Rätt till radering
Rätt till radering enligt artikel 17 i dataskyddsförordningen (GDPR) kallas också i populära termer ”rätten att bli bortglömd”. Innan GDPR började gälla var detta något av en poster boy för lagstiftningen och mycket omdiskuterat. Bestämmelsen är en slags anpassning av EU-domstolens dom i mål C-131/12, Google Spain mot AEPD och M C González (”Google Spain-målet”). Saken gällde en begäran från en person som gjorde gällande att det spanska dotterbolaget Google Spain SL eller det amerikanska moderbolaget Google Inc. skulle åläggas att ombesörja att hans personuppgifter inte längre skulle visas i sökträffar. EU-domstolen konstaterade att Google Inc. omfattas av EU:s regelverk genom sin verksamhet i Spanien och att Google Inc. var personuppgiftsansvarig och därför skyldig att ta bort personuppgifterna i sökträffarna. Domen har fått betydelse på flera sätt. Den mest uppenbara konsekvensen var att registrerade erkändes en viss rätt att få bli ”bortglömda”. Till exempel genom att icke-relevanta sökresultat inte längre skulle identifieras av en sökmotor och att länkar till sökresultat som var komprometterande för en yrkesverksam person skulle tas bort. Stockholms tingsrätt i mål nr T 4355-15 den 9 maj 2016 avslog dock en mans begäran om att bli glömd med hänvisning till EU-domstolens princip i Google Spain-målet. En byggentreprenör ansågs ha blivit svartlistat på grund av länkar i sökträffar hos Google till artiklar om skatteskulder och kopplingar till motorcykelgäng. Tingsrätten ansåg att Google och tredje mans intresse av att få sprida och ta del av informationen i de aktuella tidningsartiklarna vägde tyngre än mannens rätt att bli glömd. Nu för tiden finns rättigheten som sagt inskriven direkt i förordningen genom artikel 17, rättigheten har dock inte lika brett tillämpningsområde som den marknadsfördes som innan GDPR började gälla.
Innebörd av rättigheten
Beroende på omständigheter i det enskilda fallet och vilken rättslig grund som personuppgiftsbehandlingen bygger på kan den registrerade ha rätt till radering av sina personuppgifter. Rättigheten är endast tillgänglig när något av följande är tillämpligt:
Uppgifterna är inte längre nödvändiga för det ändamål de samlats in.
Den rättsliga grunden för behandlingen är samtycke och den registrerade återkallar detta samtycke.
Den registrerade invänder mot behandlingen (som sker på den rättsliga grunden allmänt intresse) och man kommer fram till att det inte är en nödvändig behandling för att utföra en uppgift av allmänt intresse.
Uppgifterna har hanterats på ett olagligt sätt.
Det finns en laglig skyldighet att radera uppgifterna.
Uppgifterna har samlats in i samband med ett erbjudande av ”informationssamhällets tjänster”.
Rättigheten har i praktiken begränsad tillämpning inom offentlig förvaltning eftersom merparten av personuppgiftsbehandlingarna vilar på en rättslig grund där rättigheten inte är tillämplig (antingen att uppgifterna behandlas för att det är rättslig skyldighet eller för att tillhanda en tjänst av allmänt intresse. Det här är en viktig aspekt utifrån offentlig förvaltning.
En registrerad kan påkalla rätten att bli raderad på flera sätt. Skäl kan bland annat vara att personuppgifterna har förlorat relevans för de ändamål som behandlingen avsåg eller att den registrerade antingen återkallar samtycket eller invänder mot behandlingen. I det senare fallet kan den registrerade göra gällande att det saknas berättigade skäl för behandlingen som väger tyngre än den personuppgiftsansvariges intressen.
För den personuppgiftsansvarige handlar det om att utarbeta rutiner för hur en begäran om radering och invändning ska hanteras. En aspekt av den registrerades begäran om rättelse eller radering, samt begränsning av behandling av personuppgifter är att även varje mottagare ska underrättas, vilket framgår av artikel 19 i förordningen. Med mottagare definieras ”en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ till vilket personuppgifterna utlämnas, vare sig det är en tredje part eller inte”. Värt att notera formuleringen som avser offentliga myndigheter ”… som kan komma att motta personuppgifter inom ramen för ett särskilt uppdrag i enlighet med unionsrätten eller medlemsstaternas nationella rätt ska dock inte betraktas som mottagare; offentliga myndigheters behandling av dessa uppgifter ska vara förenlig med tillämpliga bestämmelser för dataskydd beroende på behandlingens syfte”.
Praktisk tillämpning
Det första organisationen bör göra är att komma fram till inom vilka områden för organisationens personuppgiftsbehandling denna rättighet överhuvudtaget kan bli tillämplig. Är det några informationsmängder som omfattas av någon av de rättsliga grunderna samtycke eller s.k. intresseavvägning (offentliga myndigheter får som huvudregel inte använda sig av denna). Sedan bör myndigheten se över möjligheten att utsöka personuppgifter som omfattas av dessa rättsliga grunder, för där kan den registrerade ha rätt till att de faktiskt ska raderas, (men inom ramen för offentlig förvaltning endast om det inte finns anledning att bevara dem enligt arkivlagen). Således måste en bedömning av dessa frågor ske tillsammans med en bedömning av gällande bevarande och gallringsregler.
Rättigheten att invända mot behandling av uppgifter för att utföra en uppgift av allmänt intresse kan bli krånglig eftersom det då måste göras en bedömning om detta allmänna intresse faktiskt är rimligt i förhållande till de uppgifter som behandlas. I praktiken torde dock den absolut övervägande hanteringen av uppgifter som faktiskt sker vara ett led i myndighetens förvaltning och utförande av sitt uppdrag, och då är rättigheten inte tillämplig.
Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse ska enligt EU:s dataskyddsförordning inte anses vara oförenlig med de ursprungliga ändamålen. Någon rättslig grund behöver inte fastställas för sådan vidarebehandling och någon rättighet till radering finns inte.
Avslutningsvis ska noteras att den första grunden, att uppgifterna inte längre är nödvändiga för de ändamål som de samlades in för, är en grund för radering av uppgifterna oavsett vilken rättslig grund som behandlingen bygger på. Uppstår denna situation torde dock behandlingen vara otillåten i sig eftersom det alltid måste finnas ett nödvändighetskrav utifrån ändamålet med behandlingen.
Artikel 17 - fulltext
Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.
c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.
d) Personuppgifterna har behandlats på olagligt sätt.
e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.
2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.
3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:
a) För att utöva rätten till yttrande- och informationsfrihet.
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.
d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.