Rätten att bli glömd i digitala miljöer

Den 25 maj 2019 trädde EU:s nya dataskyddsförordning, GDPR, i kraft. Ett år har passerat men fortfarande brottas många företag med såväl de praktiska som de juridiska tillämpningsfrågorna. Ett problem av det förstnämnda slaget är hur företag som behandlar personuppgifter raderar dessa i sina IT-system. Enligt dataskyddsförordningen ska man bygga upp sina system så att kraven i lagstiftningen uppfylls – men vad innebär det? Och går det överhuvudtaget att radera personuppgifter på ett sätt som innebär att de aldrig kan återskapas? Läs om individens rätt att bli glömd och företagets skyldighet att radera personuppgifter i dagens krönika skriven av Jeanette Jönsson, biträdande jurist på Wistrand Advokatbyrå.

Jeanette Jönsson
29 maj 2019

Rätten att bli glömd är en grund­läg­gan­de rät­tig­het i GDPR. I prak­ti­ken inne­bär den­na rät­tig­het att en indi­vid har rätt att begä­ra att få sina per­son­upp­gif­ter rade­ra­de under vis­sa omstän­dig­he­ter. Sådana omstän­dig­he­ter kan vara att en indi­vids per­son­upp­gif­ter inte läng­re är nöd­vän­di­ga för de ända­mål de sam­lats in för eller att indi­vi­den åter­kal­lar sitt sam­tyc­ke till att ett före­tag behand­lar den­nes per­son­upp­gif­ter. Företag som behand­lar per­son­upp­gif­ter är där­för skyl­di­ga att ha meka­nis­mer på plats för att kun­na iden­ti­fi­e­ra och, när befo­gat, rade­ra des­sa upp­gif­ter.

GDPR inne­hål­ler där­e­mot inga när­ma­re detal­jer om vad en rade­ring av lag­ra­de per­son­upp­gif­ter inne­bär i prak­ti­ken, och hur rade­ring­en tek­niskt ska ske. Den gene­rel­la upp­fatt­ning­en ver­kar dock vara att rade­ring enligt GDPR inne­bär en så kal­lad säker rade­ring, dvs. att före­tag mås­te vid­ta en rade­ring som omöj­lig­gör ett åter­ska­pan­de av per­son­upp­gif­ter­na.

Anonymiserade uppgifter och pseudonymiserad information

Vidare är GDPR endast tillämp­lig på lag­rad infor­ma­tion som utgör per­son­upp­gif­ter. Detta inne­bär att om ett före­tag ano­ny­mi­se­rar per­son­upp­gif­ter på ett sätt som med­för att upp­gif­ter­na inte läng­re går att kny­ta till en viss fysisk per­son i livet, så anses såda­na ano­ny­mi­se­ra­de upp­gif­ter inte läng­re omfat­tas av GDPR.

Detta inne­bär att ano­ny­mi­se­ra­de upp­gif­ter  i vis­sa fall kan använ­das av ett före­tag för and­ra ända­mål än vad de ini­ti­alt insam­lats för och ano­ny­mi­se­ra­de upp­gif­ter kan där­för även lag­ras under en obe­stämd tid.

Här ska påpe­kas att det inte är till­räck­ligt att kryp­te­ra per­son­upp­gif­ter, eftersom kryp­te­rad infor­ma­tion nor­malt kan dekryp­te­ras med hjälp av oli­ka tek­nis­ka nyck­lar, t.ex. lösenord. Krypterad infor­ma­tion är istäl­let ett exem­pel på pseu­do­ny­mi­se­ring, eftersom infor­ma­tion som är hän­för­lig till indi­vi­der har öron­märkts med en tek­nisk nyc­kel.

Tekniskt svårt att uppfylla krav på radering av personuppgifter

GDPR inne­hål­ler allt­så ing­en när­ma­re beskriv­ning vad gäl­ler hur ett före­tag ska rade­ra per­son­upp­gif­ter för att anses ha upp­fyllt kra­vet enligt för­ord­ning­en. Det finns där­för en osä­ker­het för före­tag som använ­der sig av IT-lös­ning­ar där tek­ni­ken begrän­sar möj­lig­he­ter­na att rade­ra per­son­upp­gif­ter.

Ett före­tag har nor­malt sett elektro­nisk infor­ma­tion lag­rad på mer än ett medium, en kanal eller en platt­form. Det kan till exem­pel hand­la om att ett före­tag säker­hetsko­pi­e­rar infor­ma­tion eller använ­der sig av block­ked­je­tek­no­lo­gi i sin verk­sam­het.

Radering i verk­sam­he­tens IT-system leder där­för inte nöd­vän­digt­vis till att den rade­ra­de infor­ma­tio­nen i frå­ga är för all­tid bor­ta. Beroende på hur ett före­tag byggt upp sin digi­ta­la infra­struk­tur kan svå­rig­he­ter upp­stå i att prak­tiskt till­se och åstad­kom­ma en säker rade­ring av per­son­upp­gif­ter.

I såda­na situ­a­tio­ner har alter­na­ti­va meto­der för att upp­nå kra­vet i GDPR tagits fram av natio­nel­la data­skydds­myn­dig­he­ter inom EU.

Så resonerar britterna

Den brit­tis­ka data­skydds­myn­dig­he­ten, ”ICO”, har pub­li­ce­rat en väg­led­ning som tar sik­te på hur krav på rade­ring ska betrak­tas i de fall en defi­ni­tiv och säker rade­ring kan vara prak­tiskt svår att upp­nå på grund av före­ta­gets digi­ta­la infra­struk­tu­rer.

ICO:s väg­led­ning före­slår ett mer prak­tiskt till­vä­ga­gångs­sätt där ICO anser att lag­kra­vet på att rade­ra per­son­upp­gif­ter kan anses vara upp­fyllt om per­son­upp­gif­ter­na är pla­ce­ra­de bort­om använd­ning (eng. ”put beyond use”). Enligt ICO kan den­na prin­cip möj­ligt­vis använ­das av ett före­tag då det inte är möj­ligt för före­ta­get att vid­ta en säker rade­ring av per­son­upp­gif­ter­na.

För att upp­gif­ter ska anses vara pla­ce­ra­de bort­om använd­ning har ICO utta­lat att det krävs att före­ta­get inte använ­der upp­gif­ter­na för att infor­me­ra indi­vi­den eller i övrigt han­te­rar upp­gif­ter­na på ett sätt som inne­bär att indi­vi­den påver­kas. Företaget ska dess­utom se till att ing­en annan orga­ni­sa­tion ges till­gång till upp­gif­ter­na samt att tek­nis­ka och orga­ni­sa­to­ris­ka åtgär­der vid­tas för att skyd­da upp­gif­ter­na från intrång och lik­nan­de.

Ett före­tag mås­te även åta sig att vid­ta en säker rade­ring av upp­gif­ter­na, som är pla­ce­ra­de bort­om använd­ning, så fort det blir möj­ligt. Trots att ICO anta­git den­na väg­led­ning innan GDPR träd­de i kraft, har ICO upp­gett att råden är fort­satt tillämp­li­ga.

Den franska tolkningen

Även den frans­ka data­skydds­myn­dig­he­ten, ”CNIL”, har valt att för­sö­ka anpas­sa tolk­ning­en av rät­ten att bli glömd och kra­vet på rade­ring i för­hål­lan­de till den digi­ta­la utveck­ling­en. CNIL har pub­li­ce­rat ett ytt­ran­de om hur en orga­ni­sa­tion kan till­för­säk­ra att indi­vi­der har rätt att utö­va sin rätt att bli glömd i block­ked­je­tek­no­lo­gi.

CNIL anger att per­son­upp­gif­ter som lag­ras i exem­pel­vis en block­ked­ja per auto­ma­tik blir före­mål för kryp­te­ring. Eftersom upp­gif­ter­na kryp­te­ras blir till­gäng­lig­he­ten till per­son­upp­gif­ter­na som lag­ras på block­ked­jan mer eller mind­re helt oåt­kom­li­ga om före­ta­get där­ut­ö­ver till­ser att upp­gif­ter som lag­ras utan­för block­ked­jan, men som dock är hän­för­li­ga till per­son­upp­gif­ter som lag­ras i block­ked­jan, utsätts för en säker rade­ring. På så sätt blir näm­li­gen per­son­upp­gif­ter­na i block­ked­jan till stor del ano­ny­mi­se­ra­de.

Att placera personuppgifter ”beyond use

Sammanfattningsvis kan det kon­sta­te­ras att både ICO:s och CNIL:s prak­tis­ka tolk­ning av rät­ten att bli glömd och skyl­dig­he­ten att rade­ra per­son­upp­gif­ter, går hand i hand. Nyckeln till att upp­fyl­la kra­vet på rade­ring av upp­gif­ter enligt GDPR kan allt­så tän­kas vara att pla­ce­ra per­son­upp­gif­ter som inte kan rade­ras ome­del­bart ”beyond use” till dess en säker rade­ring kan vid­tas av före­ta­get.

För att prak­tiskt kun­na upp­fyl­la kra­vet på rade­ring enligt GDPR är det ovan natio­nel­la data­skydds­myn­dig­he­ters utta­lan­den som till viss del får lig­ga till grund för tolk­ning­en av hur rade­ring av per­son­upp­gif­ter ska ske enligt GDPR. Innan EU genom rätts­prax­is tyd­lig­gör GDPR:s krav avse­en­de rade­ring av per­son­upp­gif­ter i digi­ta­la infra­struk­tu­rer, bör dock före­tag som behand­lar per­son­upp­gif­ter vara med­vet­na om ris­ken att inte fullt ut kun­na efter­le­va kra­vet på rade­ring. Detta i syn­ner­het när före­tag väl­jer att tilläm­pa och utveck­la tek­niskt kom­plexa struk­tu­rer inom verk­sam­he­ten som inklu­de­rar EU-med­bor­ga­res per­son­upp­gif­ter.

Vi går spän­nan­de tider till­mö­tes vad avser den fort­sat­ta utveck­ling­en av rät­ten att bli glömd.

 

Dela artikeln om du gillade den!

Förslag på mer läsning

Utveckla din story med rätt design

Har du en inre bild av hur din arti­kel skul­le se ut när den kom­mer i tryck? Med design kan du utveck­la din sto­ry och ska­pa ett nytt per­spek­tiv. Bilder, färg och form kan bli verk­tyg även i din kre­a­ti­va verk­tygs­lå­da.

Läs artikel »

Om jag var i Almedalen …

Att Almedalen blir allt vik­ti­ga­re för kom­mu­nik­tions­bran­schen är de fles­ta över­ens om. Men i en djung­el av pro­gram­punk­ter kan det vara svårt att sål­la agnar­na från vetet. Här kom­mer hjälp på vägen! Martin Modigh Karlsson har gjort grov­job­bet och lis­tar sina bäs­ta tips i dagens krö­ni­ka. För dig som ska dit och för dig som tar del av pro­gram­met i efter­hand.

Läs artikel »

Ursäkta röran. Vi har byggt om.

För ovan­lig­he­tens skull pra­tar vi om oss själ­va. Vi vill berät­ta att vi från och med nu är en con­tent­by­rå som gör con­tent. Men vi gör det på ett annorlun­da sätt än and­ra con­tent­by­rå­er. Vi har ock­så en ny digi­tal platt­form som ska slå Hubspot på fing­rar­na. Och vi har gjort lego av vårt stra­te­gi-erbju­dan­de. Dessutom har vi en mas­sa nya med­ar­be­ta­re, och söker ännu fler. I den­na krö­ni­ka berät­tar Thomas Barregren om allt det­ta och lite till.

Läs artikel »

Därför ska du ha egen plattform

Det är fres­tan­de att använ­da LinkedIn, Facebook eller någon annan platt­form som din mål­grupp redan använ­der. Med deras annons­lös­ning­ar (”spons­ra­de inlägg”) kan du snabbt nå ut till din mål­grupp. Dessutom är de lät­ta att använ­da. Men det finns pro­blem. Du läg­ger din fram­gång som mark­nads­fö­ra­re och säl­ja­re i hän­der­na på bolag som han en annan agen­da än ditt bäs­ta. Du kon­trol­le­rar inte vem som ser vad och när. Du har inte till­gång till de vär­de­ful­la digi­ta­la fot­spår som din mål­grupp läm­nar efter sig. Därför behö­ver du en egen platt­form.

Läs artikel »

Därför jobbar vi annorlunda

Vi job­bar på ett annorlun­da sätt. Våra kon­sul­ter arbe­tar i ditt team (eller är ditt team) och har sam­ti­digt full upp­back­ning vad gäl­ler kom­pe­tens och resur­ser från våra kon­sul­ter som job­bar “back office”. Men var­för job­bar vi på det sät­tet?

Läs artikel »

Är du redo för robottexterna?

Content och mar­ke­ting – båda delar­na behövs. Men vad hän­der när robo­tar tar över text­pro­duk­tio­nen med fokus på det sist­nämn­da? Med de rät­ta nyc­kelor­den och rubri­ker­na som slår. Finns det fort­fa­ran­de en plats för den enga­ge­ran­de och per­son­li­ga berät­tel­sen? Om det­ta hand­lar Lars Wirténs krö­ni­ka.

Läs artikel »

Varning för gratis wifi när du jobbar på distans

Du vet nog redan att det kan fin­nas säker­hets­hål när du job­bar på distans i öpp­na nät­verk. Men stop­par det dig att mej­la kun­den kam­panj­re­sul­ta­tet eller knap­pa in kre­dit­kor­tets siff­ror via café­ets gra­tisupp­kopp­ling? Det bor­de det! Risken finns näm­li­gen att du ger obe­hö­ri­ga till­gång till din infor­ma­tion. Martin Modigh Karlsson beskri­ver faror­na och ger dig sva­ren på var­för gra­tis (nät­verk) inte all­tid är gott – och där­för bör använ­das med stor för­sik­tig­het – samt tip­sar om tre saker du kan göra för att höja säker­he­ten. 

Läs artikel »

Elva tips som får din intervju att lyfta

Att få till en bra inter­vju hand­lar om väl­digt myc­ket mer än att bara stäl­la frå­gor och anteck­na. Låt Lars Wirtén gui­da dig längs vägen – steg för steg till ett garan­te­rat lyc­kat resul­tat! 

Läs artikel »

Kommunicera effektivare i samband med mässor

Mässorna är stor­slag­na, moder­na hub­bar för kom­mu­ni­ka­tion både digi­talt och IRL. Biljetter scan­nas och rivs, sto­ra bild­skär­mar pum­par ut sitt bud­skap. Samtal förs mel­lan poten­ti­el­la affärs­kon­tak­ter. Men tar du till­va­ra på alla kom­mu­ni­ka­tions­möj­lig­he­ter? Martin Karlsson Modigh gui­dar dig genom för­be­re­del­ser­na, vad du bör tän­ka på under mäs­san och vad du kan göra efteråt.

Läs artikel »

En publicist söker sin prenumerant

Har ditt före­tag en blogg? Finns ni på Facebook? Har ni ett nyhets­flö­de på hem­si­dan? Grattis, då är ni i själ­va ver­ket även pub­li­cis­ter. Och då kan det vara bra att ha koll på vad det inne­bär. Läs mer om det­ta i dagens arti­kel  sig­ne­rad Lars Wirtén.

Läs artikel »
felis commodo nunc ut ut mattis Aliquam vel, elementum

Missa inte nästa artikel!

Få gratis nyhetsbrev varannan vecka

i din inkorg – med senaste artiklarna

Dina personuppgifter hanteras enligt vår integritetspolicy.

Pin It on Pinterest