Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Klumme: Persondataforordningen indfører retten til at blive glemt, så alle i højere grad kan kontrollere sine personlige oplysninger. Det kommer til at koste for virksomhederne.

Annonce:
Annonce:
Den nye rettighed vil helt sikkert skabe mere administrativt arbejde for virksomheder og være en byrde både økonomisk og tidsmæssigt.

Alt om den nye persondataforordning

I de kommende uger vil Martin von Haller Grønbæk i klummen her fortælle om den nye persondataforordning og dens enkelte dele. Fokus er på, hvad der er relevant for danske virksomheder. 

Klummerne lægger på til hans indlæg på Computerworlds store datasikkerhedsevent 27. januar 2016 og følger op herpå. 

Du kan læse de tre første klummer her:

Hvad betyder den nye persondata-forordning for din virksomhed? Her er overblikket

Lovkrav på vej om 'Privacy by Design' og 'Privacy by Default' - det kommer det at betyde for dig

Reglerne om samtykke og cookies bliver mere indviklede: Det betyder de for dig

Den nye persondataforordning indfører en ny rettighed, som har skabt en del røre, nemlig "Retten til at blive glemt". 

Hvad består rettigheden "Retten til at blive glemt" faktisk af? Hvad får de omfattede personer ret til?

Reglen, som er anført i paragraf 7 i den nye Persondataforordning, uddyber og præciserer retten til sletning, berigtigelse eller blokering, som fandtes i det gamle persondatadirektiv.

I bund og grund betyder det, at en person kan kræve, at en virksomhed fjerner, retter eller blokerer personoplysninger vedrørende personen, som denne ikke længere ønsker offentliggjort, opbevaret eller behandlet.

Rettigheden er derved bestemt et nyttigt værktøj til at få personer til at føle, at de har bedre kontrol over deres personlige oplysninger.

Ikke en ny rettighed
Rettigheden er dog ikke noget helt nyt.

For det første fandtes en enklere men lignende regel i det gamle persondatadirektiv. For det andet er reglen for nylig blevet anvendt i en EU-dom vedrørende Google, hvor det blev vurderet, at Google skulle tage sig af forespørgsler fra enkeltpersoner om at fjerne links til frit tilgængelige websider, som kom frem, når de søgte på deres navne.

Google-dommen omtaler "Retten til at blive glemt"-reglen i den nye persondataforordning. Men da persondataforordning jo ikke var trådt i kraft endnu, henviste EU-domstolen ikke udtrykkeligt denne rettighed.

I stedet henviste retten til privatlivets fred og retten til beskyttelse af persondata i EU's charter om grundlæggende rettigheder.

Omkostningsfuld rettighed
Den nye rettighed vil helt sikkert skabe mere administrativt arbejde for virksomheder og være en byrde både økonomisk og tidsmæssigt.

Dette er allerede situationen nu for Google, som har måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler i forbindelse med "Retten til at blive glemt".

For at håndtere "Retten til at blive glemt" skal man som virksomhed sikre sig, at man har implementeret både software til at slette data, værktøjer til at fjerne krypteringsnøgler og værktøjer til at fjerne malware samt sikre sig, at man har nok personale til at tage sig af forespørgslerne fra personer der ønsker at blive "glemt".

Ifølge denne undtagelse kan behandlingen af personoplysninger med det formål at udøve retten til ytrings- og informationsfrihed ikke blive begrænset af "Retten til at blive glemt".
Hvem er forpligtet i forhold til "Retten til at blive glemt"?
I den ovennævnte Google-dom, blev Google - til Googles egen overraskelse - vurderet til at være dataansvarlig og derfor forpligtet til at imødekomme anmodningerne om "Retten til at blive glemt".

Men den nye persondataforordning fortæller os ikke, hvem der ellers vil være dataansvarlig med pligt til at efterleve "Retten til at blive glemt".

Det er for eksempel uklart, om Facebook, LinkedIn, Twitter eller andre service-udbydere på internettet er dataansvarlige med pligt til at efterleve "Retten til at blive glemt".

På mange måder vil det være mærkeligt, hvis Google skal følge reglerne, mens Twitter ikke skal. I givet fald skulle Google fjerne søgeresultater, der viser informationer om en person på Twitter, mens Twitter ikke skulle fjerne opslaget fra virksomhedens egen platform.

Men som nævnt er situationen uafklaret. Det er dog sikkert, at virksomheder, der ikke følger "Retten til at blive glemt", kan blive idømt store bøder - også selv om om fortolkningen af reglerne er uklar.

Hvad med tredjeparter, der bruger de personlige oplysninger?
Ifølge den nye persondataforordning er det også et krav, at virksomheder, som offentliggør personoplysninger, tager alle rimelige foranstaltninger - herunder tekniske - for at sikre, at tredjeparter, som behandler oplysningerne, bliver informeret om en persons forespørgsel om at få hans eller hendes oplysninger slettet.

Dette betyder for eksempel, at Google skal gøre alle rimelige foranstaltninger for at sikre, at alle, der har haft adgang til oplysningerne fra Google-servicen, og som nu behandler dem, bliver informeret om kravet om at slette disse.

Dette er en kæmpestor tidskrævende forpligtelse, som vil være en byrde for mange virksomheder.

Er der en udvej?
Der er også en undtagelse til "Retten til at blive glemt" i den nye persondataforordning.

Ifølge denne undtagelse kan behandlingen af personoplysninger med det formål at udøve retten til ytrings- og informationsfrihed ikke blive begrænset af "Retten til at blive glemt".

Dette betyder, at forespørgsler om "Retten til at blive glemt" kan afvises med begrundelse i ytrings- og informationsfriheden.

Det er dog en lidt problematisk udvej, da den nye persondataforordning ikke giver nogen retningslinjer for, hvordan ytrings- og informationsfrihed skal fortolkes.

Annonce:

Da erfaringen fortæller os, at medlemslandende har temmelig forskellige fortolkninger af, hvordan ytrings- og informationsfrihed skal balanceres i forhold til retten til privatlivets fred, er det meget sandsynligt, at den nye persondataforordning ikke vil give en harmoniseret tilgang til "Retten til at blive glemt" og ytringsfrihedsundtagelsen.

Fremtidsudsigterne
Kort fortalt giver "Retten til at blive glemt" personer nogle brugbare værktøjer til at føle, at det er mere sikkert at dele personlige oplysninger.

Set fra virksomhedernes synspunkt vil rettigheden betyde mange administrative omkostninger og et meget usikkert grundlag for, hvordan reglen skal overholdes og fortolkes korrekt.

Det bliver interessant at se, hvor mange gange reglen skal fortolkes af EU-domstolen, før virksomhederne får en klar forestilling om, hvad deres forpligtelser er i forbindelse med reglen.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)




Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Den næste iPhone bliver kedelig - men så sker der noget virkelig interessant
ComputerViews: Til næste år sker der noget interessant med iPhonen, og derfor kan iPhone-brugere gøre klogt i at vente med at udskifte den gamle iPhone.
CIO
Data fra 1,6 millioner kunder booster Matas' kundeklub: "It handler ikke længere om backoffice, men om frontoffice og mødet med kunden"
Nomineret til Årets CIO 2016: Strategien for it og forretning er en og samme ting for Matas-CIO Thomas Grane. Han ser det som sin vigtigste opgave at få digitale løsninger til at gå op i en højere enhed med virksomhedens organisation og kundernes forventninger.
Comon
Ny stortest af antivirus-programmer: Så meget kraft trækker dit sikkerhedsprogram ud af maskinen
Hvor meget saft og kraft trækker dit antivirusprogram ud af din computer? Det kan du få svar på i denne hastighedstest af 19 antivirusprogrammer.
Channelworld
Dansk HP-direktør efter opsplitning: Her er HP's fremtidsplan i Danmark
Interview: Opsplitningen af it-mastodonten HP har givet større frihed til at hjælpe kunder og forhandlere, siger den danske chef for HP's pc- og print-firma, HP Inc. Han spår, at markedet for mobile devices kommer til at drive fremtidens vækst og innovation.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.