Tech Blog

Right to be forgotten – rätten att bli bortglömd # 1

Av Christine Storr (Kirchberger)

En av grundtankarna med KOM-förslaget till en ny dataskyddsförordning är “rätten att bli bortglömd” – right to be forgotten. Rätten nämns uttryckligen i Artikel 17 i förslaget och i skälen 53–55. Vad betyder egentligen denna rätt och hur enkelt kan rätten implementeras rent tekniskt? Dessa frågor ska diskuteras i två inlägg framöver – del 1 kan du läsa här nedan, del två publiceras i slutet av nästa vecka.

Grundidén
Utgångspunkten för rätten att bli bortglömd är att den enskilda individen ska ha kontroll över sina personuppgifter och på så sätt ska dennes personliga integritet skyddas. Diskussionen om vad personlig integritet egentligen betyder lämnas för ett annat inlägg framöver. Det som kan sägas här är att varje person har en personlig sfär som ingen annan ska kunna inskränka utan tillstånd. Kort sagt, en person ska kunna bestämma själv vem hon eller han vill dela sin personliga sfär med och likaså med vem hon eller han vill dela sina personuppgifter.

Varför är denna rätt speciellt viktigt i det digitala samhället? Viktor Mayer-Schönberger har beskrivit bakgrunden i sin bok Delete: The Virtue of Forgetting in the Digital Age (som för övrigt är en bok väl värd att läsa enligt min mening):

”Since the beginning of time, for us humans, forgetting has been the norm and remembering the exception. Because of digital technology and global networks, however, this balance has shifted. Today, with the help of widespread technology, forgetting has become the exception, and remembering the default.”

Med andra ord, dagens samhälle bygger på hantering av stora mängder personuppgifter. Utmaningen är inte längre att grannen kan se in i huset, utan att ens personliga information sprids till olika personer, organisationer, företag, etc, som från början inte var avsedda att ta del av denna information. Ofta lämnar vi själva informationen ifrån oss (t.ex. lägger vi frivilligt upp bilder på Facebook), ibland sprids informationen utan vårt samtycke (t.ex. när företag säljer vidare våra kunduppgifter). Rätten att bli bortglömd ska öka vår kontroll igen och ge oss en juridisk möjlighet att begära radering av våra uppgifter.

Lagreglering
Artikel 17 i förslaget uttrycker rätten att bli bortglömd:

Den registrerade ska ha rätt att av den registeransvarige utverka att personuppgifter som rör vederbörande raderas och att man avstår från ytterligare spridning av sådana uppgifter […].

Detta betyder att rätten att bli bortglömd inte bara omfattar radering av informationen hos den personuppgiftsansvarige (registeransvarige) utan även att förhindra att uppgifterna sprids ytterligare. På så sätt sträcker sig rätten att bli bortglömd bortom den personuppgiftsansvarige och omfattar även en eventuell tredje part som den personuppgiftsansvarige har delat med sig av uppgifterna till:

Skäl 54:För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det.

Europaparlamentet har i sitt förslag tagit bort uttrycket “rätten att bli bortglömd” från Artikel 17 och använder istället uttrycket “rätt till radering” som rubrik. Utöver det har skäl 54 ändrats som följer:

För att stärka ”rätten till radering” i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter utan stöd i lagen bör vara förpliktigade att vidta alla åtgärder som krävs för att uppgifterna ska raderas, även genom tredje parts försorg, dock utan att det påverkar den registrerades rätt att kräva ersättning.

Vilken effekt denna föreslagna ändring har återstår att se, speciellt med tanke på ovissheten om Rådets synpunkter. Min personliga åsikt kommer du att få ta del av i del tvåav detta inlägg som publiceras i slutet av nästa vecka. Där skriver jag även kort om några av de tekniska utmaningar som troligtvis skulle bli aktuella vid en implementering av ”rätten att bli bortglömd”.