Ingen vej uden om "Retten til at blive glemt": Sådan skal du forholde dig

Klumme: Persondataforordningen indfører retten til at blive glemt, så alle i højere grad kan kontrollere sine personlige oplysninger. Det kommer til at koste for virksomhederne.

Den nye persondataforordning indfører en ny rettighed, som har skabt en del røre, nemlig "Retten til at blive glemt". 

Hvad består rettigheden "Retten til at blive glemt" faktisk af? Hvad får de omfattede personer ret til?

Reglen, som er anført i paragraf 7 i den nye Persondataforordning, uddyber og præciserer retten til sletning, berigtigelse eller blokering, som fandtes i det gamle persondatadirektiv.

I bund og grund betyder det, at en person kan kræve, at en virksomhed fjerner, retter eller blokerer personoplysninger vedrørende personen, som denne ikke længere ønsker offentliggjort, opbevaret eller behandlet.

Rettigheden er derved bestemt et nyttigt værktøj til at få personer til at føle, at de har bedre kontrol over deres personlige oplysninger.

Ikke en ny rettighed
Rettigheden er dog ikke noget helt nyt.

For det første fandtes en enklere men lignende regel i det gamle persondatadirektiv. For det andet er reglen for nylig blevet anvendt i en EU-dom vedrørende Google, hvor det blev vurderet, at Google skulle tage sig af forespørgsler fra enkeltpersoner om at fjerne links til frit tilgængelige websider, som kom frem, når de søgte på deres navne.

Google-dommen omtaler "Retten til at blive glemt"-reglen i den nye persondataforordning. Men da persondataforordning jo ikke var trådt i kraft endnu, henviste EU-domstolen ikke udtrykkeligt denne rettighed.

I stedet henviste retten til privatlivets fred og retten til beskyttelse af persondata i EU's charter om grundlæggende rettigheder.

Omkostningsfuld rettighed
Den nye rettighed vil helt sikkert skabe mere administrativt arbejde for virksomheder og være en byrde både økonomisk og tidsmæssigt.

Dette er allerede situationen nu for Google, som har måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler i forbindelse med "Retten til at blive glemt".

For at håndtere "Retten til at blive glemt" skal man som virksomhed sikre sig, at man har implementeret både software til at slette data, værktøjer til at fjerne krypteringsnøgler og værktøjer til at fjerne malware samt sikre sig, at man har nok personale til at tage sig af forespørgslerne fra personer der ønsker at blive "glemt".

Hvem er forpligtet i forhold til "Retten til at blive glemt"?
I den ovennævnte Google-dom, blev Google - til Googles egen overraskelse - vurderet til at være dataansvarlig og derfor forpligtet til at imødekomme anmodningerne om "Retten til at blive glemt".

Men den nye persondataforordning fortæller os ikke, hvem der ellers vil være dataansvarlig med pligt til at efterleve "Retten til at blive glemt".

Det er for eksempel uklart, om Facebook, LinkedIn, Twitter eller andre service-udbydere på internettet er dataansvarlige med pligt til at efterleve "Retten til at blive glemt".

På mange måder vil det være mærkeligt, hvis Google skal følge reglerne, mens Twitter ikke skal. I givet fald skulle Google fjerne søgeresultater, der viser informationer om en person på Twitter, mens Twitter ikke skulle fjerne opslaget fra virksomhedens egen platform.

Men som nævnt er situationen uafklaret. Det er dog sikkert, at virksomheder, der ikke følger "Retten til at blive glemt", kan blive idømt store bøder - også selv om om fortolkningen af reglerne er uklar.

Hvad med tredjeparter, der bruger de personlige oplysninger?
Ifølge den nye persondataforordning er det også et krav, at virksomheder, som offentliggør personoplysninger, tager alle rimelige foranstaltninger - herunder tekniske - for at sikre, at tredjeparter, som behandler oplysningerne, bliver informeret om en persons forespørgsel om at få hans eller hendes oplysninger slettet.

Dette betyder for eksempel, at Google skal gøre alle rimelige foranstaltninger for at sikre, at alle, der har haft adgang til oplysningerne fra Google-servicen, og som nu behandler dem, bliver informeret om kravet om at slette disse.

Dette er en kæmpestor tidskrævende forpligtelse, som vil være en byrde for mange virksomheder.

Er der en udvej?
Der er også en undtagelse til "Retten til at blive glemt" i den nye persondataforordning.

Ifølge denne undtagelse kan behandlingen af personoplysninger med det formål at udøve retten til ytrings- og informationsfrihed ikke blive begrænset af "Retten til at blive glemt".

Dette betyder, at forespørgsler om "Retten til at blive glemt" kan afvises med begrundelse i ytrings- og informationsfriheden.

Det er dog en lidt problematisk udvej, da den nye persondataforordning ikke giver nogen retningslinjer for, hvordan ytrings- og informationsfrihed skal fortolkes. Da erfaringen fortæller os, at medlemslandende har temmelig forskellige fortolkninger af, hvordan ytrings- og informationsfrihed skal balanceres i forhold til retten til privatlivets fred, er det meget sandsynligt, at den nye persondataforordning ikke vil give en harmoniseret tilgang til "Retten til at blive glemt" og ytringsfrihedsundtagelsen.

Fremtidsudsigterne
Kort fortalt giver "Retten til at blive glemt" personer nogle brugbare værktøjer til at føle, at det er mere sikkert at dele personlige oplysninger.

Set fra virksomhedernes synspunkt vil rettigheden betyde mange administrative omkostninger og et meget usikkert grundlag for, hvordan reglen skal overholdes og fortolkes korrekt.

Det bliver interessant at se, hvor mange gange reglen skal fortolkes af EU-domstolen, før virksomhederne får en klar forestilling om, hvad deres forpligtelser er i forbindelse med reglen.

(Tak til mine Bird & Bird kollegaer, advokatfuldmægtig Amalie Langebæk og advokat Kamilla Pierdola Mondrup for hjælp med indlægget.)




Premium
Skal du tage en Pro eller ej? Sådan vælger du imellem iPhone 12 og 12 Pro
Apples to iPhone-nyheder minder overraskende meget om hinanden. Der er dog væsentlige forskelle, som du skal være opmærksom på, når du vælger.
Computerworld
Det nye MitID er et tigerspring for bedre cybersikkerhed
Klumme: Det nye MitID er en enestående mulighed for et markant løft af it-sikkerheden i danske kommuner. Med baggrund i udfasningen af det nuværende NemID kan de samtidig forbedre og styrke deres it-systemers værn overfor cyberangreb.
CIO
Podcast: Hos Viking Life-Saving Equipment er it gået fra at være backend til at være noget, som kunderne spørger aktivt efter
Podcast, The Digital Edge: Viking leverer en stadig større del af deres produkt som en tjeneste. Som en del af tjenesten tager Viking ansvar for sikkerheden ved at levere, dokumentere og vedligeholde det nødvendige sikkerhedsudstyr. Hør hvordan Henrik Balslev senior digital director hos Viking har løftet den opgave.
Job & Karriere
Regner din ferie væk? Brug tiden på at søge en af disse otte stillinger, der er ledige netop nu
Det sjasker ned over hele Danmark. Du kan bruge de våde sommerdage på at søge et af disse otte job, der er ledige lige nu.
White paper
Gratis whitepaper: Hvad er EDI, og hvordan kan det styrke min forretning?
Overvejer du EDI, og ønsker du at undersøge, om EDI er den rette investering for din virksomhed? Har en af dine kunder eller leverandører for nyligt bedt dig om at udveksle elektroniske dokumenter (EDI)? Så hent dette whitepaper og få et overblik over, hvad EDI er, og hvilke fordele producenter og grossister som dig kan se frem til, når du investerer i EDI til din forretning.