Rätten att radera uppgifter
Den registrerade har i vissa situationer rätt att kräva att den personuppgiftsansvarige raderar uppgifter som gäller honom eller henne utan oskäligt dröjsmål. Rätten är också känds under namnet rätten att bli bortglömd.
Den personuppgiftsansvarige är skyldig att radera uppgifterna utan obefogat dröjsmål, om
- personuppgifterna inte längre behövs för de syften för vilka de samlades in eller för vilka de i övrigt behandlades
- den registrerade återkallar det samtycke som legat till grund för behandlingen, och ingen annan laglig grund föreligger för behandlingen
- den registrerade gör en invändning mot behandlingen av sina personuppgifter för direktmarknadsföring eller utövar sin rätt till invändning i övrigt, och ingen motiverad grund föreligger för behandlingen
- personuppgifter har behandlats i strid med lagen
- personuppgifter måste raderas för tillämpning av en lagstadgad plikt för den personuppgiftsansvarige
- barnets personuppgifter har samlats in i samband med tillhandahållandet av informationssamhällets tjänster.
Rätt att få uppgifterna raderade föreligger inte om behandlingen av dem är nödvändig
- för att utöva rätten till yttrandefrihet och informationsförmedling
- för att fullgöra en lagstadgad skyldighet
- för en uppgift som gäller allmänt intresse eller för den personuppgiftsansvariges utövande av offentlig makt
- orsaker som gäller ett folkhälsorelaterat allmänt intresse
- för arkivering, vetenskaplig eller historisk forskning eller statistiska ändamål av allmänt intresse, om raderingen av uppgifterna sannolikt hindrar eller i hög grad försvårar verksamheten
- för att fastslå, göra gällande eller försvara rättsliga anspråk.
Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?
Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.
Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.
Är det möjligt att ta ut en avgift av den registrerade?
I princip är det avgiftsfritt att utöva en rättighet. Om begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.
Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.
Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.
Är det möjligt att vägra att tillmötesgå en begäran?
Den personuppgiftsansvarige bedömer om förutsättningarna för radering av uppgifter är uppfyllda. Om den anser att rätten inte föreligger, kan den vägra att tillmötesgå begäran. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.
Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.
Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.
Meddela om raderingen av personuppgifterna till de aktörer till vilka uppgifterna har lämnats ut
Den personuppgiftsansvarige ska i mån av möjlighet underrätta alla de aktörer till vilka den har lämnat ut personuppgifter om raderingen av personuppgifterna. Den personuppgiftsansvarige ska underrätta de registrerade om dessa mottagare, om hen så begär.
Om den personuppgiftsansvarige publicerat personuppgifterna och är skyldig att avlägsna uppgifterna på begäran av den registrerade, ska den vidta rimliga åtgärder för att underrätta alla organisationer som behandlar personuppgifter om att den registrerade framfört en begäran om avlägsnande av länkar eller kopior som gäller dessa personuppgifter. Rimliga åtgärder omfattar bland annat tekniska åtgärder. Vid bedömningen av denna skyldighet beaktas den tillgängliga teknologin och kostnaderna med anledning av åtgärderna.
Styrkande av den registrerades identitet
Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan man be att denna ger närmare uppgifter för att styrka identiteten.
Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Vid fastställandet av identiteten ska principen om uppgiftsminimering iakttas, och för att fastställa identiteten får i regel inte mer uppgifter än den personuppgiftsansvarige redan förfogar över samlas in.
Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta hen om detta. Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran på grund av att den registrerade inte kan identifieras, ska den kunna visa att den inte kan styrka den registrerades identitet.
Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att
- få tillgång till uppgifter
- rätta uppgifter
- radera uppgifter
- begränsa behandlingen av uppgifter
- flytta uppgifter mellan system.
När behöver inte identiteten styrkas?
Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.
Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.
Det finns ofta redan lämpliga förfaranden inom organisationen för att fastställa identiteten. Den personuppgiftsansvarige har kunnat verifiera den registrerades identitet till exempel innan avtalet ingås eller samtycke till behandling av personuppgifter begärs. Då kan identiteten fastställas genom att jämföra uppgifterna om den person som gjort begäran med de uppgifter om den registrerade som den personuppgiftsansvarige redan förfogar över. Begäran om tilläggsuppgifter får inte leda till att oväsentliga eller onödiga personuppgifter samlas in.
Den personuppgiftsansvarige är skyldig att underlätta utövandet av den registrerades rättigheter. Fastställandet av identiteten får inte försvåra utövandet av rättigheterna. Den personuppgiftsansvarige kan till exempel i regel inte kräva att en begäran görs på plats vid den personuppgiftsansvariges verksamhetsställe. Användningen av identitetsbevis för att styrka identiteten ska övervägas noggrant. I första hand ska identiteten fastställas på annat sätt.
Med avseende på de olika sätten att fastställa identiteten ska också de registrerades olika situationer beaktas: till exempel kan äldre personer eller personer i sårbar ställning ha begränsade möjligheter att uträtta ärenden vid organisationens verksamhetsställe eller använda elektroniska system. Även barn har rätt att få tillgång till uppgifter om sig själva, men de har inte nödvändigtvis de verktyg som behövs för elektronisk identifiering. Den personuppgiftsansvarige ska alltså bedöma hur olika människor kan beaktas och hur deras rättigheter så heltäckande som möjligt kan tillgodoses.
God praxis för genomförande av rätten att radera personuppgifter
Europeiska dataskyddsstyrelsen har utarbetat rekommendationer och god praxis för genomförandet av rätten att radera uppgifter.
Ta i bruk interna förfaranden där man fastställer tydliga behandlingsskeden och tidsfrister för begäranden, och håll dem uppdaterade.
Skapa en fungerande ansvarsfördelning inom organisationen för behandling och dokumentering av begäranden om radering.
Kartlägg personuppgifterna och deras förvaringsplatser i din organisations system med hjälp av beskrivningen av behandlingsåtgärderna. På så sätt kan du skapa en tydlig överblick över vilka uppgifter som ska raderas på begäran och var dessa uppgifter finns.
I synnerhet större organisationer kan ha nytta av att ansöka om certifieringar för att kunna påvisa att kraven i de globalt fastställda ISO-standarderna uppfylls. Sådana är till exempel standarden ISO/IEC 27001, som innehåller rekommendationer för hantering, risker och kontroll i fråga om organisationens datasäkerhet, och standarden ISO 9001, som innehåller krav på uppbyggnaden och utvecklingen av organisationens kvalitetsledningssystem. Standarderna kan vara en bra källa för organisationens interna tilläggsanvisningar och förbättring av de interna processerna, även om organisationen inte ansöker om certifiering.
Överväg dessutom om din organisation bör utarbeta regler som anger etablerade förfaranden för effektivt genomförande av rätten att radera uppgifter. Läs mer om uppförandekod.
Säkerställ att personalen i din organisation får ändamålsenlig introduktion och ändamålsenliga verktyg för att behandla begäranden om radering. Processerna ska följa dataskyddsförordningen.
Det kan vara bra att överväga att ordna ett test i slutet av introduktionen för att säkerställa att personalen har tillägnat sig verksamhetssätten. Till god praxis hör också att ordna en praktisk övning eller simulering av behandlingen av en begäran om radering.
I mån av möjlighet kan du också utarbeta mallar för personalen för att svara på olika typer av begäranden om radering.
Bedöm innehållet i din organisations dataskyddsbeskrivning eller dataskyddsbeskrivningar och komplettera dem vid behov med information om rätten att radera personuppgifter. Säkerställ att information om utnyttjande av rätten till radering ges till de registrerade i en tydlig och lättbegriplig form.
När rätten till radering inte kan genomföras i full utsträckning är det bra att i beskrivningarna inkludera en beskrivning av vilka uppgifter rätten till radering gäller.
Erbjud den registrerade möjlighet att först göra en begäran om granskning av sina uppgifter så att hen kan säkerställa vilka personuppgifter som raderas.
Berätta också för de registrerade om följderna av att uppgifterna raderas (t.ex. konsekvenserna för användningen av tjänsterna eller marknadsföringsförbudet).
Specificera alla förvaringstider för personuppgifter i din organisation. Du kan till exempel använda en tabell som innehåller de personuppgifter som behandlas, de rättsliga grunderna för behandlingen samt förvaringstiderna.
Dokumentera personuppgifternas förvaringstider och behandlingsgrunder i beskrivningen av behandlingsåtgärderna. Beskriv också de lagstadgade skyldigheter som förvaringstiderna grundar sig på (t.ex. kraven på förvaring av uppgifter i bokföringslagen, arbetstidslagen och lagstiftningen om penningtvätt).
Upprätthåll och uppdatera beskrivningen av behandlingsåtgärderna även i fråga om förvaringstiderna.
Främja transparensen i din organisations verksamhet genom att i dataskyddsbeskrivningen även beskriva förvaringstiderna för personuppgifter eller, om det inte är möjligt, kriterierna för fastställandet av förvaringstiderna.
Anonymisering innebär att personuppgifter behandlas så att personen inte längre kan identifieras direkt eller indirekt utifrån dem (till exempel att uppgifterna generaliseras eller omvandlas i statistisk form). Rätten att radera uppgifter kan genomföras genom att anonymisera personuppgifterna. Uppgifter som har anonymiserats på ett effektivt sätt är inte längre personuppgifter.
Det är viktigt att den personuppgiftsansvarige säkerställer att anonymiseringen genomförs på ett tekniskt effektivt sätt så att personen de facto inte längre kan identifieras utifrån uppgifterna. Identifieringen måste förhindras oåterkalleligt så att inte heller andra aktörer längre kan koppla uppgifterna till personen.
Pseudonymisering innebär att personuppgifter behandlas så att de inte längre kan kopplas till en viss person utan tilläggsuppgifter. Pseudonymiserade uppgifter kan fortfarande vara personuppgifter, varvid dataskyddsbestämmelserna ska iakttas vid behandlingen av dem. Huruvida uppgifterna fortfarande är personuppgifter måste alltid bedömas med tanke på respektive organisation som behandlar uppgifterna. Pseudonymisering är i regel inte ett sätt att tillgodose rätten att radera personuppgifter.
Läs mer om pseudonymisering och anonymisering
Europeiska unionens domstols dom om pseudonymisering C-413/23 P, EDPS v. SRB i EUR-Lex-tjänsten
Se till att din organisations compliance- eller juridiska avdelningar deltar i förfarandena och beslutsfattandet i situationer där man vägrar radera uppgifter eller skjuter upp genomförandet av en begäran om radering.
Utnyttja i dessa situationer tekniska och organisatoriska åtgärder, såsom anonymisering eller kryptering av personuppgifterna eller begränsning av åtkomsten till uppgifterna.
Iaktta etablerade tekniska standarder så att raderingen och utplåningen av uppgifter sker på ett säkert och strukturerat sätt.
Säkerställ att personuppgifterna raderas och utplånas så att du också kan påvisa det i efterhand.
Den effekt som raderingen av uppgifter har på säkerhetskopior kan begränsas till exempel genom att ersätta de uppgifter som ska raderas med teckensträngar som består av slumpmässiga tecken.
Man har haft positiva erfarenheter av programvara som automatiskt hämtar alla personuppgifter om en viss registrerad person ur den personuppgiftsansvariges interna system och överför dem till säkerhetskopior som de anställda inte har tillgång till. Då bör man dock försäkra sig om att personuppgifterna antingen raderas eller anonymiseras helt och hållet i efterhand så att de inte längre kan kopplas till en person.