FrågaÖVRIGT PUL/GDPR30/01/2019

Rätten till radering av personuppgifter

Hej!

Jag vill använda mig av GDPR lagen för att ett företag ska radera all information om mig.

Vad jag har förstått så kan jag be dem först och främst att skicka all information de har om mig till mig, varje gång mitt namn har skrivits och även begära information om vilka som det har skickats till och vad som sagts. Och därefter att de raderar allt som har med mig att göra.

Stämmer detta?

Hur vet jag om de skickat allt till mig, hur vet jag om de raderat all information om mig och vem går in och dubbelkollar så att det faktiskt är gjort?

Om det inte är gjort, vem kollar upp detta och vad blir konsekvenserna?

Lawline svarar

Tack för att du vänder dig till Lawline med din fråga!

Du som person vars personuppgifter behandlas, den registrerade, har ett antal rättigheter enligt dataskyddsförordningen (GDPR). Dessa rättigheter innebär i korthet att du ska få information om när och hur dina personuppgifter behandlas och ha kontroll över dina egna uppgifter. Därför har du bland annat rätt att i vissa fall få dina uppgifter rättade, raderade eller blockerade, eller att få ut eller flytta dina uppgifter (se art.12-23 GDPR).

Du har rätt att få information när dina personuppgifter behandlas. Information om personuppgiftsbehandlingen ska lämnas av den personuppgiftsansvarige (företaget) både när uppgifterna samlas in och när du annars begär det (art. 13 GDPR). Därutöver finns det vissa tillfällen när särskild information ska ges till dig, till exempel om det inträffar ett dataintrång eller liknande (en personuppgiftsincident) hos den personuppgiftsansvarige och det finns risk för till exempel identitetsstöld eller bedrägeri.

Den registrerade har rätt att få veta om hans eller hennes personuppgifter behandlas av en personuppgiftsansvarig, och i så fall få tillgång till personuppgifterna och även annan information relaterad till behandlingen av uppgifterna. Informationen ska tillhandahållas den registrerade kostnadsfritt i en lättillgänglig, skriftlig form (vilket kan vara i elektronisk form) och med ett tydligt och enkelt språk. I dataskyddsförordningen anges utförligt vilken information som ska ges. Bland annat ska information lämnas om kontaktuppgifter till den personuppgiftsansvarige, den rättsliga grunden för behandlingen och ändamålet med behandlingen (art. 13-14 GDPR).

Varje person har rätt att vända sig till ett företag eller en myndighet som behandlar personuppgifter och be att uppgifterna som avser honom eller henne raderas (artikel 17 GDPR). Uppgifterna måste raderas i följande fall:

Om uppgifterna inte längre behövs för de ändamål som de samlades in för Om behandlingen grundar sig på den enskildes samtycke och denne återkallar samtycket Om behandlingen sker för direktmarknadsföring och den enskilde motsätter sig att uppgifterna behandlas Om den enskilde motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning eller efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den enskildes intresse Om personuppgifterna har behandlats olagligt Om radering krävs för att uppfylla en rättslig skyldighet Om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk Om uppgifter raderas på den enskildes begäran måste företaget eller myndigheten också informera dem som de har lämnat ut uppgifter till om raderingen. Det gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att begära att få information om till vem uppgifter har lämnats ut.

När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den enskildes begäran så att även kopior av eller länkar till uppgifterna tas bort.

Det finns undantag från rätten till radering och skyldigheten att informera andra om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning.

Sammanfattningsvis kan man säga att du har rätt att få information om när och hur dina personuppgifter behandlas och kontrollera den här processen. Dessutom har du rätt att be att dina personuppgifter raderas, och företaget har en skyldighet att göra detta, utom i följande fall:

när de personuppgifter som företaget har behövs för att utöva rätten till yttrandefrihet, när det finns en lagstadgad skyldighet att behålla uppgifterna när det föreligger skäl av allmänt intresse (t.ex. folkhälsa, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål).Om du anser att någon behandlar dina personuppgifter i strid med dataskyddsförordningen kan du lämna in ett klagomål till Datainspektionen. Här kan du läsa mer om hur man lämnar ett klagomål till Datainspektionen.

Om du har lidit skada på grund av att dina personuppgifter har behandlats i strid med dataskyddsförordningen kan du ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen. Du kan i dessa fall begära skadestånd från den personuppgiftsansvarige eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Hoppas du har fått svar på din fråga!

Med vänliga hälsningar

Galina KrastevaRådgivare