Nyheter 12 juli 2019

Rätten att bli glömd i tekniska infrastrukturer

För ungefär ett år sedan trädde EU:s nya dataskyddsförordning, GDPR, ikraft. För företag kvarstår dock många tillämpningsfrågor av både praktisk och legal karaktär för att uppnå en optimal implementering av GDPR i verksamheten. En av de mer uppmärksammande rättigheterna för individer i  GDPR är den så kallade ”rätten att bli glömd”. Ett praktiskt problem som ofta uppkommer för företag som behandlar personuppgifter är hur sådana verksamheter rent i praktiken ska kunna radera personuppgifter i komplexa tekniska IT-system. Går det att i tekniskt komplexa IT-system radera personuppgifter på ett sätt som innebär att sådana personuppgifter aldrig går att återskapa igen? Och hur långtgående tekniska åtgärder måste ett företag vidta för att uppfylla kraven på radering enligt GDPR?

I denna artikel redogör advokat Jeanette Jönsson vid Wistrand Advokatbyrå för vad som finns att beakta vad gäller individers rätt att bli glömd och företags skyldighet att radera personuppgifter i komplexa tekniska miljöer.

Artikeln publicerades i Kntnt Magasin i maj 2019.

Rätt att bli glömd genom radering eller anonymisering
I praktiken innebär rätten att bli glöm att en individ har rätt att begära att få sina personuppgifter raderade under vissa omständigheter. Rättigheten att bli glömd är därför inte absolut. GDPR innehåller däremot inga närmare detaljer kring vad en radering av lagrade personuppgifter ska medföra i praktiken och hur raderingen faktiskt ska ske i form av tekniska åtgärder. Den generella uppfattningen tycks dock vara att radering enligt GDPR innebär en så kallad säker radering, dvs. att företag måste vidta en radering som omöjliggör ett återskapande av personuppgifterna.

Vidare är GDPR endast tillämpligt på lagrad information som utgör personuppgifter. Detta innebär att om ett företag anonymiserar personuppgifter på ett sätt som medför att uppgifterna inte längre går att knyta till en viss fysisk person i livet, så anses sådana anonymiserade uppgifter inte längre omfattas av GDPR. Som exempel kan i vissa fall anonymiserade uppgifter användas av ett företag för andra ändamål än vad de initialt insamlades för och anonymiserade uppgifter kan därför även lagras under en obestämd tid. Det ska klargöras att det inte är tillräckligt att kryptera personuppgifter, eftersom krypterad information normalt kan dekrypteras med hjälp av olika tekniska nycklar, t.ex. lösenord. Krypterad information är istället ett exempel på pseudonymisering, eftersom information som är hänförlig till individer har öronmärkts med en teknisk nyckel.

Tekniska svårigheter med att uppfylla kravet på radering av personuppgifter
Som ovan angetts, innehåller GDPR ingen närmare beskrivning avseende hur ett företag ska radera personuppgifter för att objektivt sett anses ha uppfyllt kravet enligt GDPR. Det finns därför en osäkerhet för företag som använder sig av IT-lösningar där tekniken begränsar möjligheterna för företaget att radera personuppgifter.

Ett företag har normalt sett elektronisk information lagrad på mer än ett medium. Det kan handla om att ett företag säkerhetskopierar information eller använder sig av t.ex. blockkejdeteknologi i sin verksamhet. Radering i verksamheters IT-system leder således inte nödvändigtvis till att den raderade informationen i fråga är definitivt och slutligt borta. Beroende på hur ett företag byggt upp sin tekniska infrastruktur avseende lagring av bl.a. personuppgifter kan svårigheter därför uppstå i att praktiskt tillse och åstadkomma en säker radering av personuppgifter.

I sådana situationer har däremot alternativa metoder för att uppnå kravet i GDPR tagits fram av nationella dataskyddsmyndigheter inom EU.

Den brittiska dataskyddsmyndigheten, ”ICO”, har publicerat en vägledning som tar sikte på hur krav på radering ska betraktas i de fall en definitiv och säker radering kan vara praktiskt svårt att uppnå på grund av företagets tekniska infrastrukturer. ICO vägledning föreslår ett mer praktiskt tillvägagångssätt där ICO anser att lagkravet på att radera personuppgifter kan anses vara uppfyllt om personuppgifterna är placerade bortom användning (eng. ”put beyond use”). Detta tillvägagångssätt kan användas av ett företag om det inte är möjligt för företaget att vidta en säker radering av personuppgifterna.

För att uppgifter ska anses vara placerade bortom användning har ICO däremot uttalat att det krävs att företaget inte använder uppgifterna för att informera individen eller i övrigt hanterar uppgifterna på ett sätt som innebär att individen påverkas. Företaget ska dessutom tillse att ingen annan organisation ges tillgång till uppgifterna samt att tekniska och organisatoriska åtgärder vidtas för att skydda uppgifterna från intrång och liknande. Ett företag måste även åta sig att vidta en säker radering av uppgifterna, som är placerade bortom användning, när det blir möjligt. Trots att ICO antagit denna vägledning innan GDPR trädde ikraft, har ICO uppgett att råden är fortsatt tillämpliga.

Även den franska dataskyddsmyndigheten, ”CNIL”, har valt att försöka anpassa tolkningen av rätten att bli glömd och kravet på radering i förhållande till den digitala utvecklingen. CNIL har publicerat ett yttrande om hur en organisation kan tillförsäkra att individer har rätt att utöva sin rätt att bli glömd i blockkedjeteknologi. CNIL anger att personuppgifter som lagras i exempelvis en blockkedja blir per automatik föremål för kryptering. Eftersom uppgifterna krypteras blir tillgängligheten till personuppgifterna som lagras på blockkedjan mer eller mindre helt oåtkomliga om företaget därutöver tillser att uppgifter som lagras utanför blockkedjan, men som dock är hänförliga till personuppgifter som lagras i blockkedjan, utsätts för en säker radering. På så sätt blir nämligen personuppgifterna i blockkedjan till stor del anonymiserade.

Att placera personuppgifter ”beyond use”
Sammanfattningsvis kan det konstateras att både ICO:s och CNIL:s praktiska tolkning av rätten att bli glömd och skyldigheten att radera personuppgifter, går hand i hand. Nyckeln till att uppfylla kravet på radering av uppgifter enligt GDPR kan alltså tänkas vara att placera personuppgifter som inte kan raderas omedelbart ”beyond use” till dess en säker radering kan vidtas av företaget.

För att praktiskt kunna uppfylla kravet på radering enligt GDPR är det ovan dataskyddsmyndigheters uttalanden som till viss del får ligga till grund för tolkningen av hur radering ska ske enligt GDPR. Innan EU genom rättspraxis tydliggör GDPR:s krav avseende radering av personuppgifter i komplexa tekniska strukturer, bör dock företag som behandlar personuppgifter vara medvetna om risken att inte fullt ut kunna efterleva kravet på radering. I synnerhet när företag väljer att tillämpa och utveckla tekniskt komplexa strukturer inom verksamheten som inkluderar EU-medborgares personuppgifter. Vi går därmed spännande tider tillmötes vad avser den fortsatta utvecklingen av rätten att bli glömd.