Rätten att bli glömd i digitala miljöer

Rät­ten att bli glömd är en grund­läg­gan­de rät­tig­het i GDPR. I prak­ti­ken inne­bär den­na rät­tig­het att en indi­vid har rätt att begä­ra att få sina per­son­upp­gif­ter rade­ra­de under vis­sa omstän­dig­he­ter. Såda­na omstän­dig­he­ter kan vara att en indi­vids per­son­upp­gif­ter inte läng­re är nöd­vän­di­ga för de ända­mål de sam­lats in för eller att indi­vi­den åter­kal­lar sitt sam­tyc­ke till att ett före­tag behand­lar den­nes per­son­upp­gif­ter. Före­tag som behand­lar per­son­upp­gif­ter är där­för skyl­di­ga att ha meka­nis­mer på plats för att kun­na iden­ti­fi­e­ra och, när befo­gat, rade­ra des­sa uppgifter.

GDPR inne­hål­ler där­e­mot inga när­ma­re detal­jer om vad en rade­ring av lag­ra­de per­son­upp­gif­ter inne­bär i prak­ti­ken, och hur rade­ring­en tek­niskt ska ske. Den gene­rel­la upp­fatt­ning­en ver­kar dock vara att rade­ring enligt GDPR inne­bär en så kal­lad säker rade­ring, dvs. att före­tag mås­te vid­ta en rade­ring som omöj­lig­gör ett åter­ska­pan­de av personuppgifterna.

Anonymiserade uppgifter och pseudonymiserad information

Vida­re är GDPR endast tillämp­lig på lag­rad infor­ma­tion som utgör per­son­upp­gif­ter. Det­ta inne­bär att om ett före­tag ano­ny­mi­se­rar per­son­upp­gif­ter på ett sätt som med­för att upp­gif­ter­na inte läng­re går att kny­ta till en viss fysisk per­son i livet, så anses såda­na ano­ny­mi­se­ra­de upp­gif­ter inte läng­re omfat­tas av GDPR.

Det­ta inne­bär att ano­ny­mi­se­ra­de upp­gif­ter  i vis­sa fall kan använ­das av ett före­tag för and­ra ända­mål än vad de ini­ti­alt insam­lats för och ano­ny­mi­se­ra­de upp­gif­ter kan där­för även lag­ras under en obe­stämd tid.

Här ska påpe­kas att det inte är till­räck­ligt att kryp­te­ra per­son­upp­gif­ter, eftersom kryp­te­rad infor­ma­tion nor­malt kan dekryp­te­ras med hjälp av oli­ka tek­nis­ka nyck­lar, t.ex. lösenord. Kryp­te­rad infor­ma­tion är istäl­let ett exem­pel på pseu­do­ny­mi­se­ring, eftersom infor­ma­tion som är hän­för­lig till indi­vi­der har öron­märkts med en tek­nisk nyckel.

Tekniskt svårt att uppfylla krav på radering av personuppgifter

GDPR inne­hål­ler allt­så ing­en när­ma­re beskriv­ning vad gäl­ler hur ett före­tag ska rade­ra per­son­upp­gif­ter för att anses ha upp­fyllt kra­vet enligt för­ord­ning­en. Det finns där­för en osä­ker­het för före­tag som använ­der sig av IT-lös­ning­ar där tek­ni­ken begrän­sar möj­lig­he­ter­na att rade­ra personuppgifter.

Ett före­tag har nor­malt sett elektro­nisk infor­ma­tion lag­rad på mer än ett medium, en kanal eller en platt­form. Det kan till exem­pel hand­la om att ett före­tag säker­hetsko­pi­e­rar infor­ma­tion eller använ­der sig av block­ked­je­tek­no­lo­gi i sin verksamhet.

Rade­ring i verk­sam­he­tens IT-system leder där­för inte nöd­vän­digt­vis till att den rade­ra­de infor­ma­tio­nen i frå­ga är för all­tid bor­ta. Bero­en­de på hur ett före­tag byggt upp sin digi­ta­la infra­struk­tur kan svå­rig­he­ter upp­stå i att prak­tiskt till­se och åstad­kom­ma en säker rade­ring av personuppgifter.

I såda­na situ­a­tio­ner har alter­na­ti­va meto­der för att upp­nå kra­vet i GDPR tagits fram av natio­nel­la data­skydds­myn­dig­he­ter inom EU.

Så resonerar britterna

Den brit­tis­ka data­skydds­myn­dig­he­ten, ”ICO”, har pub­li­ce­rat en väg­led­ning som tar sik­te på hur krav på rade­ring ska betrak­tas i de fall en defi­ni­tiv och säker rade­ring kan vara prak­tiskt svår att upp­nå på grund av före­ta­gets digi­ta­la infrastrukturer.

ICO:s väg­led­ning före­slår ett mer prak­tiskt till­vä­ga­gångs­sätt där ICO anser att lag­kra­vet på att rade­ra per­son­upp­gif­ter kan anses vara upp­fyllt om per­son­upp­gif­ter­na är pla­ce­ra­de bort­om använd­ning (eng. ”put beyond use”). Enligt ICO kan den­na prin­cip möj­ligt­vis använ­das av ett före­tag då det inte är möj­ligt för före­ta­get att vid­ta en säker rade­ring av personuppgifterna.

För att upp­gif­ter ska anses vara pla­ce­ra­de bort­om använd­ning har ICO utta­lat att det krävs att före­ta­get inte använ­der upp­gif­ter­na för att infor­me­ra indi­vi­den eller i övrigt han­te­rar upp­gif­ter­na på ett sätt som inne­bär att indi­vi­den påver­kas. Före­ta­get ska dess­utom se till att ing­en annan orga­ni­sa­tion ges till­gång till upp­gif­ter­na samt att tek­nis­ka och orga­ni­sa­to­ris­ka åtgär­der vid­tas för att skyd­da upp­gif­ter­na från intrång och liknande.

Ett före­tag mås­te även åta sig att vid­ta en säker rade­ring av upp­gif­ter­na, som är pla­ce­ra­de bort­om använd­ning, så fort det blir möj­ligt. Trots att ICO anta­git den­na väg­led­ning innan GDPR träd­de i kraft, har ICO upp­gett att råden är fort­satt tillämpliga.

Den franska tolkningen

Även den frans­ka data­skydds­myn­dig­he­ten, ”CNIL”, har valt att för­sö­ka anpas­sa tolk­ning­en av rät­ten att bli glömd och kra­vet på rade­ring i för­hål­lan­de till den digi­ta­la utveck­ling­en. CNIL har pub­li­ce­rat ett ytt­ran­de om hur en orga­ni­sa­tion kan till­för­säk­ra att indi­vi­der har rätt att utö­va sin rätt att bli glömd i blockkedjeteknologi.

CNIL anger att per­son­upp­gif­ter som lag­ras i exem­pel­vis en block­ked­ja per auto­ma­tik blir före­mål för kryp­te­ring. Eftersom upp­gif­ter­na kryp­te­ras blir till­gäng­lig­he­ten till per­son­upp­gif­ter­na som lag­ras på block­ked­jan mer eller mind­re helt oåt­kom­li­ga om före­ta­get där­ut­ö­ver till­ser att upp­gif­ter som lag­ras utan­för block­ked­jan, men som dock är hän­för­li­ga till per­son­upp­gif­ter som lag­ras i block­ked­jan, utsätts för en säker rade­ring. På så sätt blir näm­li­gen per­son­upp­gif­ter­na i block­ked­jan till stor del anonymiserade.

Att placera personuppgifter ”beyond use”

Sam­man­fatt­nings­vis kan det kon­sta­te­ras att både ICO:s och CNIL:s prak­tis­ka tolk­ning av rät­ten att bli glömd och skyl­dig­he­ten att rade­ra per­son­upp­gif­ter, går hand i hand. Nyc­keln till att upp­fyl­la kra­vet på rade­ring av upp­gif­ter enligt GDPR kan allt­så tän­kas vara att pla­ce­ra per­son­upp­gif­ter som inte kan rade­ras ome­del­bart ”beyond use” till dess en säker rade­ring kan vid­tas av företaget.

För att prak­tiskt kun­na upp­fyl­la kra­vet på rade­ring enligt GDPR är det ovan natio­nel­la data­skydds­myn­dig­he­ters utta­lan­den som till viss del får lig­ga till grund för tolk­ning­en av hur rade­ring av per­son­upp­gif­ter ska ske enligt GDPR. Innan EU genom rätts­prax­is tyd­lig­gör GDPR:s krav avse­en­de rade­ring av per­son­upp­gif­ter i digi­ta­la infra­struk­tu­rer, bör dock före­tag som behand­lar per­son­upp­gif­ter vara med­vet­na om ris­ken att inte fullt ut kun­na efter­le­va kra­vet på rade­ring. Det­ta i syn­ner­het när före­tag väl­jer att tilläm­pa och utveck­la tek­niskt kom­plexa struk­tu­rer inom verk­sam­he­ten som inklu­de­rar EU-med­bor­ga­res personuppgifter.

Vi går spän­nan­de tider till­mö­tes vad avser den fort­sat­ta utveck­ling­en av rät­ten att bli glömd.