Rätten att radera uppgifter

Den registrerade har i vissa situationer rätt att kräva att den personuppgiftsansvarige raderar alla uppgifter som gäller honom eller henne utan oskäligt dröjsmål. Rätten är också känds under namnet rätten att bli bortglömd.

Denna rätt föreligger inte, om behandlingen av uppgifter är nödvändig

  • för att utöva rätten till yttrandefrihet och informationsförmedling
  • för att fullgöra en lagstadgad plikt som förutsätter behandling och som grundar sig på unionsrätten eller lagstiftningen i en medlemsstat, vilken ska tillämpas på den personuppgiftsansvarige, eller om behandlingen sker för att fullgöra en uppgift som gäller ett allmänt intresse eller utövande av offentlig makt som ankommer på den personuppgiftsansvarige
  • orsaker som gäller ett folkhälsorelaterat allmänt intresse
  • för arkiveringsändamål eller vetenskapliga eller historiska forskningsändamål enligt ett allmänt intresse eller för statistiska ändamål, om rätten att få uppgifter raderade sannolikt hindrar behandlingen i fråga eller försvårar den avsevärt
  • för att fastslå, göra gällande eller försvara rättsliga anspråk.

När det inte handlar om en av ovan nämnda situationer, har den personuppgiftsansvarige en skyldighet att radera personuppgifterna utan oskäligt dröjsmål, om

  • personuppgifterna inte längre behövs för de syften för vilka de samlades in eller för vilka de i övrigt behandlades
  • den registrerade återkallar det samtycke som legat till grund för behandlingen, och ingen annan laglig grund föreligger för behandlingen
  • den registrerade gör en invändning mot behandlingen av egna personuppgifter för direktmarknadsföring eller utövar sin rätt till invändning i övrigt, och ingen motiverad grund föreligger för behandlingen
  • personuppgifter har behandlats i strid med lagen
  • personuppgifter måste raderas för tillämpning av en lagstadgad plikt för den personuppgiftsansvarige, vilken grundar sig på unionsrätten eller lagstiftningen i en medlemsstat
  • personuppgifterna har samlats in i samband med tillhandhållande av informationssamhällstjänster.

Hur snabbt ska den personuppgiftsansvarige besvara en begäran av en registrerad?

Den personuppgiftsansvarige ska svara till den registrerade utan oskäligt dröjsmål, i varje fall inom en månad från mottagandet av begäran. I svaret ska den personuppgiftsansvarige redogöra för de åtgärder som denne vidtagit med anledning av begäran.

Om antalet begäranden är många eller om de är komplicerade, kan den personuppgiftsansvarige i sitt svar meddela att mer tid behövs för handläggningen. I så fall kan den utsatta tiden förlängas med högst två månader. Förlängningen av den utsatta tiden ska motiveras.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Är det möjligt att ta ut en avgift av den registrerade?

I princip är det avgiftsfritt att utöva en rättighet.

Om den registrerades begäranden om radering är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Begäranden kan ses som uppenbart omotiverade eller orimliga i synnerhet om de framförs på återkommande sätt. Den personuppgiftsansvarige ska kunna visa att en begäran är uppenbart omotiverad eller orimlig.

Vid eventuellt påförande av en avgift ska man beakta de administrativa kostnaderna för överlämnande av uppgifter eller meddelanden eller vidtagande av den begärda åtgärden.

Är det möjligt att vägra att tillmötesgå en begäran?

Den personuppgiftsansvarige bedömer om förutsättningarna för radering av uppgifter är uppfyllda. Om den personuppgiftsansvarige anser att rätten att få uppgifter raderade inte föreligger, kan den vägra att tillmötesgå begäran. Den registrerade kan överföra ärendet för behandling av dataombudsmannen.

Om den registrerades begäranden är uppenbart omotiverade eller orimliga, kan den personuppgiftsansvarige antingen ta ut en rimlig avgift eller vägra att tillmötesgå begäran.

Om den personuppgiftsansvarige vägrar att tillmötesgå den registrerades begäran, ska den underrätta den registrerade om detta senast inom en månad från det att begäran tagits emot. Vägran ska motiveras. Den personuppgiftsansvarige ska också underrätta den registrerade om möjligheten att framföra klagomål till tillsynsmyndigheten och att använda andra rättsmedel.

Anmälan om radering av personuppgifter

Den personuppgiftsansvarige ska i mån av möjlighet underrätta varje mottagare av personuppgifter om radering av personuppgifter. Den personuppgiftsansvarige ska underrätta de registrerade om dessa mottagare, om den registrerade så begär.

Om den personuppgiftsansvarige publicerat personuppgifterna och är skyldig att avlägsna uppgifterna på begäran av den registrerade, ska den vidta rimliga åtgärder för att underrätta de personuppgiftsansvariga som behandlar personuppgifter om att den registrerade framfört en begäran om avlägsnande av länkar som gäller dessa personuppgifter eller kopior av personuppgifterna. Rimliga åtgärder omfattar bland annat tekniska åtgärder. Vid bedömningen av denna skyldighet beaktas den tillgängliga teknologin och kostnaderna med anledning av åtgärderna.

Styrkande av den registrerades identitet

Den personuppgiftsansvarige ska kunna styrka identiteten hos en registrerad som utövar sina dataskyddsrättigheter. Om den personuppgiftsansvarige har motiverade skäl att tvivla på identiteten hos den som framfört en begäran, kan den be att denna ger närmare uppgifter för att styrka identiteten.

Dataskyddsförordningen innehåller inte bestämmelser om hur den registrerades identitet ska styrkas. Ofta finns det redan lämpliga förfaranden. Det är möjligt att den personuppgiftsansvarige styrkt identiteten hos den registrerade till exempel redan innan ett avtal ingåtts eller ett samtycke till behandling inhämtats. I så fall kan dessa personuppgifter användas för att fastställa identiteten också då det handlar om tillgodoseende av den registrerades rättigheter.

Om den personuppgiftsansvarige begär närmare uppgifter för att styrka identiteten, får detta inte leda till orimliga krav eller insamling av personuppgifter som inte är väsentliga eller nödvändiga.

Om den personuppgiftsansvarige inte kan identifiera den registrerade, ska den i mån av möjlighet underrätta den registrerade om detta.

Om den personuppgiftsansvarige vägrar att tillmötesgå en begäran av en registrerad på grund av att denne inte kan identifieras, ska den personuppgiftsansvarige kunna visa att den inte kan styrka den registrerades identitet.

Om den registrerade inte kan identifieras, kan han eller hon inte utöva sina rättigheter att

  • få tillgång till uppgifter
  • rätta uppgifter
  • radera uppgifter
  • begränsa behandlingen av uppgifter
  • flytta uppgifter mellan system.

Den registrerade kan dock överlämna närmare uppgifter för identifieringen.

När behöver inte identiteten styrkas?

Personuppgifter får förvaras i en form som möjliggör identifiering av den registrerade enbart så länge som det är nödvändigt för behandlingens syfte.

Om personuppgifter som möjliggör identifiering inte är nödvändiga för syftet för behandlingen av personuppgifter, ålägger inte dataskyddsförordningen den personuppgiftsansvarige att förvara, inhämta eller behandla sådana tilläggsuppgifter enbart för att iaktta dataskyddsförordningen.

Läs mer:

Dataskyddsförordningen: artiklarna 12, 17 och 19