Rettigheden skal sikre at alle EU-borgere har ret til at blive slettet. Den er kommet efter mange års forhandlinger og uddyber og præciserer retten til sletning, som også fandtes i det gamle persondataderektiv fra 1995. Konkret betyder det, at en EU-borger kan bede om at få indsamlede oplysninger rettet, hvis de er forkerte eller irrelevante og, med få undtagelser, slettet, f.eks. hvis EU-borgeren finder oplysningerne skadelige, irrelevante eller forældede.

Sletningsgrundlag

Hvis der er indsamlet oplysninger om en EU-borger, har borgeren, ret til at få denne data slettet uden forsinkelse. Derfor skal den dataansvarlige virksomhed sikre, at oplysningerne kan slettes så længe følgende opfyldes:

  • Personoplysningerne er ikke længere nødvendige i forbindelse med formålet, som oplysningerne var indsamlet til.
  • EU-borgeren trækker sit samtykke, som databehandlingen er baseret på, tilbage.
  • EU-borgeren protesterer over databehandlingen, og der er derudover ikke nogle lovmæssige grunde for behandlingen.
  • Behandlingen af data sker på et ulovligt grundlag.
  • Personoplysningerne skal slettes for at overholde lovmæssige forpligtelser fra enten EU eller det EU-medlemsland, som borgeren er underlagt.
  • Personoplysningerne er indsamlet i forbindelse med samfundsoplysende informationer.

Hvad skal man som virksomhed gøre?

Med retten til at blive glemt bliver dataansvarlige virksomheder forpligtet til at udforme initiativer, der kan sikre borgernes ret. Det kan altså dermed have administrative, økonomiske og tidsmæssige konsekvenser at opfylde denne.

Det betyder også at den dataansvarlige virksomhed, der har offentliggjort persondata, må sørge for de nødvendige tekniske løsninger. De skal være på plads for at sikre at EU-borgere, til en hver tid og uden forsinkelse, kan få slettet persondata, samt links til, kopier og gengivelser af indsamlet persondata.

Dette gælder også hvis data bliver behandlet af tredjepart.

Derfor er det nødvendigt, at man har det rette personale og den nødvendige software på plads, der konkret kan finde og slette data. For eksempel har Google tidligere måttet ansætte en hel medarbejderstab kun til at tage sig af forespørgsler på at blive slettet. Man kan se deres formular i forbindelse med sletning af persondata her.

Udtagelser for sletning

I persondataforordningen er der nævnt få undtagelser, der tillader virksomheder at afvige fra retten til at blive glemt.

F.eks. behøver en dataansvarlig virksomhed ikke at slette data i forbindelse med retten til at blive glemt, hvis det bliver vurderet, at der er tale om data, der er af historisk eller særlig forskningsmæssig betydning.

Ligeledes kan man også afvige fra at slette data, hvis man vurderer at data har offentlighedens interesse, eller at data skal forblive af hensyn til informations- og ytringsfrihed.

Bliv aktiv indenfor databeskyttelse og it-sikkerhed

IT-Branchens it-sikkerhedsudvalg arbejder for, at regeringen sikrer en dansk implementering af persondataforordningen, der giver erhvervet gode vilkår for at leve op til forordningen, og som understøtter dansk erhvervs konkurrencevilkår både nationalt og på tværs af EU’s medlemslande.

Kunne du tænke dig at høre mere eller at blive en del af vores netværk for it-sikkerhed, skal du blot skrive til Martin Jensen Buch eller læse mere på siden for Databeskyttelse og sikkerhed.

Datatilsynet har også udarbejdet en Vejledning om de registreredes rettigheder, hvor du kan læse mere om retten til at blive glemt.