Af cand.jur. Lisa Lykke med speciale i GDPR. Lisa Lykke arbejder med implementeringen af GDPR som en del af ADVODANs erhvervsteam. Gæstebloggen sætter fokus på GDPR art. 17 omhandlende retten til at blive glemt.
Et pinligt billede fra børnehaven, slet. Videoer og billeder, som er blevet uhensigtsmæssigt delt, slet. Tidligere kærestebilleder, som man ikke mener, at den nuværende kæreste må se, slet. Ytringer, som er skamfulde 15 år senere, slet. En artikel om, at man engang har været konkursramt, slet.
EU vedtog i april 2016, efter en lang og omfattende lovgivningsproces, en ny persondataforordning, EU 2016/679 af 27. april 2016, benævnt GDPR. GDPR trådte i kraft i juni 2016 og får direkte virkning fra den 25. maj 2018. Med GDPR lovfæstes sletningsretten (”retten til at blive glemt”) i artikel 17 på baggrund af et ønske om at værne om privatlivet og beskytte egne personoplysninger.
EU-Domstolen fastslog for første gang ved en præjudiciel afgørelse i 2014 i sagen C-131/12, Google Spain, at EU-borgere fik en ret til at blive glemt, dvs. fik en ret til at få visse personoplysninger om sig selv slettet fra internettet. Dette med henvisning til Direktiv 95/46/EF art. 12, litra b og art. 14, stk. 1, litra a.
Retten er dog begrænset. Dommen fastslog, at personer kan kræve, at søgemaskiner, som f.eks. Google, skal afindeksere og dermed fjerne informative links, som ikke er af vægtig karakter for offentligheden, såfremt oplysningerne ikke længere anses for relevante, eller disse ikke er retvisende. Retten var således nærmere en ret til at kontrollere egne data online, og dermed ikke en ret til at få slettet oplysningerne på selve kildewebsiden, som søgemaskinen linker til.
Dommen, og den debat der fulgte med dommen, viste et behov for en fornyet lovgivning, der omhandler beskyttelse af personoplysninger inden for EU. Der har aldrig været nemmere adgang til oplysninger, uanset hvor i verden man befinder sig – blot ved få klik på internettet. Dette øger behovet for, at den enkelte kan værne om sin privatsfære og øger et behov for at kunne ”blive glemt”. Som præambel nr. 66 til GDPR foreskriver, har art. 17 til formål at armere ”retten til at blive glemt i onlinemiljøet”, og denne aspiration kommer til udtryk ved at lovfæste retten i en selvstændig artikel.
Retten er således cementeret med indskrivningen i GDPR, hvor denne har fået sin legaldefinition i art. 17.
Sletningsrettens omfang
Sletningsretten i art. 17 er placeret i GDPR kapitel 3, omhandlende den registreredes rettigheder. Placeringen indebærer således, at rettigheden alene iværksættes efter anmodning herom fra den registrerede. For at kunne påberåbe sig retten, skal man således foretage sig noget aktivt.
Det følger af art. 17, litra a-f, at sletningsretten kan påberåbes, hvis et af følgende er til stede:
- Personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet
- den registrerede trækker sit samtykke tilbage, og der ikke er et andet retsgrundlag for den aktuelle behandling
- den registrerede gør berettigede indsigelser mod behandlingen, og der ikke foreligger vægtige legitime grunde til behandlingen, som går forud for indsigelsen
- personoplysningerne er blevet behandlet ulovligt
- sletningen kræves for at overholde en retlig forpligtelse i EU-retten eller anden national ret
- indsamlingen er sket i forbindelse med udbud af informationssamfundstjenester
Sletningsrettens udvidelse
Sletningsretten omfatter alle links, kopier og gengivelser af de pågældende oplysninger, jf. eksemplificering af sletningsretten i art. 17, stk. 2, som skal ses i forlængelse af den uddybende bestemmelse i GDPR art. 19. Med kodificeringen i GDPR er der således sket en udvidelse af sletningsretten fra Google Spain, der alene vedrørte afindeksering af links.
Som noget nyt gælder der også en underretningspligt til andre dataansvarlige i GDPR art. 17, stk. 2, medmindre underretningen ikke er umulig eller forholdsmæssig vanskelig. Underretningspligten kan ud fra en formålsfortolkning betragtes som en tredjemandsforpligtelse, som er med til at styrke den enkeltes mulighed for at blive glemt i onlinemiljøet.
Sletningsrettens betydelige begrænsninger
Påberåbelsen af sletningsretten i bestemmelsens ovennævnte seks tilfælde er dog ikke ubetinget, da der under artiklens stk. 3, litra a-e er opstillet en række betydelige undtagelser i forhold til sletningsretten, hvorefter sletning ikke kan kræves, hvis behandlingen heraf er nødvendig enten:
- for at udøve retten til ytrings- og informationsfriheden
- for at overholde en retlig forpligtelse, udføre en opgave i samfundets interesse eller udøve offentlig myndighedsudøvelse
- af hensyn til samfundsinteresser på folkesundhedsområdet
- til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål
- for at et retskrav kan fastlægges, gøres gældende eller forsvares
Såfremt ingen af de fem undtagelser finder anvendelse, kan man således kræve sletning af ens personoplysninger.
Behovet for at kunne slette persondata
Den teknologiske udvikling og offentlighedskulturen, hvor informationsdeling på godt og ondt er blevet en naturlig del af det moderne liv, har medført, at vi aldrig i menneskets historie har haft mere brug for den persondataretlige regulering, end tilfældet er i dag. I marts 2016 blev der gennemsnitligt foretaget 2,3 millioner søgninger på google.com pr. sekund. Siden har tallet kun været stigende. Med få klik kan en arbejdsgiver, kollega, samlever eller kæreste få en betydelig mængde information, der, enten frivilligt eller ufrivilligt, er blevet offentliggjort. Med lovfæstningen af sletningsretten i GDPR har den registrerede nu en kontrollerbar mulighed for at bryde med den digitale lagring og dermed få slettet information om denne.
Kritik af bestemmelsen i praksis
Art. 17, stk. 1 giver den registrerede ret til sletning af specifikke personoplysninger i særlige bestemte behandlingssituationer samt for specifikke persongrupper. Situationerne nævnt i art. 17, stk. 1 kan dog overordnet genfindes i andre bestemmelser i GDPR.
Ordlyden af art. 17, stk. 1, litra a kan tilsvarende udledes af art. 5, stk. 1, litra e, hvilket er særligt interessant, da behandlingsprincippet i denne bestemmelse, udover at være et behandlingsprincip efter GDPR kapitel 2, tilsvarende også bliver en rettighed efter GDPR kapitel 3. Behandlingsprincipperne i GDPR må dog principielt gælde ubetinget, hvorfor indsættelsen i art. 17, stk. 1, litra a forekommer unødvendig. Art. 17, stk. 1, litra b, første led understreger alene konsekvensen af tilbagekaldelsen af et samtykke, hvilket allerede kan udledes af GDPR art. 7, stk. 3. Andet led i art. 17, stk. 1, litra b indskrænker dog sletningsretten betydeligt efter denne bestemmelse, da der ud fra ordlyden ikke kan ske sletning, hvis hjemmelgrundlaget kan findes andre steder i GDPR. Den registrerede kan dog fortsat påberåbe sig art. 7, stk. 3 og opnå samme sletningsret som efter art. 17, stk. 3, litra b, hvorfor også denne situation kan genfindes i GDPR uden for artikel 17. Artikel 17, stk. 1, litra c er en overførsel af ordlyden i art. 21 vedrørende den registreredes indsigelsesret mod behandling samt indsigelsesret mod profilering. Henvisningen i art. 17 er således blot en tydeliggørelse af den konsekvens, imødekommelse af en indsigelse efter art. 21 medfører. Art. 17, stk. 1, litra d henviser med ordlyden direkte til behandlingsprincippet i GDPR art. 5, litra a om lovlighed. Udover at behandlingsprincipperne i art. 5 altid skal være opfyldt, gælder der ligeledes et krav om hjemmel, hvorfor behandlingen f.eks. efter art. 6, stk. 1 kun er lovlig, hvis mindst et af bestemmelsens forhold i litra a-f gør sig gældende. Er dette ikke tilfældet, er behandlingen dermed allerede ulovlig og følgelig skal der ske sletning af de behandlede personoplysninger. Art. 17, stk. 1, litra d forekommer således ubetydelig og som en gentagelse af konsekvensen ved en ulovlig behandling. Ordlyden af art. 17, stk. 1, litra e er tilnærmelsesvis identisk med art. 6, stk. 1, litra c, hvorfor der igen kan siges at være grobund for sletning andetsteds i GDPR. Dette gælder tilsvarende for art. 17, stk. 1, litra f, som med ordlyden henviser til GDPR art. 8 og alene fremhæver konsekvensen af en indsigelse, hvor betingelserne for et barns samtykke i forhold til informationssamfundstjenester ikke er tilstede. Bestemmelsen forekommer derfor i vidt omfang unødvendig, da ”den gode dataansvarlige” allerede ville have givet den registrerede en sletningsret efter påberåbelse af andre bestemmelser i GDPR, før denne påberåber sig art. 17, stk. 1.
Det kan ligeledes konkluderes, at der foreligger betydelige undtagelsesmuligheder fra den ubestridt snævre hovedregel. Sammenholder man retsstillingen efter GDPR med retsstillingen efter Google Spain, kan det konkluderes, at omfanget af sletningsretten udvides fra den allerede etablerede retspraksis efter dommen. Det kan dog overvejes, om udvidelsen med GDPR efter maj 2018 reelt vil være eksisterende i praksis, eller om en af de mange nævnte undtagelser vil finde anvendelse og foregribe denne udvidelse. Bestemmelsen forekommer således som en illusion, der ikke vil give anledning til store praktiske besværligheder eller bekymringer for historisk censur, men nærmere give anledning til usikkerhed og uklare retningslinjer.
Dette underbygges ligeledes af Den Europæiske Tilsynsførende for Databeskyttelse, som anfører, at art. 17 burde have været uddybet for at sikre, at den fungerer i praksis. Artikel 29-gruppen er ligeledes bekymret for, hvorvidt bestemmelsen reelt får gennemslagskraft. Det forekommer svært ikke at være enig, og det er bemærkelsesværdigt, at lovgiver ikke har haft et ønske om en klarere bestemmelse under den omfattende legislative proces.
En videreført udhulet ret
Art. 17, stk. 3, litra a er alene en cementering af en allerede fastslået retstilstand fra Google Spain. På trods af, at omfanget af sletningsretten udvides fra Google Spain med art. 17, stk. 2, kan det overvejes, om retten og udvidelsen reelt vil være eksisterende, da også de øvrige undtagelser i art. 17, stk. 3, litra a-e ubestridt vil udhule muligheden for, at sletningsretten imødekommes. GDPR art. 17, stk. 1 synes derfor mest af alt at være en symbolsk bestemmelse.
Såfremt den registrerede opnår sletningsret og undviger samtlige undtagelser, får denne dog sin udvidede ret til at blive glemt. Herved har den registrerede således med GDPR art. 17 teoretisk set fået cementeret retten til at ”viske tavlen ren og starte på en frisk”.