Rätten att bli glömd i digitala miljöer

Den 25 maj 2019 trädde EU:s nya dataskyddsförordning, GDPR, i kraft. Ett år har passerat men fortfarande brottas många företag med såväl de praktiska som de juridiska tillämpningsfrågorna. Ett problem av det förstnämnda slaget är hur företag som behandlar personuppgifter raderar dessa i sina IT-system. Enligt dataskyddsförordningen ska man bygga upp sina system så att kraven i lagstiftningen uppfylls – men vad innebär det? Och går det överhuvudtaget att radera personuppgifter på ett sätt som innebär att de aldrig kan återskapas? Läs om individens rätt att bli glömd och företagets skyldighet att radera personuppgifter i dagens krönika skriven av Jeanette Jönsson, biträdande jurist på Wistrand Advokatbyrå.

Jeanette Jönsson
29 maj 2019

Rät­ten att bli glömd är en grund­läg­gan­de rät­tig­het i GDPR. I prak­ti­ken inne­bär den­na rät­tig­het att en indi­vid har rätt att begä­ra att få sina per­son­upp­gif­ter rade­ra­de under vis­sa omstän­dig­he­ter. Såda­na omstän­dig­he­ter kan vara att en indi­vids per­son­upp­gif­ter inte läng­re är nöd­vän­di­ga för de ända­mål de sam­lats in för eller att indi­vi­den åter­kal­lar sitt sam­tyc­ke till att ett före­tag behand­lar den­nes per­son­upp­gif­ter. Före­tag som behand­lar per­son­upp­gif­ter är där­för skyl­di­ga att ha meka­nis­mer på plats för att kun­na iden­ti­fi­e­ra och, när befo­gat, rade­ra des­sa uppgifter.

GDPR inne­hål­ler där­e­mot inga när­ma­re detal­jer om vad en rade­ring av lag­ra­de per­son­upp­gif­ter inne­bär i prak­ti­ken, och hur rade­ring­en tek­niskt ska ske. Den gene­rel­la upp­fatt­ning­en ver­kar dock vara att rade­ring enligt GDPR inne­bär en så kal­lad säker rade­ring, dvs. att före­tag mås­te vid­ta en rade­ring som omöj­lig­gör ett åter­ska­pan­de av personuppgifterna.

Anonymiserade uppgifter och pseudonymiserad information

Vida­re är GDPR endast tillämp­lig på lag­rad infor­ma­tion som utgör per­son­upp­gif­ter. Det­ta inne­bär att om ett före­tag ano­ny­mi­se­rar per­son­upp­gif­ter på ett sätt som med­för att upp­gif­ter­na inte läng­re går att kny­ta till en viss fysisk per­son i livet, så anses såda­na ano­ny­mi­se­ra­de upp­gif­ter inte läng­re omfat­tas av GDPR.

Det­ta inne­bär att ano­ny­mi­se­ra­de upp­gif­ter  i vis­sa fall kan använ­das av ett före­tag för and­ra ända­mål än vad de ini­ti­alt insam­lats för och ano­ny­mi­se­ra­de upp­gif­ter kan där­för även lag­ras under en obe­stämd tid.

Här ska påpe­kas att det inte är till­räck­ligt att kryp­te­ra per­son­upp­gif­ter, eftersom kryp­te­rad infor­ma­tion nor­malt kan dekryp­te­ras med hjälp av oli­ka tek­nis­ka nyck­lar, t.ex. lösenord. Kryp­te­rad infor­ma­tion är istäl­let ett exem­pel på pseu­do­ny­mi­se­ring, eftersom infor­ma­tion som är hän­för­lig till indi­vi­der har öron­märkts med en tek­nisk nyckel.

Tekniskt svårt att uppfylla krav på radering av personuppgifter

GDPR inne­hål­ler allt­så ing­en när­ma­re beskriv­ning vad gäl­ler hur ett före­tag ska rade­ra per­son­upp­gif­ter för att anses ha upp­fyllt kra­vet enligt för­ord­ning­en. Det finns där­för en osä­ker­het för före­tag som använ­der sig av IT-lös­ning­ar där tek­ni­ken begrän­sar möj­lig­he­ter­na att rade­ra personuppgifter.

Ett före­tag har nor­malt sett elektro­nisk infor­ma­tion lag­rad på mer än ett medium, en kanal eller en platt­form. Det kan till exem­pel hand­la om att ett före­tag säker­hetsko­pi­e­rar infor­ma­tion eller använ­der sig av block­ked­je­tek­no­lo­gi i sin verksamhet.

Rade­ring i verk­sam­he­tens IT-system leder där­för inte nöd­vän­digt­vis till att den rade­ra­de infor­ma­tio­nen i frå­ga är för all­tid bor­ta. Bero­en­de på hur ett före­tag byggt upp sin digi­ta­la infra­struk­tur kan svå­rig­he­ter upp­stå i att prak­tiskt till­se och åstad­kom­ma en säker rade­ring av personuppgifter.

I såda­na situ­a­tio­ner har alter­na­ti­va meto­der för att upp­nå kra­vet i GDPR tagits fram av natio­nel­la data­skydds­myn­dig­he­ter inom EU.

Så resonerar britterna

Den brit­tis­ka data­skydds­myn­dig­he­ten, ”ICO”, har pub­li­ce­rat en väg­led­ning som tar sik­te på hur krav på rade­ring ska betrak­tas i de fall en defi­ni­tiv och säker rade­ring kan vara prak­tiskt svår att upp­nå på grund av före­ta­gets digi­ta­la infrastrukturer.

ICO:s väg­led­ning före­slår ett mer prak­tiskt till­vä­ga­gångs­sätt där ICO anser att lag­kra­vet på att rade­ra per­son­upp­gif­ter kan anses vara upp­fyllt om per­son­upp­gif­ter­na är pla­ce­ra­de bort­om använd­ning (eng. ”put beyond use”). Enligt ICO kan den­na prin­cip möj­ligt­vis använ­das av ett före­tag då det inte är möj­ligt för före­ta­get att vid­ta en säker rade­ring av personuppgifterna.

För att upp­gif­ter ska anses vara pla­ce­ra­de bort­om använd­ning har ICO utta­lat att det krävs att före­ta­get inte använ­der upp­gif­ter­na för att infor­me­ra indi­vi­den eller i övrigt han­te­rar upp­gif­ter­na på ett sätt som inne­bär att indi­vi­den påver­kas. Före­ta­get ska dess­utom se till att ing­en annan orga­ni­sa­tion ges till­gång till upp­gif­ter­na samt att tek­nis­ka och orga­ni­sa­to­ris­ka åtgär­der vid­tas för att skyd­da upp­gif­ter­na från intrång och liknande.

Ett före­tag mås­te även åta sig att vid­ta en säker rade­ring av upp­gif­ter­na, som är pla­ce­ra­de bort­om använd­ning, så fort det blir möj­ligt. Trots att ICO anta­git den­na väg­led­ning innan GDPR träd­de i kraft, har ICO upp­gett att råden är fort­satt tillämpliga.

Den franska tolkningen

Även den frans­ka data­skydds­myn­dig­he­ten, ”CNIL”, har valt att för­sö­ka anpas­sa tolk­ning­en av rät­ten att bli glömd och kra­vet på rade­ring i för­hål­lan­de till den digi­ta­la utveck­ling­en. CNIL har pub­li­ce­rat ett ytt­ran­de om hur en orga­ni­sa­tion kan till­för­säk­ra att indi­vi­der har rätt att utö­va sin rätt att bli glömd i blockkedjeteknologi.

CNIL anger att per­son­upp­gif­ter som lag­ras i exem­pel­vis en block­ked­ja per auto­ma­tik blir före­mål för kryp­te­ring. Eftersom upp­gif­ter­na kryp­te­ras blir till­gäng­lig­he­ten till per­son­upp­gif­ter­na som lag­ras på block­ked­jan mer eller mind­re helt oåt­kom­li­ga om före­ta­get där­ut­ö­ver till­ser att upp­gif­ter som lag­ras utan­för block­ked­jan, men som dock är hän­för­li­ga till per­son­upp­gif­ter som lag­ras i block­ked­jan, utsätts för en säker rade­ring. På så sätt blir näm­li­gen per­son­upp­gif­ter­na i block­ked­jan till stor del anonymiserade.

Att placera personuppgifter ”beyond use

Sam­man­fatt­nings­vis kan det kon­sta­te­ras att både ICO:s och CNIL:s prak­tis­ka tolk­ning av rät­ten att bli glömd och skyl­dig­he­ten att rade­ra per­son­upp­gif­ter, går hand i hand. Nyc­keln till att upp­fyl­la kra­vet på rade­ring av upp­gif­ter enligt GDPR kan allt­så tän­kas vara att pla­ce­ra per­son­upp­gif­ter som inte kan rade­ras ome­del­bart ”beyond use” till dess en säker rade­ring kan vid­tas av företaget.

För att prak­tiskt kun­na upp­fyl­la kra­vet på rade­ring enligt GDPR är det ovan natio­nel­la data­skydds­myn­dig­he­ters utta­lan­den som till viss del får lig­ga till grund för tolk­ning­en av hur rade­ring av per­son­upp­gif­ter ska ske enligt GDPR. Innan EU genom rätts­prax­is tyd­lig­gör GDPR:s krav avse­en­de rade­ring av per­son­upp­gif­ter i digi­ta­la infra­struk­tu­rer, bör dock före­tag som behand­lar per­son­upp­gif­ter vara med­vet­na om ris­ken att inte fullt ut kun­na efter­le­va kra­vet på rade­ring. Det­ta i syn­ner­het när före­tag väl­jer att tilläm­pa och utveck­la tek­niskt kom­plexa struk­tu­rer inom verk­sam­he­ten som inklu­de­rar EU-med­bor­ga­res personuppgifter.

Vi går spän­nan­de tider till­mö­tes vad avser den fort­sat­ta utveck­ling­en av rät­ten att bli glömd.

 

Dela artikeln om du gillade den!

Förslag på mer läsning

Miljö- och hållbarhetpåståenden i din marknadsföring

Med­vet­na kon­su­men­ter loc­kar till mil­jö- och håll­bar­hetspå­stå­en­den i före­ta­gens mark­nads­fö­ring. Men kra­ven på vad som får sägas inom det­ta områ­de är extra hår­da. Ta reda på vad som gäl­ler. Läs den­na arti­kel i Knt­nt Maga­sin skri­ven av advo­kat Erik Ull­berg och biträ­dan­de jurist Richard Fürst på Wistrand advokatbyrå.

Läs artikel »
Matrix

Content marketing v/​s redaktionell kommunikation – sex krav du skall ställa på din contentbyrå

Står du i begrepp att ta hjälp av en byrå i din con­tent mar­ke­ting? Då har du säkert upp­täckt att var och varan­nan byrå i kom­mu­ni­ka­tions­bran­schen nume­ra påstår sig vara exper­ter på ämnet. Begrep­pet används fli­tigt av många, vil­ket gör det svå­ra­re för dig som köpa­re att veta vem eller vil­ka du ska vän­da dig till. I den­na arti­kel hjäl­per Lars Wir­tén dig på traven!

Läs artikel »
Virvlande Löv

Så får du kontroll på arbetsflödet i din content marketing – del 2

Spar på tid och kraf­ter – effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting! Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar i Knt­nt Maga­sin. Det­ta är en and­ra. Trev­lig läsning! 

Läs artikel »
Hitesh Choudhary T1paibmtjim Unsplash

Vad är artificiell intelligens?

Fun­de­rar du på vad AI är och hur du skall för­hål­la dig till den revo­lu­tion inom områ­det som vi med säker­het bara sett bör­jan på? Det­ta är något som vår krö­ni­kör Mar­tin Modigh Karls­son ägnar myc­ket tan­ke­mö­da. Läs hans intres­san­ta ana­lys i dagens artikel. 

Läs artikel »
Höstväg

Så får du koll på arbetsflödet i din content marketing – del 1

Effek­ti­vi­se­ra arbets­flö­det i din con­tent mar­ke­ting. Det finns fle­ra anled­ning­ar. Inte minst spar du tid. Lars Wir­tén och Jör­gen Ols­son – två erfar­na jour­na­lis­ter, redak­tö­rer och senio­ra skri­ben­ter, delar med sig av sina bäs­ta tips i två artik­lar. Den förs­ta hit­tar du här!

Läs artikel »
Röstsök

Så SEO-optimerar du webbplatsen för röstsök

2020 kom­mer 50% av alla sök­ning­ar ske med rös­ten visar stu­die och Goog­les ”voice search”-tjänst väx­er så det kna­kar. Det­ta gör att du bör SEO-opti­me­ra din webb­plats för röst­sök­ning­ar redan nu. I dagens gäst­krö­ni­ka för­kla­rar Alex­an­dra Jung hur du gör!

Läs artikel »
Bebisarisimring 130121019

Inbound marketing sneglar mot content marketing

I den­na gäst­krö­ni­ka reflek­te­rar Niloo Lopez över vart inbound mar­ke­ting är på väg efter att ha besökt mega­kon­fe­ren­sen Inbound 2019. 

Läs artikel »
Niloolopez

Överraskande slutsats från INBOUND 2019

Knt­nt Radio är till­ba­ka! I avsnitt 209 dis­ku­te­rar Pia Teg­borg, Tho­mas Bar­re­gren och Niloo Loo­pez uti­från Niloos ”take aways” från 2019 års upp­la­ga av mega­kon­fe­ren­sen INBOUND. Sam­ta­let lan­dar i en ovän­tad kon­klu­sion. Pia och Tho­mas ger ock­så en för­kla­ring till den lång­va­ri­ga tyst­na­den. Efter 208 avsnitt under näs­tan lika många vec­kor blev det helt plöts­ligt tyst. Vad hände?

Läs artikel »
Tumme Upp Fb

Facebooks ”gilla”-knapp granskad av EU-domstolen

Tänk till innan du instal­le­rar Face­books ”gilla”-knapp och and­ra plu­gins på din webb­plats. Ansva­ret vid behand­ling av per­son­upp­gif­ter­na kan näm­li­gen bli din huvud­värk. Det­ta slår ett för­hands­av­gö­ran­de i EU-dom­sto­len fast. Läs mer i dagens arti­kel skri­ven av advo­kat Erik Ull­berg och biträ­dan­de jurist Gunil­la Karls­son på Wistrand Advokatbyrå. 

Läs artikel »
Dirigent

Därför är redaktörens roll så viktig

Digi­ta­la platt­for­mar har öpp­nat upp fan­tas­tis­ka möj­lig­he­ter för före­tag att dela med sig av vär­deska­pan­de inne­håll till kun­der och and­ra intres­sen­ter. Men intryc­ket kan bli spre­tigt i den digi­ta­la mil­jön. Där­för är redak­tö­rens roll cen­tral i all inne­hålls­mark­nads­fö­ring. Läs dagens arti­kel skri­ven av Lars Wir­tén och Jör­gen Olsson.

Läs artikel »