at se, hvor mange gange reglen skal fortolkes af EU-domstolen, før virksomhederne får en klar forestilling om, hvad deres forpligtelser er i forbindelse med reglen.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)