Artikel 17 i GDPR

Rätt till radering

Rätten till radering av personuppgifter innebär att registrerade kan begära att ett företag raderar dennes personuppgifter som företaget behandlar. Registrerades rätt till radering av personuppgifter är även känd som “rätten att bli bortglömd”.

Registrerades rätt till radering

Artikel 17 i GDPR reglerar denna rättighet. Detta utgör en av de åtta (8) fundamentala rättigheter som registrerade har enligt GDPR. 

Anonymisera personuppgifter istället för att radera dem

Ett företag kan dock välja att anonymisera personuppgifterna istället för att radera dem. GDPR omfattar nämligen inte anonymiserade personuppgifter. Däremot omfattas självaste behandlingen av personuppgifterna inom anonymiseringsprocessen av GDPR. 

Personuppgifter som blir anonymiserade blir bara vanliga “uppgifter”. De är inte längre “personuppgifter”, eftersom de inte längre kan knytas till en fysisk levande person. Observera att anonymisering och pseudonymisering (en form av avidentifiering)  inte är samma sak. Pseudonymiserade personuppgifter är fortfarande att anse som personuppgifter och omfattas av GDPR.

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Två andra EU-förordningar

  • AI-förordningen
  • Data-förordningen

Företaget ska informera om raderingen till tredje parter som har fått tillgång till personuppgifterna

När ett företag raderar personuppgifter på en begäran från en registrerad, ska företaget också informera om raderingen. Företaget ska informera eventuella tredje parter som det har delat personuppgifterna till. Detta gäller under förutsättning att det är möjligt och inte innebär en för betungande insats att genomföra. 

Dessutom bör företaget informera den registrerade om att raderingen har blivit genomförd. Vidare har den registrerade rätt att veta vilka tredje parter personuppgifterna har blivit utlämnade till. 

När ett företag kan behålla personuppgifter trots den registrerades begäran om radering

Det finns vissa situationer som innebär att ett företag inte behöver radera personuppgifter, även om den registrerade begär det. Här är exempel på undantag från när rätten till att radera personuppgifter inte gäller: 

Yttrandefrihet

När det gäller rätten till yttrandefrihet.

Lagstadgad plikt

Om det föreligger en lagstadgad plikt som innebär att företaget behöver behandla personuppgifterna för att följa lagen.

Allmänt intresse

När behandlingen av personuppgifter sker för ett allmänt intresse.

Folkhälsorelaterat

Om behandlingen av personuppgifter gäller ett allmänt intresse som är folkhälsorelaterat.

Arkiveringsändamål

När behandlingen sker för arkiveringsändamål.

Vetenskapliga eller historiska forskningsändamål

Om behandlingen gäller vetenskapliga eller historiska forskningsändamål.

Rättsliga anspråk

När ett företag sparar personuppgifter för att kunna försvara ett rättsligt anspråk.

När ett företag ska radera personuppgifterna på begäran av den registrerade

Här är några exempel på när ett företag ska radera personuppgifter på begäran av den registrerade. Observera att detta gäller under förutsättning att inget av de ovan angivna undantagen är tillämpliga. Enligt rätten till radering av personuppgifter i GDPR ska företaget ska radera personuppgifterna om:

  • Företaget inte längre behöver personuppgifterna för det syfte de blev inhämtade för. 
  • Den registrerade har lämnat ett samtycke som denne återkallar. Detta gäller om företaget inte har någon annan rättslig grund för att fortsätta behandlingen. 
  • Personuppgifterna blir behandlade för direktmarknadsföring som den registrerade invänder mot. 
  • Behandlingen strider mot gällande lagstiftning.

Upprätta interna rutiner för att radera personuppgifter korrekt enligt GDPR

Enligt huvudregeln i GDPR ska företag radera personuppgifter som inte längre är nödvändiga. Därför bör företag regelbundet radera personuppgifter. Det är viktigt att upprätta interna rutiner för radering och anonymisering av personuppgifterna. På så sätt kan medarbetare ha riktlinjer att följa för att säkerställa att GDPR efterlevs med avseende på detta. 

Exempelvis kan företaget inrätta vissa förutbestämda dagar under året då radering av personuppgifter ska ske. Personuppgifter förekommer dessutom på väldigt många olika platser. Såsom i e-post, dokument, bokföringsmaterial, digitala lagringsplatser och system etc. Därför är det bra att notera samtliga lagringsplatser i ett register. Då kan företagets medarbetare enklare hålla koll på vart personuppgifter förekommer, och smidigare göra nödvändiga raderingar.

Företag som inte raderade personuppgifter på begäran fick en reprimand

Den svenska dataskyddsmyndigheten IMY (Integritetsskyddsmyndigheten) utfärdade en reprimand till ett företag Anledningen till detta att företaget inte raderade personuppgifter på begäran från en registrerad. Dessutom lämnade företaget felaktig information till den registrerade, genom att påstå att personuppgifterna hade blivit raderade. 

Fler rättigheter i GDPR

Rättigheten rätt till begränsning av behandling av personuppgifter

Enligt GDPR har registrerade rätt att begära att företaget begränsar behandlingen av deras personuppgifter. Rättigheten gäller i vissa fall och brukar ofta kombineras med en begäran om rättelse av personuppgifter. När ett företag ska fullgöra rätten till begränsning, ska företaget markera personuppgifterna. Syftet med markeringen är att säkerställa att de endast blir behandlade för det avgränsade syftet. 

Vill du lära dig mer?

Läs mer
Rulla till toppen