Om retten til at blive glemt

Retten til at blive glemt giver folk kontrol over deres egne personlige data. Det kan forhindre en persons personlige oplysninger i at flyde rundt på ubestemt tid og potentielt skade vedkommende eller deres privatliv i fremtiden.

Oprindeligt var retten til at blive glemt et europæisk koncept. Man kan tilskrive det en spansk domstols afgørelse mod Google. Senere, i 2018, fastlagde GDPR det formelt som en af de registreredes rettigheder. At forstå denne ret vil hjælpe dig med at reagere korrekt, når nogen beder dig om at slette eller fjerne deres personlige data fra dine optegnelser.

Hvad siger datalovgivning præcist om Retten til at blive glemt? Hvornår gælder det? Og hvornår kan ens ret til at behandle en persons data tilsidesætte deres anmodning om at du sletter dem? Lad os se på, hvornår I skal slette folks data efter en anmodning. Vi vil også se, hvornår I kan have en ret – endda en pligt – til at beholde den.

I henhold til artikel 17 i GDPR har EU-borgere og indbyggere ret til at bede jer om at slette deres personlige data. De kan også anmode om, at deres oplysninger de-indekseres fra søgeresultaterne. I skal gøre det uden unødig forsinkelse, når en af følgende grunde gør sig gældende:

• I har ikke længere brug for dataene til det formål, som I oprindeligt indsamlede dem til.
• I stoler på samtykke som det lovlige grundlag for at behandle dataene. Personen har trukket samtykket tilbage ved at bede jer om at slette deres data.
• I stoler på legitime interesser som det lovlige grundlag for at behandle en persons data. Nu har personen bedt jer om at slette den, og der er ingen overordnet legitim interesse for jer i at fortsætte med at behandle den.
• I behandler personoplysninger til direkte markedsføringsformål, og personen gør indsigelse mod dette.
• I har behandlet personoplysningerne ulovligt.
• En juridisk afgørelse eller forpligtelse i EU eller medlemslande kræver, at I sletter dataene.
• I har behandlet et barns personlige data for at tilbyde deres informationssamfundstjenester.

Denne sidste er vigtig. Vær særlig opmærksom på enhver anmodning om data om et barn, og følg den med det samme. Børns persondata får altid særlig beskyttelse under GDPR. Hvis et barn er under 16, kræver GDPR forældrenes samtykke for, at I kan behandle deres personoplysninger. Selvom personen nu er voksen, skal I overveje deres alder på det tidspunkt, hvor I fik samtykke.

Som nævnt begyndte en persons ret til at bede virksomheder om at slette deres data som et europæisk koncept. Men siden da har andre lande og regioner vedtaget lignende love eller principper. Og ligesom GDPR har de nye regler et ganske bredt anvendelsesområde. Dette giver det meste af verden en vis grad af kontrol over deres personlige oplysninger online. Det er sikkert at antage, at jeres virksomhed skal forberede sig på at overholde, når folk beder jer om at slette deres data.

Argentina
For eksempel giver loven om beskyttelse af personoplysninger i Argentina folk ret til at anmode om sletning, destruktion eller anonymisering af deres personlige oplysninger. Grænserne for denne ret er dog allerede blevet fremhævet i en fremtrædende retssag. Det blev fastslået, at fjernelse af offentligt tilgængelig information kan påvirke “ytringsfriheden og fratage samfundet adgang til relevant information”. Domstolen besluttede, at nyheder eller information, der er en del af den offentlige debat, kan forblive relevante for offentligheden, uanset hvor lang tid der går. Bemærk, at denne beslutning involverede en offentlig person.

Brasilien
Tilsvarende omfatter den generelle databeskyttelseslov (LGPD) i Brasilien ‘Right to Erasure’. Dette giver brasilianske borgere mulighed for at bede organisationer om at fjerne deres personlige data fra deres databaser. Ligesom i Argentina har dette allerede været genstand for retssager. Brasiliens højesteret bekræftede i 2021, at folk ikke kan bruge Retten til at blive glemt til at “forbyde offentliggørelse af fakta … lovligt opnået, herunder historiske fakta relateret til forbrydelser”.

USA
I USA er der ingen omfattende føderal lov, der specifikt omhandler Retten til at blive glemt. Nogle stater har dog vedtaget love, der kræver fjernelse af bestemte typer følsomme oplysninger eller alle personlige oplysninger i nogle tilfælde. California Consumer Privacy Act (CCPA) og Virginia Consumer Data Protection Act (CDPA) giver for eksempel begge forbrugere ret til at anmode om sletning af deres personlige oplysninger. Betingelser og undtagelser gælder.

Kina
Kinas PIPL beskytter kinesiske forbrugere. Det kræver, at organisationer reagerer på en række dataanmodninger, herunder anmodninger om at slette personlige oplysninger. Den specificerer ikke kriterierne for sådanne anmodninger og begrænsningerne for dem. Dog kan statsborgere i Kina have ret til at anlægge retssager mod jer, hvis I afviser deres anmodninger.

En anmodning om at blive slettet, også kendt som en anmodning om sletning eller en anmodning om ret til at blive glemt, er en formel anmodning, som nogen fremsætter til en organisation eller dataansvarlig om at slette deres personlige oplysninger.

Anmodningen behøver dog ikke at være særlig formel eller ankomme på en særlig måde for at være juridisk bindende. En anmodning om sletning kunne endda komme i form af en e-mail eller DM på sociale medier. Det kan blot sige, “Hej, slet venligst alle mine personlige oplysninger fra dine optegnelser.”

At give folk klar vejledning om, hvordan de skal fremsætte anmodninger, vil gøre det meget nemmere at svare på dem. Ideelt set bør anmodninger om sletning:

1. Angiv tydeligt, at anmodningen er om sletning eller sletning af personlige oplysninger.
2. Identificer de personlige oplysninger, personen vil have dig til at slette.
3. Giv bevis for identitet/verifikation.
4. Angiv retsgrundlaget for anmodningen.
5. Angiv yderligere oplysninger, der er relevante for anmodningen. For eksempel årsagen til anmodningen, eventuelle specifikke bekymringer, personen har, og så videre.

I kan give folk vejledning om, hvordan de fremsætter deres anmodninger i jeres privatlivspolitik. I kan også inkludere et link til en sikker anmodningsportal. Sørg for at forklare, at det kan begrænse jeres mulighed for at give dem tjenester at bede om at få slettet personlige data.

Hvad hvis I har delt oplysninger med samarbejdspartnere, og en person beder om at blive slettet? I så fald bør I informer jeres samarbejdspartnere og alle andre, I har autoriseret til at behandle dataene, om, at den registrerede har anmodet om sletning.

Det kan selvfølgelig være problematisk for jer at være sikker på, at alle ødelægger hver kopi og link til personens data. Men “under hensyntagen til den tilgængelige teknologi og omkostningerne ved implementering”, er det jeres ansvar at tage “rimelige skridt” for at videregive anmodningen.

I de fleste tilfælde, når I modtager en anmodning om at slette en persons data, skal I efterkomme det omgående. Der er dog tidspunkter, hvor jeres ret eller forpligtelse til at behandle en persons data vil tilsidesætte deres ret til at blive glemt.

Derfor er Retten til at blive glemt ikke absolut. GDPR siger, at I ikke behøver at slette en persons data, hvis I har brug for dem af en af følgende årsager:

• At udøve retten til ytrings- og informationsfrihed.
• For at overholde en retlig forpligtelse i EU- eller medlemsstatslovgivningen, af hensyn til offentlighedens interesse eller til at udøve officiel myndighed.
• Af hensyn til offentlighedens interesse på folkesundhedsområdet.
• Til arkiveringsformål i offentlighedens interesse, såsom videnskabelige eller historiske forskningsformål eller statistiske formål.
• Til etablering, udøvelse eller forsvar af retskrav.

Det betyder, at I skal vurdere anmodninger om sletning fra sag til sag. Overvej andre grundlæggende rettigheder involveret. Indebærer oplysningerne en offentlig person? Vil sletning af oplysningerne bringe den offentlige sikkerhed i fare, skjule en forbrydelse eller anden forseelse? Har vores virksomhed, offentligheden eller en anden brug for dataene i tilfælde af et retskrav? Er vi juridisk forpligtet til at opbevare dataene? Er det overhovedet muligt/teknisk muligt at slette alle data?

Her er to eksempler på “Retten til at blive glemt” på anmodninger, I kan modtage, men I behøver IKKE at slette dataene:

1. En person, der plejede at arbejde for jer, beder jer om at slette alle deres personlige data. I har dog brug for nogle af deres personoplysninger for at overholde jeres juridiske forpligtelse til at videregive oplysninger om medarbejderes løn til myndighederne. I kan afslå anmodningen om at slette personens data og forklare, at I har en juridisk forpligtelse til at behandle dem.
2. Du er sundhedsplejerske. Du modtager en anmodning fra en tidligere patient om at slette alle deres personlige data. Din forsikring kræver dog, at du fører patientjournaler i tilfælde af klager eller retskrav. Du afslår anmodningen om at slette den enkeltes data og forklarer, at du skal opbevare dataene i tilfælde af klager eller retskrav.

Her er to eksempler på anmodninger, I kan modtage, når I SKAL slette dataene:

1. En tidligere kunde beder jer om at slette deres kreditkortnumre, ID-numre og andre personlige oplysninger, da de har skiftet udbyder. I søger og sletter alle data og svarer dem med en bekræftelse på, at I har opfyldt deres anmodning.
2. Nogen tilmelder sig jeres nyhedsbrev. På det tidspunkt markerede de et felt, der gav jer samtykke til at bruge deres e-mail til at sende dem reklameindhold. Nu beder de jer om at fjerne dem fra deres liste og slette alle andre personlige oplysninger, I har om dem. I fjerner dem fra jeres liste over kundeemner. Så søger I og sletter alle deres data. Så svarer I med en bekræftelse på, at I opfyldte deres anmodning.

De fleste af os behandler vores kunders data for at forsyne dem med service, varer og tjenester. Det er i vores og deres interesse at respektere deres privatlivsrettigheder. At reagere hurtigt på enhver dataanmodning, især anmodninger om sletning, kan være en udfordring. Men det er en fantastisk måde at opbygge brandværdi og vise, at man er troværdig.

Hvis I har brug for hjælp til at besvare dataanmodninger, så tag et kig på vores RequestManager.