Right to be forgotten och förslaget till dataskyddsförordning
Av Christine Storr (Kirchberger)
Som vi har diskuterat tidigare här på bloggen, både i Delphis inlägg förra veckan och i mina inlägg från januari & februari, är ”rätten att bli bortglömd” ett mycket omdiskuterad begrepp just nu. Trots att det saknas en allmängiltig definition använder många begreppet som ett uttryck för ett starkt integritetsskydd. Vi kommer därför de följande veckorna analysera ”rätten att bli bortglömd” från olika perspektiv och börjar med dagens reglering samt förslaget till dataskyddsförordning.
Rätten att bli bortglömd vs dataskyddsdirektivet och personuppgiftslagen
Redan det i dag gällande dataskyddsdirektivet och den svenska personuppgiftslagen (1998:204) (PUL) ger vissa rättigheter till den enskilda:
Artikel 12 b i direktivet ger en rätt att få uppgifter ”rättade, utplånade eller blockerade, särskilt om dessa är ofullständiga eller felaktiga” (right to erasure). Artikel 12 c utökar denna rättigheten till att tredje part som den personuppgiftsansvarige har lämnat uppgifterna till ska underrättas om sådan rättelse, utplåning eller blockering.
Artikel 14 i direktivet reglerar ”den registrerades rätt att göra invändningar” (right to object). Bestämmelsen ger enskilda rätt att motsätta sig en behandling av personuppgifter i de fall behandlingen bygger på (a) en intresseavvägning (Artikel 7 f) eller myndighetsutövning (Artikel 7 e) eller (b) när det gäller direkt marknadsföring.
PUL reglerar i 28 § rätten till rättelse, dvs den personuppgiftsansvarige är skyldig att på begäran snarast ”rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med denna lag.” ”Den personuppgiftsansvarige skall också underrätta tredje part till vilken uppgifterna lämnats ut” om rättelsen.
Artikel 14 genomfördes i 11 § och 12 §. Medan 11 § reglerar rätten att motsätta sig marknadsföring (Artikel 14 b), ger 12 § endast rätt att återkalla sitt samtycke. Med andra ord är tillämpningen av 12 § snävare än Artikel 14 i direktivet. Om en behandling av personuppgifter är tillåten enligt PUL, kan den enskilda inte motsätta sig behandlingen, utan personen kan endast återkalla sitt samtycke som den tidigare har lämnat.
Som vi ser erbjuder lagstiftningen i dag rätten till rättelse samt en rätt att göra invändningar (i begränsad form). I båda fallen gäller det en bestämd personuppgiftsansvarig som hanterar viss data om den enskilda.
Rätten att bli bortglömd vs förslaget till dataskyddsförordning
Artikel 19 i förslaget till dataskyddsförordning reglerar rätten att göra invändningar, och Artikel 16 reglerar rätten till rättelse som endast omfattar rättelse och komplettering. Artikel 17 reglerade i Kommissionens ursprungliga förslag ”rätten att bli bortglömd och till radering”. Med andra ord har de tidigare rättigheterna i Artikel 14 dataskyddsdirektivet delvis delats upp och delvis förstärkts.
I senaste versionen av förslaget till dataskyddsförordning ersattes ‘rätten att bli bortglömd’ med ‘rätten till radering’ av Europaparlamentet.
I Europaparlamentets motivering till ändringen framhölls:
”I takt med att mer och mer information som kan få betydande konsekvenser lämnas ut är rätten att radera uppgifter och rätten att rätta uppgifter fortsatt viktiga för de registrerade. ‘Rätten att bli bortglömd’ ska ses mot denna bakgrund. Genom de ändringar som föreslås klargörs dessa rättigheter i den digitala miljön, samtidigt som det allmänna undantaget för yttrandefrihet kvarstår. […] (artikel 17 och skäl 54).”
Skälet 54 i Kommissionens förslag var väldigt långtgående och utökade den bestående rätten till radering till att omfatta ett ansvar för den personuppgiftsansvarige för tredje parts offentliggörande av personuppgifter.
(54) ”För att stärka ‘rätten att bli bortglömd’ i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter bör vara förpliktigade att informera tredje part som behandlar dessa uppgifter om att en registrerad person begärt att de ska radera alla länkar till och kopior eller reproduktioner av dessa personuppgifter. För att säkerställa informationen i fråga bör registeransvariga vidta alla rimliga åtgärder, däribland tekniska sådana, vad avser de uppgifter som de är ansvariga för. När tredje part offentliggör personuppgifter bör de registeransvariga anses bära ansvaret för offentliggörandet om de har lämnat tillstånd till det.”
Denna rätt har nu inskränkts i Europaparlamentets förslag till ett ansvar för endast olagliga behandlingar.
(54) ”För att stärka ‘rätten till radering’ i nätmiljön bör rätten till radering även utvidgas på ett sådant sätt att registeransvariga som offentliggjort personuppgifter utan stöd i lagen bör vara förpliktigade att vidta alla åtgärder som krävs för att uppgifterna ska raderas, även genom tredje parts försorg, dock utan att det påverkar den registrerades rätt att kräva ersättning.”
Samtidigt som skäl 54 ändrades, togs begreppet ”rätten att bli bortglömd” bort från rubriken till Artikel 17. Trots ändringen i rubriken, utökas dock rätten till radering i viss mån, enligt min uppfattning. Bortsett från rätten att den personuppgiftsansvarige raderar eller avstår från att sprida personuppgifter, ska den registrerade – under vissa omständigheter – även kunna kräva av tredje parter ”att eventuella länkar till eller kopior eller reproduktioner av uppgifterna raderas”.
Omständigheterna som kan leda till en sådan rättighet är bl.a.:
a) ”Uppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in.” (samma lydelse KOM och EP)
b) ”Den registrerade återkallar det samtycke på vilket behandlingen grundar sig […] och det inte finns någon annan rättslig grund för behandlingen.” (samma lydelse KOM och EP)
c) ”Den registrerade invänder mot behandlingen av personuppgifter enligt artikel 19.” (samma lydelse KOM och EP)
ca) ”De berörda uppgifterna ska raderas enligt ett lagakraftvunnet avgörande från en domstol eller en regleringsmyndighet i unionen.” (tillägg från EP)
Till skillnad från Kommissionen som la ansvaret på den personuppgiftsansvarige att säkerställa att personuppgifter togs bort, avser senaste versionen från Europaparlamentet att den enskilde kan vända sig direkt till tredje part. Hur formuleringen ”att eventuella länkar till eller kopior eller reproduktioner av uppgifterna raderas” ska tolkas och om den håller i Rådet, återstår att se. Man kan fundera över begreppet länkar, och om det finns en skillnad mellan kopior och reproduktioner av uppgifter.
Intressant nog har just denna fråga diskuterats i Costeja-domen, även om Europeiska unionens domstol inte kunde ta hänsyn till förslaget utan var tvungen att utgå från gällande lagstiftning. Hur långt rätten till radering sträcker sig och vilka aktörer som omfattas är dock oklart. Om det är praktiskt möjligt att radera alla personuppgifter som kan vara sparade om en person, är en annan fråga.
Utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (LIBE) med föredraganden Jan Philipp Albrecht uttryckte sig på följande sätt i sitt betänkande om förslaget som var föremål för omröstning i Europaparlamentet (samma text återfinns även i Europaparlamentets motivering till ändringen):
”[…] När det gäller uppgifter som överförs till tredje parter eller som offentliggörs utan lämplig rättslig grund bör den ursprunglige registeransvarige vara skyldig att informera dessa tredje parter och se till att uppgifterna raderas. Om den enskilde har samtyckt till att hans eller hennes uppgifter offentliggörs är en ‘rätt att bli bortglömd’ emellertid varken berättigad eller realistisk […].”
Sammanfattning & fortsättning
För att sammanfatta, kan konstateras att den senaste versionen av förslaget till dataskyddsförordning inte längre nämner ”rätten att bli bortglömd”. Enligt LIBE utskottet, som föreslog den ändringen, och Europaparlamentet ska den nya formuleringen tydliggöra rättigheterna till radering och rättning i en digital miljö. Med andra ord innehåller förslaget inte längre begreppet ”rätten att bli bortglömd”, och man bestämde sig för att behålla de ursprungliga rättighetsbegreppen samtidigt som man utvidgade tillämpningen med vissa förtydliganden.
I nästa inlägg kommer ”rätten att bli bortglömd” att analyseras mot bakgrund av Costeja-domen. Stay tuned!