Den 25 maj 2019 trädde EU:s nya dataskyddsförordning, GDPR, i kraft. Ett år har passerat men fortfarande brottas många företag med såväl de praktiska som de juridiska tillämpningsfrågorna. Ett problem av det förstnämnda slaget är hur företag som behandlar personuppgifter raderar dessa i sina IT-system. Enligt dataskyddsförordningen ska man bygga upp sina system så att kraven i lagstiftningen uppfylls – men vad innebär det? Och går det överhuvudtaget att radera personuppgifter på ett sätt som innebär att de aldrig kan återskapas? Läs om individens rätt att bli glömd och företagets skyldighet att radera personuppgifter i dagens krönika skriven av Jeanette Jönsson, biträdande jurist på Wistrand Advokatbyrå.
Rätten att bli glömd är en grundläggande rättighet i GDPR. I praktiken innebär denna rättighet att en individ har rätt att begära att få sina personuppgifter raderade under vissa omständigheter. Sådana omständigheter kan vara att en individs personuppgifter inte längre är nödvändiga för de ändamål de samlats in för eller att individen återkallar sitt samtycke till att ett företag behandlar dennes personuppgifter. Företag som behandlar personuppgifter är därför skyldiga att ha mekanismer på plats för att kunna identifiera och, när befogat, radera dessa uppgifter.
GDPR innehåller däremot inga närmare detaljer om vad en radering av lagrade personuppgifter innebär i praktiken, och hur raderingen tekniskt ska ske. Den generella uppfattningen verkar dock vara att radering enligt GDPR innebär en så kallad säker radering, dvs. att företag måste vidta en radering som omöjliggör ett återskapande av personuppgifterna.
Anonymiserade uppgifter och pseudonymiserad information
Vidare är GDPR endast tillämplig på lagrad information som utgör personuppgifter. Detta innebär att om ett företag anonymiserar personuppgifter på ett sätt som medför att uppgifterna inte längre går att knyta till en viss fysisk person i livet, så anses sådana anonymiserade uppgifter inte längre omfattas av GDPR.
Detta innebär att anonymiserade uppgifter i vissa fall kan användas av ett företag för andra ändamål än vad de initialt insamlats för och anonymiserade uppgifter kan därför även lagras under en obestämd tid.
Här ska påpekas att det inte är tillräckligt att kryptera personuppgifter, eftersom krypterad information normalt kan dekrypteras med hjälp av olika tekniska nycklar, t.ex. lösenord. Krypterad information är istället ett exempel på pseudonymisering, eftersom information som är hänförlig till individer har öronmärkts med en teknisk nyckel.
Tekniskt svårt att uppfylla krav på radering av personuppgifter
GDPR innehåller alltså ingen närmare beskrivning vad gäller hur ett företag ska radera personuppgifter för att anses ha uppfyllt kravet enligt förordningen. Det finns därför en osäkerhet för företag som använder sig av IT-lösningar där tekniken begränsar möjligheterna att radera personuppgifter.
Ett företag har normalt sett elektronisk information lagrad på mer än ett medium, en kanal eller en plattform. Det kan till exempel handla om att ett företag säkerhetskopierar information eller använder sig av blockkedjeteknologi i sin verksamhet.
Radering i verksamhetens IT-system leder därför inte nödvändigtvis till att den raderade informationen i fråga är för alltid borta. Beroende på hur ett företag byggt upp sin digitala infrastruktur kan svårigheter uppstå i att praktiskt tillse och åstadkomma en säker radering av personuppgifter.
I sådana situationer har alternativa metoder för att uppnå kravet i GDPR tagits fram av nationella dataskyddsmyndigheter inom EU.
Så resonerar britterna
Den brittiska dataskyddsmyndigheten, ”ICO”, har publicerat en vägledning som tar sikte på hur krav på radering ska betraktas i de fall en definitiv och säker radering kan vara praktiskt svår att uppnå på grund av företagets digitala infrastrukturer.
ICO:s vägledning föreslår ett mer praktiskt tillvägagångssätt där ICO anser att lagkravet på att radera personuppgifter kan anses vara uppfyllt om personuppgifterna är placerade bortom användning (eng. ”put beyond use”). Enligt ICO kan denna princip möjligtvis användas av ett företag då det inte är möjligt för företaget att vidta en säker radering av personuppgifterna.
För att uppgifter ska anses vara placerade bortom användning har ICO uttalat att det krävs att företaget inte använder uppgifterna för att informera individen eller i övrigt hanterar uppgifterna på ett sätt som innebär att individen påverkas. Företaget ska dessutom se till att ingen annan organisation ges tillgång till uppgifterna samt att tekniska och organisatoriska åtgärder vidtas för att skydda uppgifterna från intrång och liknande.
Ett företag måste även åta sig att vidta en säker radering av uppgifterna, som är placerade bortom användning, så fort det blir möjligt. Trots att ICO antagit denna vägledning innan GDPR trädde i kraft, har ICO uppgett att råden är fortsatt tillämpliga.
Den franska tolkningen
Även den franska dataskyddsmyndigheten, ”CNIL”, har valt att försöka anpassa tolkningen av rätten att bli glömd och kravet på radering i förhållande till den digitala utvecklingen. CNIL har publicerat ett yttrande om hur en organisation kan tillförsäkra att individer har rätt att utöva sin rätt att bli glömd i blockkedjeteknologi.
CNIL anger att personuppgifter som lagras i exempelvis en blockkedja per automatik blir föremål för kryptering. Eftersom uppgifterna krypteras blir tillgängligheten till personuppgifterna som lagras på blockkedjan mer eller mindre helt oåtkomliga om företaget därutöver tillser att uppgifter som lagras utanför blockkedjan, men som dock är hänförliga till personuppgifter som lagras i blockkedjan, utsätts för en säker radering. På så sätt blir nämligen personuppgifterna i blockkedjan till stor del anonymiserade.
Att placera personuppgifter ”beyond use”
Sammanfattningsvis kan det konstateras att både ICO:s och CNIL:s praktiska tolkning av rätten att bli glömd och skyldigheten att radera personuppgifter, går hand i hand. Nyckeln till att uppfylla kravet på radering av uppgifter enligt GDPR kan alltså tänkas vara att placera personuppgifter som inte kan raderas omedelbart ”beyond use” till dess en säker radering kan vidtas av företaget.
För att praktiskt kunna uppfylla kravet på radering enligt GDPR är det ovan nationella dataskyddsmyndigheters uttalanden som till viss del får ligga till grund för tolkningen av hur radering av personuppgifter ska ske enligt GDPR. Innan EU genom rättspraxis tydliggör GDPR:s krav avseende radering av personuppgifter i digitala infrastrukturer, bör dock företag som behandlar personuppgifter vara medvetna om risken att inte fullt ut kunna efterleva kravet på radering. Detta i synnerhet när företag väljer att tillämpa och utveckla tekniskt komplexa strukturer inom verksamheten som inkluderar EU-medborgares personuppgifter.
Vi går spännande tider tillmötes vad avser den fortsatta utvecklingen av rätten att bli glömd.
Dela artikeln om du gillade den!
Förslag på mer läsning
Miljö- och hållbarhetpåståenden i din marknadsföring
Medvetna konsumenter lockar till miljö- och hållbarhetspåståenden i företagens marknadsföring. Men kraven på vad som får sägas inom detta område är extra hårda. Ta reda på vad som gäller. Läs denna artikel i Kntnt Magasin skriven av advokat Erik Ullberg och biträdande jurist Richard Fürst på Wistrand advokatbyrå.
Läs artikel »Content marketing v/s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå
Står du i begrepp att ta hjälp av en byrå i din content marketing? Då har du säkert upptäckt att var och varannan byrå i kommunikationsbranschen numera påstår sig vara experter på ämnet. Begreppet används flitigt av många, vilket gör det svårare för dig som köpare att veta vem eller vilka du ska vända dig till. I denna artikel hjälper Lars Wirtén dig på traven!
Läs artikel »Så får du kontroll på arbetsflödet i din content marketing – del 2
Spar på tid och krafter – effektivisera arbetsflödet i din content marketing! Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar i Kntnt Magasin. Detta är en andra. Trevlig läsning!
Läs artikel »Vad är artificiell intelligens?
Funderar du på vad AI är och hur du skall förhålla dig till den revolution inom området som vi med säkerhet bara sett början på? Detta är något som vår krönikör Martin Modigh Karlsson ägnar mycket tankemöda. Läs hans intressanta analys i dagens artikel.
Läs artikel »Så får du koll på arbetsflödet i din content marketing – del 1
Effektivisera arbetsflödet i din content marketing. Det finns flera anledningar. Inte minst spar du tid. Lars Wirtén och Jörgen Olsson – två erfarna journalister, redaktörer och seniora skribenter, delar med sig av sina bästa tips i två artiklar. Den första hittar du här!
Läs artikel »Så SEO-optimerar du webbplatsen för röstsök
2020 kommer 50% av alla sökningar ske med rösten visar studie och Googles ”voice search”-tjänst växer så det knakar. Detta gör att du bör SEO-optimera din webbplats för röstsökningar redan nu. I dagens gästkrönika förklarar Alexandra Jung hur du gör!
Läs artikel »Inbound marketing sneglar mot content marketing
I denna gästkrönika reflekterar Niloo Lopez över vart inbound marketing är på väg efter att ha besökt megakonferensen Inbound 2019.
Läs artikel »Överraskande slutsats från INBOUND 2019
Kntnt Radio är tillbaka! I avsnitt 209 diskuterar Pia Tegborg, Thomas Barregren och Niloo Loopez utifrån Niloos ”take aways” från 2019 års upplaga av megakonferensen INBOUND. Samtalet landar i en oväntad konklusion. Pia och Thomas ger också en förklaring till den långvariga tystnaden. Efter 208 avsnitt under nästan lika många veckor blev det helt plötsligt tyst. Vad hände?
Läs artikel »Facebooks ”gilla”-knapp granskad av EU-domstolen
Tänk till innan du installerar Facebooks ”gilla”-knapp och andra plugins på din webbplats. Ansvaret vid behandling av personuppgifterna kan nämligen bli din huvudvärk. Detta slår ett förhandsavgörande i EU-domstolen fast. Läs mer i dagens artikel skriven av advokat Erik Ullberg och biträdande jurist Gunilla Karlsson på Wistrand Advokatbyrå.
Läs artikel »Därför är redaktörens roll så viktig
Digitala plattformar har öppnat upp fantastiska möjligheter för företag att dela med sig av värdeskapande innehåll till kunder och andra intressenter. Men intrycket kan bli spretigt i den digitala miljön. Därför är redaktörens roll central i all innehållsmarknadsföring. Läs dagens artikel skriven av Lars Wirtén och Jörgen Olsson.
Läs artikel »