Enligt artikel 17 GDPR har individer rätt att begära radering av sina personuppgifter. Den rättigheten gäller dock inte för all hantering av personuppgifter, utan är begränsad till viss hantering. Enklare förklarat är att en organisation kan inte ta bort en individs personuppgifter så länge de behövs för att exempelvis tillhandahålla avtalad tjänst eller uppfylla sina rättsliga förpliktelser.
Det är däremot viktigt att tydligt kunna informera om vilken information som kan raderas respektive vilken information som inte kan raderas.
De behandlingar som det krävs att ni raderar personuppgifterna när individ begär det:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.
b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.
c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.
d) Personuppgifterna har behandlats på olagligt sätt.
e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.
f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.
Därutöver begränsas rätten till radering om det är så att personuppgiftsansvarig (er organisation) behöver information:
a) För att utöva rätten till yttrande- och informationsfrihet.
b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.
c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.
d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.
e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk
Det kan därför finnas olika anledning till att en organisation inte raderar personuppgifter. Vill du läsa mer om denna rättighet och se exempel på behandlingar, läs vårt blogginlägg på ämnet här.