En vanlig missuppfattning gällande rätten till radering i artikel 17 GDPR är att det är en absolut rättighet att bli raderad vid en begäran. Så är det inte i praktiken, då många undantag kan vara relevanta. Dessa undantag är viktiga att känna till, så att ni inte raderar uppgifter som ni istället har en skyldighet, eller en berättigad möjlighet, att behålla.
När måste uppgifterna raderas?
Rätten till radering (kallas även ibland ”rätten att bli bortglömd”) regleras i artikel 17 i GDPR. Varje person har rätt att vända sig till den som behandlar deras personuppgifter och be om att få uppgifterna raderade.
Det finns ett antal situationer där uppgifterna måste raderas vid en förfrågan, dessa är:
- Om uppgifterna inte längre behövs för de ändamål som de samlades in för.
Exempel: Om uppgifter samlas in för att administrera tillgång till och deltagande på en mässa går det inte längre att rättfärdiga att uppgifterna används i detta syfte när mässan redan genomförts.
- Om behandlingen grundar sig på samtycke från den enskilde som denne återkallar.
Exempel: En person har samtyckt till att delta i en tävling, men ångrar sig sedan och återkallar sitt samtycke.
- Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas.
Exempel: En person vill inte ha reklam från ett företag.
- Om den enskilde invänder mot personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intressen.
Exempel: En person vill inte längre finnas med i ett företags adressregister och företaget har grundat behandlingen på en intresseavvägning.
- Om radering krävs för att uppfylla en rättslig skyldighet.
Exempel: En privatpersons betalningsanmärkning ska tas bort senast tre år efter den registrerade händelsen, enligt kreditupplysningslagen.
- Om personuppgifterna har behandlats olagligt.
Exempel: En persons personuppgifter har behandlats i strid med GDPR, då behandlingen saknat stöd i en rättslig grund enligt artikel 6 GDPR.
- Om personuppgifterna avser barn och har insamlats in i samband med att barnet skapar en profil i ett socialt nätverk.
Exempel: Ett barn som skapat ett användarkonto på Facebook.
Undantagen
Radering ska ske om något av de ovanstående kriterierna är aktuellt, men med ett par undantag. Artikel 17.3 GDPR anger att en begäran om radering inte ska tillgodoses i den utsträckning som behandlingen är nödvändig av följande skäl:
- Om uppgifterna är nödvändiga för att utöva rätten till yttrande- och informationsfrihet,
- för att uppfylla en rättslig förpliktelse,
- för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning,
- för att kunna fastställa, göra gällande eller försvara rättsliga anspråk,
- för arkivändamål av allmänt intresse eller av vetenskapliga, historiska eller statistiska ändamål, samt
- av skäl som rör ett allmänt viktigt intresse för folkhälsoområdet.
Personuppgiftsansvarig kan således neka en begäran om radering för det fall att begäran inte omfattar någon av situationerna i första punktlistan ovan samt i det fall sådan situation är aktuell men behandlingen är nödvändig enligt någon av punkterna i punktlistan precis här ovan.
En registrerad har därmed inte alltid rätt att bli bortglömd i den bemärkelsen att alla dennes personuppgifter ska raderas.
Ett exempel på en situation när en registrerad inte har rätt att få (alla) sina personuppgifter raderade är när en kund som handlat kläder på en webbshop och i samband med köpet lämnat sitt samtycke till att få nyhetsbrev från företaget. Om kunden begär sig raderad efter köpet ska företaget bedöma vilka uppgifter som eventuellt kan raderas. En begäran om radering inkluderar ett återkallande av samtycke, vilket innebär att företaget ska radera uppgifterna som används för utskick av nyhetsbrev som kunden lämnat sitt samtycke till. Det finns dock andra uppgifter om kunden som företaget behöver behandla vidare. Kundens adressuppgifter behöver användas för att kunna leverera köpt vara samt faktureringsinformation/betalinformation behöver företaget spara för att kunna upprätta korrekt bokföring enligt bokföringslagens regler. Det är viktigt att i dessa fall, i svaret ni ger den som begärt sina uppgifter raderade, förklara vilka behandlingar avslutats till följd av begäran om radering och att samtidigt beskriva vilka behandlingar som måste fortgå (vilka uppgifter som ändå finns kvar och varför).
Ett annat exempel är om en person vill byta bank och i samband med det begär personen att den tidigare banken ska radera alla personuppgifter. ”Den gamla banken” får då inte radera alla personuppgifter direkt och hur som helst, eftersom de enligt lag är tvungna att spara många kunduppgifter i 10 år.
Vad gäller för myndigheter?
Om den personuppgiftsansvarige är en myndighet eller en organisation som utför myndighetsutövning eller uppgift av allmänt intresse blir undantagen gällande rätten till radering ofta tillämpliga. Det kan röra sig om exempelvis vårdgivare som är skyldiga enligt lag att spara personuppgifter. En vårdgivare måste till exempel föra journal samt spara dessa enligt arkivlagen och patientdatalagen. Ett annat exempel är att arbetsförmedlingen är skyldig att behandla personuppgifter på grund av att de ska betala ut arbetslöshetsersättning. Beslut och liknande kan behöva sparas i enlighet med olika lagar och förordningar.
Slutsats
För att över huvud taget kunna svara på en begäran om radering behöver ni först reda ut vilka uppgifter ni använder om varje person och i vilka specifika syften. Endast specifika syften kan ha en laglig grund och den lagliga grunden bestämmer, tillsammans med vissa undantag, om och när en uppgift kan eller inte bör raderas. GDPR har finurligt nog gjort detta lätt för er, genom kravet på att föra register över behandlingar. Där redovisar ni nämligen vem ni har uppgifter om och varför. I GDPR Hero Register har vi lagt till en möjlighet att knyta laglig grund till varje behandling (och hjälper dig att göra så) – för att bland mycket annat hjälpa dig ta korrekta beslut om radering.
Sammanfattning och tips på vidare läsning
Sammanfattningsvis kan konstateras att rätten att bli bortglömd är långt ifrån absolut. Personuppgiftsansvariga behöver därför ha väl utarbetade rutiner för att hantera begäran om radering. Är du intresserad av varför rutiner är så pass viktigt i GDPR-arbetet och fördelen med ett register över personuppgifter kan du kika här. Har ni några frågor är ni välkomna att höra av er till info@gdprhero.se!