Rensning av personuppgifter

Utgångspunkten i GDPR är att alla personuppgifter som lagras ska raderas men anger ett antal undantag från kravet på omedelbar radering. Det finns lagar som anger att vissa saker ska sparas under längre tider. Andra lagar föreskriver att vissa uppgifter får sparas och arkiveras för historikens skull och för forskningsändamål. De lagarna utgör rättslig grund för att lagra personuppgifter. Som vanligt när det gäller GDPR är det uppgiftsminimering som gäller. Lagra endast de personuppgifter som är nödvändiga att lagra. Upprätta en arkivplan där ni talar om när ni fysiskt och/eller digitalt sparar material som är viktigt för er del. Upprätta rutiner för rensning av personuppgifter. När rutiner kring rensning av personuppgifter är formulerade och efterlevs kommer arbetet med att uppfylla kraven i GDPR gå mycket lättare.

Den registrerade har rätt att vända sig till er som personuppgiftsansvariga och be att uppgifterna om honom eller henne raderas. Uppgifterna måste raderas i följande fall:

• om uppgifterna inte längre behövs för de ändamål de samlades in för
• om behandlingen grundar sig på den registrerades samtycke och den registrerade återkallar samtycket
• om behandlingen sker för direktmarknadsföring och den registrerade motsätter sig att uppgifterna behandlas
• om den registrerade motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning
• efter en intresseavvägning och det inte finns berättigade skäl som väger tyngre än den registrerades intresse av att skydda sin integritet
• om personuppgifterna har behandlats olagligt
• om radering krävs för att uppfylla en rättslig skyldighet
• om personuppgifterna avser barn och har samlats in i samband med att barnet skapar en profil i ett socialt nätverk

Om uppgifter raderas på den registrerades begäran måste den personuppgiftsansvariga också informera dem som personuppgiftsansvarig har lämnat ut personuppgifter till att även de ska radera uppgifterna. Detta gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats för personuppgiftsansvarig.

När personuppgifterna har publicerats eller på annat sätt gjorts offentliga (i ett socialt nätverk, ett internetforum eller på en webbsida) räcker det inte alltid att de raderas där. I dessa situationer ska den som offentliggjort uppgifterna också vidta rimliga åtgärder för att informera andra som behandlar uppgifterna om den registrerades begäran så att även kopior av eller länkar till uppgifterna tas bort.

All hantering av personuppgifter ska ha en rättslig grund och uttryckligt angivna och berättigade ändamål. De rättsliga grunderna är samtycke, avtal, intresseavvägning, rättslig förpliktelse, myndighetsutövning och uppgift av allmänt intresse, grundläggande intresse. För privat verksamhet gäller främst samtycke, avtal, rättslig förpliktelse och intresseavvägning. Så snart det saknas rättslig grund ska personuppgifterna rensas bort.

Läs mer om prövning av rättslig grund
Guide - Prövning av rättslig grund

3.1 När uppgifter inte längre behövs för ändamålet

När ändamålet med hanteringen av personuppgifterna uppfyllts ska personuppgifterna raderas, om inte personuppgifterna måste lagras enligt rättslig förpliktelse. Rensa allt som uppfyllt ändamålet och ni inte längre har lagligt stöd för och radera. Det kan vara personuppgifter på post-it lappar, e-post, anteckningar, dokument, arkivmaterial m.m. Både fysiskt och digitalt material.

Exempel: Om du avslutar ditt medlemskap på gymmet, behöver inte gymmet ha kvar dina kontaktuppgifter och betaluppgifter eftersom du inte längre är kund. Alla personuppgifter som inte är nödvändiga att spara, enligt ex bokföringslagen, ska gymmet radera.

3.2 När samtycken återkallas

Om personuppgiftsansvarig inhämtat samtycke från registrerad för viss behandling så utgör det en rättslig grund. Samtycken ska vara frivilliga, oavsett hur de inhämtas och får inte villkoras av personuppgiftsansvariga. Det är personuppgiftsansvarig som ska kunna bevisa att samtycke inhämtats. Var därför noga med att få samtycken i skrift. När den registrerade återkallar sitt samtycke eller ändamålet är uppfyllt ska personuppgifterna raderas.

Exempel: En registrerad har lämnat sitt samtycke till att delta i en marknadsundersökning. Den registrerade ångrar sig och meddelar att samtycket återkallats. Den personuppgiftsansvarige måste då radera personuppgifterna.

Läs mer om samtycke
Guide - Hantering av samtycke

3.3 När registrerad motsätter sig personuppgiftsbehandling i myndighetsutövning

När registrerad motsätter sig personuppgiftsbehandling som sker inom ramen för myndighetsutövning så måste personuppgiftsansvarig radera de uppgifter som inte är nödvändiga att behålla.

Exempel: En person skriver till en a-kassa (myndighetsutövning) och uttrycker att den vill att personuppgiftsansvarig ska radera personuppgifterna. Då måste a-kassan radera alla uppgifter som inte måste behållas för myndighetsutövandet och som enligt rättsliga krav måste finnas kvar.

3.4 När den registrerades intresse väger över

I det fall personuppgiftsansvarig har använt den rättsliga grunden intresseavvägning vid ett tillfälle där personuppgiftsansvariges intresse vägde tyngre än den enskildes intresse av personlig integritet och förhållandena ändras. Att det intresset inte längre föreligger i det ändamål som angetts. Då måste personuppgifterna raderas.

Exempel: Personuppgiftsansvarig har registrerat en persons kontaktuppgifter för direkt marknadsföring av produkter som kan ligga i den registrerades intresse. När den registrerade på något sätt uttrycker att den inte är intresserad av produkterna så väger den registrerades intresse tyngre än den personuppgiftsansvariges. Då föreligger inte längre en rättslig grund för behandling av personuppgifterna och ska omedelbart raderas.

3.5 När personuppgifter olagligt behandlats

Om behandlingen av personuppgifter saknar laglig grund enligt GDPR så måste personuppgifterna raderas. Raderas inte personuppgifterna omedelbart så inträder olaglighet enligt GDPR och sanktionsavgiften blir hög.

Exempel: För att uppfylla förpliktelserna av att avtal behandlas personuppgifter. När avtalet löper ut försvinner också den rättsliga grunden. Då ska uppgifterna raderas. Om personuppgifter fortsatt behandlas så är behandlingen olaglig.

3.6 När radering krävs för att uppfylla rättslig förpliktelse

I det fall lag, föreskrift, kollektivavtal, avtal eller annan rättshandling föreskriver att uppgifter måste raderas efter behandling. Raderingen ska ske omedelbart eller så snart det är möjligt, alternativt efter angiven tid i rättshandlingen.

Exempel: Privatpersoners betalningsanmärkningar ska gallras senast tre år efter den registrerade händelsen, enligt kreditupplysningslagen.

3.7 Om personuppgifterna avser barn som samlats in från barnets profil i ett socialt nätverk

Enligt GDPR är man barn upp till 13 års ålder. Om uppgifter har samlats om barn ska de raderas så snart man har uppgift på att det är barn det handlar om. Om ni erbjuder onlinetjänster till barn och då hämtar in personuppgifter med stöd av samtycke, krävs det att samtycket hämtas in från barnets vårdnadshavare om barnet är under 13 år. Detta gäller insamling av uppgifter om barn som bor i Sverige. Åldersgränsen gäller uttryckligen för onlinetjänster enligt dataskyddsförordningen och kompletterande svenska regler.

I andra situationer finns det ingen särskilt angiven åldersgräns men det krävs förstås alltid att barnet har förmåga att förstå vad det samtycker till för att samtycket ska vara giltigt. När det gäller barn under 13 år bör alltid vårdnadshavarens samtycke inhämtas.

Exempel: Ett barn som har lämnat personuppgifter till en spelapp. Om uppgifter raderas på det registrerade barnets begäran eller vårdnadshavarens begäran måste den personuppgiftsansvariga radera uppgifterna och informera dem som personuppgiftsansvarige har lämnat ut uppgifter till. Detta gäller dock inte om det skulle visa sig vara omöjligt eller alltför betungande. Du har rätt till information om vem uppgifter har lämnats ut till.

• Lagring och rensning av personuppgifter - Kundregister 2025
  Ladda ner
• Lagring och rensning av personuppgifter - Medlemsregister 2025
  Ladda ner
• Rensning av personuppgifter - För anställda i privata företag 2025
  Ladda ner
• Rensning av personuppgifter - Sökande till tjänster 2025
  Ladda ner
• Rensning av personuppgifter - Tidigare anställda 2025
  Ladda ner

Registrerade har rätt att kräva att behandlingen av personuppgifter begränsas. Med begränsning menas att uppgifterna endast får behandlas i vissa avgränsade syften. Rätten till begränsning gäller bland annat när den registrerade anser att uppgifterna är felaktiga och har begärt rättelse. I sådana fall kan den registrerade även begära att behandlingen av uppgifterna begränsas till dess att uppgifterna har rättats.

Personuppgiftsansvariga ska hantera en begäran om registerutdrag, rättelse eller radering så snabbt som möjligt, men ni måste agera på begäran senast en månad efter att den inkom.

Tidsfristen får vid behov förlängas med två månader. I så fall ska personuppgiftsansvariga informera den registrerade om förlängningen och orsaken till förseningen senast en månad efter att begäran inkom. Det innebär att den information som den registrerade begärt ska lämnas senast tre månader från mottagandet av begäran. Händelser som kan motivera en förlängning är till exempel om det är en komplicerad begäran eller om ni som personuppgiftsansvariga har fått in många begäranden samtidigt.

Tidsfristen startar den dagen ni som personuppgiftsansvariga tar emot begäran. Tidsfristen löper ut samma datum månaden därpå. Om slutdatumet är en lördag, söndag eller helgdag så förlängs tidsfristen till nästa arbetsdag. Om slutdatumet inte existerar för att den nästkommande månaden har färre dagar, blir slutdatumet den sista dagen i nästa månad.

En person som har lidit skada på grund av att hans eller hennes personuppgifter har behandlats i strid med dataskyddsförordningen kan ha rätt till skadestånd av den eller de personuppgiftsansvariga som medverkat vid behandlingen.

Ett personuppgiftsbiträde kan också bli skadeståndsansvarigt om biträdet har brutit mot de bestämmelser som specifikt riktar sig till biträden eller har behandlat uppgifter i strid med den personuppgiftsansvarigas instruktioner.

Den registrerade kan begära skadestånd från den personuppgiftsansvariga eller personuppgiftsbiträdet eller väcka skadeståndstalan i domstol.

Den som lidit skada har i princip rätt att få ersättning för hela skadan av antingen den personuppgiftsansvariga eller personuppgiftsbiträdet. De får sedan i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.

Utgångspunkten är att de som hanterar dina uppgifter ska radera dina personuppgifter när du begär det. Det finns dock några undantag när uppgifterna inte ska raderas.

Den som hanterar dina uppgifter kan neka dig radering i följande fall:

1. Om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet
2. För att uppfylla en rättslig förpliktelse
3. För att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning
4. För att kunna fastställa, göra gällande eller försvara rättsliga anspråk
5. För arkivändamål av allmänt intresse eller av vetenskapliga, historiska eller statistiska ändamål
6. Av skäl som rör ett allmänt viktigt intresse på folkhälsoområdet.

Spanien: 3 000 euro i böter för fortsatt reklam trots begäran om radering

Den spanska dataskyddsmyndigheten Agencia Espanola Proteccion Datos (“AEPD”) har bötfällt Solram T Y R S.L. med 3 000 euro för brott mot artikel 17 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att en registrerad lämnat in ett klagomål till AEPD då Solram fortsatt att skicka honom annonser via WhatsApp, trots att han hade begärt att hans uppgifter skulle raderas. Enligt AEPD har Solram agerat i strid med registrerades rätt till radering i artikel 17 GDPR.

Italien: GEDI News Network bötfälls med 20 000 euro för onödigt dröjsmål vid begäran om radering

Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt GEDI News Network Spa med 20 000 euro för brott mot artiklarna 12.3-4 dataskyddsförordningen (“GDPR”).

Av beslutet framgår att en registrerad lämnat in ett klagomål till den italienska tillsynsmyndigheten angående en artikel som publicerats av GEDI News Network i vilken den registrerade omnämnts i en artikel. Enligt den registrerade har han utnyttjat sin rätt enligt artikel 17 GDPR och begärt att GEDI News Network raderade artikeln, eftersom den inte längre var relevant. GEDI News Network svarade dock inte på den registrerades begäran i rätt tid varför Garante bötfällde företaget med 20 000 euro för brott mot artiklarna 12.3-4 GDPR.

Artikel 16 Rätt till rättelse

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade. Med beaktande av ändamålet med behandlingen, ska den registrerade ha rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande.

Artikel 17 Rätt till radering ("rätten att bli bortglömd")

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

d) Personuppgifterna har behandlats på olagligt sätt.

e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

a) För att utöva rätten till yttrande- och informationsfrihet.

b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Artikel 18 Rätt till begränsning av behandling

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt:

a) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.

b) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning.

c) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

d) Den registrerade har invänt mot behandling i enlighet med artikel 21.1 i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl.

2. Om behandlingen har begränsats i enlighet med punkt 1 får sådana personuppgifter, med undantag för lagring, endast behandlas med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda någon annan fysisk eller juridisk persons rättigheter eller för skäl som rör ett viktigt allmänintresse för unionen eller för en medlemsstat.

3. En registrerad som har fått behandling begränsad i enlighet med punkt 1 ska underrättas av den personuppgiftsansvarige innan begränsningen av behandlingen upphör.

Artikel 19 Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandling

Den personuppgiftsansvarige ska underrätta varje mottagare till vilken personuppgifterna har lämnats ut om eventuella rättelser eller radering av personuppgifter eller begränsningar av behandling som skett i enlighet med artiklarna 16, 17.1 och 18, om inte detta visar sig vara omöjligt eller medföra en oproportionell ansträngning. Den personuppgiftsansvarige ska informera den registrerade om dessa mottagare på den registrerades begäran.