Gir GDPR rett til å bli «glemt» worldwide?
Kort om personvernforordningen («GDPR»)
I de siste par årene har GDPR (EUs personvernforordning) vært mye omtalt i media. En ny rådgivende uttalelse fra EU-domstolen – i forbindelse med et søksmål mellom Google og franske myndigheter – har i september 2019 bidratt med et nytt perspektiv til denne forordningen. Dette er også relevant for oss i Norge, da GDPR er innlemmet i EØS-avtalen og gjennomført i norsk rett.
Generelt pålegger denne forordningen bedrifter, institusjoner mv. en omfattende rekke forpliktelser som skal sikre et vern for innbyggere i EU.
Et eksempel på en slik sentral rettighet i denne forordningen, er retten til sletting (ofte referert til som retten til å bli «glemt»). Kort fortalt har man rett til å få personopplysninger om seg selv slettet uten ugrunnet opphold, dersom enkelte vilkår er oppfylt (for eksempel at personopplysningene ikke lenger er nødvendige for formålet de ble innhentet for). Et praktisk eksempel de fleste kan ha hatt erfaring med er personopplysninger som avgis ved innhenting av tilbud på helseforsikring. I søknaden vil man for det første gi personopplysninger i form av personnummer. For det andre vil det bli sendt inn et helseerklæringsskjema der sensitive opplysninger om egen helse opplyses. Dersom man innhenter to tilbud, og aksepterer ett av tilbudene, hva skjer med opplysningene gitt til det andre selskapet? De vil bli behandlet i tråd med reglene i personvernforordningen, og man har i tillegg en særskilt rett til å få opplysningene slettet.
Ny rådgivende dom fra EU-domstolen – Google vs. franske myndigheter
Det har hittil vært kjent at forordningen gir innbyggere en rett til å bli «glemt» hva gjelder elektronisk registrerte opplysninger (enten på internett eller i databaser). Samtidig kan man spørre seg – hvor langt gjelder denne retten? I ovennevnte sak bøtela franske myndigheter Google med EUR 100.000. Bakgrunnen var at Google nektet å «avreferere» (anonymisere) informasjon knyttet til enkeltpersoner i samtlige av sine geolokaliserte søkemotorer worldwide. Google ønsket bare å gjøre det i søkemotorer plassert innenfor EU-området.
EU-domstolen konkluderte med at EU-retten ikke pålegger søkemotor-firmaer å avreferere informasjon knyttet til enkeltpersoner på worldwide-basis. Dette til tross for at en slik forståelse ville fullt ut realisere beskyttelsesformålet i forordningen. Dette innebærer at man har en rett til å bli slettet innenfor EU/EØS-området, men det vil være mulig å finne informasjon knyttet til en selv, dersom man befinner seg utenfor EU/EØS-området.
EU-domstolen fastslo at søkemotor-firmaer som Google, har et ansvar for å sikre fundamentale rettigheter til enkeltpersoner informasjon er knyttet til. Samtidig er det ikke utdypet nærmere hva denne forpliktelsen skal innebære.
Generelt – er man utenfor EU/EØS-området gjelder et annet regime for personvern – dette er det viktig å være klar over. Et eksempel kan være at man søker om helseforsikring fra et amerikansk forsikringsselskap.
Få en vurdering
Personvernforordningen gir innbyggere en rekke rettigheter i forhold til hvordan egne personopplysninger skal håndteres. Gjennomføringen av forordningen i norsk rett har gitt små og mellomstore bedrifter et ikke ubetydelig merarbeid for å sikre lagret data knyttet til kunder, klienter osv. Er du usikker på om din bedrift har gjort det forordningen krever?
Advokatene i Langseth Advokatfirma har erfaring med personvernvurderinger og GDPR. Kontakt oss for en vurdering av din konkrete sak. Ved innhenting av juridisk bistand på et tidlig tidspunkt, kan bidra til å unngå konsekvenser, for eksempel i form av overtredelsesgebyr fra Datatilsynet.