En vanlig missuppfattning gällande rätten till radering är att det är en absolut rättighet att få bli raderad vid en begäran. Det finns dock många undantag som kan bli aktuella gällande denna rättighet.

Publicerad 16 juni 2021

När måste uppgifterna raderas?

Rätten till radering (”rätten att bli bortglömd”) regleras i artikel 17 i GDPR. Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be om att få sina uppgifter raderade. Det finns ett antal fall där uppgifterna måste raderas vid en förfrågan, dessa är

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för. Exempel: Om en kund avslutar sitt medlemskap på en träningsanläggning, behöver inte anläggningen ha kvar hens kontakt- och betaluppgifter eftersom personen inte längre är kund.
  • Om behandlingen grundar sig på samtycke från den enskilde som denne återkallar. Exempel: En kund har samtyckt till nyhetsbrev via mejl, men ångrar sig sedan och återkallar sitt samtycke.
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas. Exempel: En kund vill inte ha reklam från ett företag.
  • Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intressen. Exempel: En kund vill inte längre finnas med i ett företags medlemsregister och företaget har grundat behandlingen på en intresseavvägning.
  • Om radering krävs för att uppfylla en rättslig skyldighet. Exempel: En privatpersons betalningsanmärkning ska tas bort senast tre år efter den registrerade händelsen, enligt kreditupplysningslagen.
  • Om personuppgifterna har behandlats olagligt. Exempel: En persons personuppgifter har behandlats i strid med GDPR, behandlingen kanske saknar stöd i en rättslig grund.
  • Om personuppgifterna avser barn och har insamlats in i samband med att barnet skapar en profil i ett socialt nätverk. Exempel: Ett barn som lämnat personuppgifter på Facebook.

 

Har en enskild alltid rätt till radering?

En vanlig missuppfattning är att en registrerad alltid kan vända sig till ett företag och få sina uppgifter raderade. Så är dock inte fallet. Huvudregeln är att den som hanterar personuppgifter ska radera dessa vid begäran. Från denna huvudregel finns dock ett antal undantag. Den som hanterar personuppgifter kan neka en radering i följande fall

  • Om det är nödvändigt för att tillgodose andra viktiga rättigheter som exempelvis rätten till yttrande- och informationsfrihet,
  • för att uppfylla en rättslig förpliktelse,
  • för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning,
  • för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,
  • för arkivändamål av allmänt intresse eller av vetenskapliga, historiska eller statistiska ändamål, samt
  • av skäl som rör ett allmänt viktigt intresse för folkhälsoområdet.

En registrerad har därmed inte alltid rätt att bli bortglömd i betydelsen att alla dennes personuppgifter ska raderas. Ett exempel på en situation när en registrerad inte har rätt att få sina personuppgifter raderade är när en kund som handlat kläder på en webshop. Om kunden drar tillbaka sitt samtycke till att hens uppgifter ska användas för direktmarknadsföring kommer de raderas ur just det systemet. Uppgifterna måste emellertid kanske vara kvar i andra system. Företaget kanske måste spara personuppgifterna och ha kvar dessa för att kunna sköta bokföringen enligt bokföringslagens regler. Ett annat exempel är om en person vill byta bank. ”Den gamla banken” får då inte radera personuppgifterna i fråga direkt. Detta eftersom ”den gamla banken” enligt lag är tvungna att spara alla kunduppgifter i 10 år.

Vad gäller för myndigheter?

Om den personuppgiftsansvarige är en myndighet eller utför uppgifter av allmänt intresse blir undantagen gällande rätten till radering ofta tillämpliga. Det kan röra sig om exempelvis vårdutövare som är skyldiga att enligt lag spara och inneha personuppgifter. En vårdgivare måste till exempel föra journal samt spara dessa enligt arkivlagen och patientdatalagen. Ett annat exempel är att arbetsförmedlingen är skyldig att behandla personuppgifter på grund av att de ska betala ut arbetslöshetsersättning. Beslut och liknande kan därför behöva sparas i enlighet med olika lagar och förordningar.

Sammanfattning och tips på vidare läsning

Sammanfattningsvis kan konstateras att rätten att bli bortglömd är långt ifrån absolut. Personuppgiftsansvariga ska därför ha väl utarbetade rutiner för att hantera begäran om radering. Är du intresserad av varför rutiner är så pass viktigt i GDPR-arbetet och fördelen med ett register över personuppgifter kan du kika här. Har ni några frågor är ni välkomna att höra av er till info@gdprhero.se!  

Josefine Olsson

info@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Kontakta oss om ni vill ha konkret rådgivning för just er situation.