Vastavalt GDPR-ile peavad vastutavad töötlejad kasutajate isikuandmed kustutama, kui neil seda palutakse, välja arvatud mõnel juhul, mis siin tegelikult ei kehti. Aga mis siis, kui need isikuandmed on sattunud kuskile mujale Internetti, võib-olla otsingumootorisse nagu Google, või võib-olla mitmesse kohta, mida võib olla isegi raske täielikult märgata, sageli seetõttu, et mõned roomavad robotid on andmed kopeerinud? Ma ei räägi andmerikkumisest, kus keegi saab ootamatu ja volitamata juurdepääsu andmetele, mis peaksid olema privaatsed. Ma räägin andmetest, mida veebisaidil avalikult kuvatakse, nii et neile pääsevad juurde kõik (ka roomavad robotid). See võib olla kasutajanimi, e-posti aadress, väike pilt sinust kui avatarist jne.
Nii et siin on küsimused:
kes vastutab kustutamise eest isikuandmeid, mis sattusid teistele veebisaitidele? Kas kasutaja peaks proovima andmeid kustutada või peaks seda tegema algne veebisait? Näiteks kui kasutaja palub mul mõned andmed oma veebisaidilt kustutada, kas peaksin proovima ka need Google'ist eemaldada või saaksin lihtsalt öelda kasutajale, et see pole minu asi ja et nad peaksid ise Google'ilt küsima?
Kas kasutaja peaks eeldama, et see kõik juhtub "Interneti toimimisena", või peaks midagi privaatsuspoliitikas selgeks tegema? Näiteks öeldes: "Teie isikuandmete osa mida saab Internetis avalikult juurde pääseda, jõuab tõenäoliselt muudele veebisaitidele, mida me ei saa kontrollida ja mis ei pruugi üldse GDPR-i täita? "