En vanlig missuppfattning gällande rätten till radering i artikel 17 GDPR är att det är en absolut rättighet att få bli raderad vid en begäran. Så är inte i praktiken utan det finns dock många undantag som kan bli aktuella gällande denna rättighet, vilka är viktiga att känna till så att ni inte genomför inkorrekt radering.

Publicerad 16 juni 2021
Uppdaterad 19 juli 2023

När måste uppgifterna raderas?

Rätten till radering (kallas även ibland ”rätten att bli bortglömd”) regleras i artikel 17 i GDPR. Varje person har rätt att vända sig till en organisation som behandlar deras personuppgifter och be om att få uppgifterna raderade. Det finns ett antal situationer där uppgifterna måste raderas vid en förfrågan, dessa är:

  • Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
    • Exempel: Om en kund avslutar sitt medlemskap på en träningsanläggning, behöver inte anläggningen ha kvar hens kontaktuppgifter i syfte att kunna kontakta personen eftersom denne inte längre är kund.
  • Om behandlingen grundar sig på samtycke från den enskilde som denne återkallar.
    • Exempel: En person har samtyckt till att delta i en tävling, men ångrar sig sedan och återkallar sitt samtycke.
  • Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas.
    • Exempel: En person vill inte ha reklam från ett företag.
  • Om den enskilde invänder mot personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intressen.
    • Exempel: En person vill inte längre finnas med i ett företags adressregister och företaget har grundat behandlingen på en intresseavvägning.
  • Om radering krävs för att uppfylla en rättslig skyldighet.
    • Exempel: En privatpersons betalningsanmärkning ska tas bort senast tre år efter den registrerade händelsen, enligt kreditupplysningslagen.
  • Om personuppgifterna har behandlats olagligt.
    • Exempel: En persons personuppgifter har behandlats i strid med GDPR, då behandlingen saknat stöd i en rättslig grund enligt artikel 6 GDPR.
  • Om personuppgifterna avser barn och har insamlats in i samband med att barnet skapar en profil i ett socialt nätverk.
    • Exempel: Ett barn som skapat ett användarkonto på Facebook.

 

Har en individ alltid rätt att få sina uppgifter raderade?

Nej. En vanlig missuppfattning är att en registrerad alltid kan vända sig till en organisation och få sina uppgifter raderade. Så är dock inte fallet. Radering ska endast ske om något av de ovanstående kriterierna är aktuellt. Dock finns det undantag även för dessa kriterier. Artikel 17.3 GDPR anger att en begäran om radering inte ska tillgodoses i den utsträckning som behandlingen är nödvändig av följande skäl:

  • Om det är nödvändigt för att tillgodose andra viktiga rättigheter som exempelvis rätten till yttrande- och informationsfrihet,
  • för att uppfylla en rättslig förpliktelse,
  • för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning,
  • för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,
  • för arkivändamål av allmänt intresse eller av vetenskapliga, historiska eller statistiska ändamål, samt
  • av skäl som rör ett allmänt viktigt intresse för folkhälsoområdet.

Personuppgiftsansvarig kan således neka en begäran om radering för det fall att begäran inte omfattar någon av situationerna i första punktlistan ovan samt i det fall sådan situation är aktuell men behandlingen är nödvändig enligt någon av punkterna i punktlistan precis här ovan.

En registrerad har därmed inte alltid rätt att bli bortglömd i den bemärkelsen att alla dennes personuppgifter ska raderas.

Ett exempel på en situation när en registrerad inte har rätt att få sina personuppgifter raderade är när en kund som handlat kläder på en webbshop och i samband med köpet lämnat sitt samtycke till att få nyhetsbrev från företaget. Om kunden begär sig raderad efter köpet ska företaget bedöma vilka uppgifter som eventuellt kan raderas. En begäran om radering inkluderar ett återkallande av samtycke, vilket innebär att företaget ska radera uppgifterna som används för utskick av nyhetsbrev som kunden lämnat sitt samtycke till. Det finns dock andra uppgifter om kunden som företaget behöver behandla vidare. Kundens adressuppgifter behöver användas för att kunna leverera köpt vara samt faktureringsinformation/betalinformation behöver företaget spara för att kunna upprätta korrekt bokföring enligt bokföringslagens regler.

Ett annat exempel är om en person vill byta bank och i samband med det begär personen att den tidigare banken ska radera alla personuppgifter. ”Den gamla banken” får då inte radera personuppgifterna direkt, eftersom de enligt lag är tvungna att spara alla kunduppgifter i 10 år.

Vad gäller för myndigheter?

Om den personuppgiftsansvarige är en myndighet eller en organisation som utför myndighetsutövning eller uppgift av allmänt intresse blir undantagen gällande rätten till radering ofta tillämpliga. Det kan röra sig om exempelvis vårdgivare som är skyldiga enligt lag att spara personuppgifter. En vårdgivare måste till exempel föra journal samt spara dessa enligt arkivlagen och patientdatalagen. Ett annat exempel är att arbetsförmedlingen är skyldig att behandla personuppgifter på grund av att de ska betala ut arbetslöshetsersättning. Beslut och liknande kan därför behöva sparas i enlighet med olika lagar och förordningar.

Sammanfattning och tips på vidare läsning

Sammanfattningsvis kan konstateras att rätten att bli bortglömd är långt ifrån absolut. Personuppgiftsansvariga behöver därför ha väl utarbetade rutiner för att hantera begäran om radering. Är du intresserad av varför rutiner är så pass viktigt i GDPR-arbetet och fördelen med ett register över personuppgifter kan du kika här. Har ni några frågor är ni välkomna att höra av er till info@gdprhero.se!

 

Josefine Olsson

info@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Kontakta oss om ni vill ha rådgivning för just er situation.