Hej, och stort tack för att du vänder dig till oss med din fråga. I det följande ges en redogörelse för ”rätten till radering” och vilka uppgifter ni som företag är skyldiga att spara enligt lag. 

Rätten till radering av personuppgifter 

Enligt dataskyddsförordningen (”GDPR”) så ges registrerade (till exempel en anställd, kund eller konsult) en rätt till radering av personuppgifter. Detta kallas även rätten att bli bortglömd och regleras i artikel 17 i GDPR. Rättigheten innebär att den registrerade kan vända sig till de verksamheter (”personuppgiftsansvariga”) som behandlar dennes personuppgifter och begära att uppgifterna raderas.

Rätten till radering av personuppgifter gäller i följande fall: 

1. Om uppgifterna inte längre behövs för det ändamål som de samlades in för så ska de raderas på begäran av den registrerade. Detta gäller till exempel om den registrerade avslutar ett avtal eller säger upp sig som kund. 
2. Om verksamhetens behandling av personuppgifter grundar sig på den registrerades samtycke och denne sedan drar tillbaka sitt samtycke. 
3. Om det gäller direktmarknadsföring, till exempel nyhetsbrev, och den registrerade motsätter sig behandlingen (avbryter prenumerationen). 
4. Om en rättslig skyldighet kräver att uppgifterna raderas. Detta gäller till exempel för privatpersoners betalningsanmärkningar hos kreditupplysningsföretag, där kreditupplysningslagen säger att de ska raderas senast efter 3 år.
5. Om personuppgiftsbehandlingen grundar sig på personuppgiftsansvarigas ”berättigade intresse”, men vid en bedömning saknas det berättigade skäl som överväger den registrerades intresse av att uppgifterna raderas. 
6. Om personuppgifterna behandlats olagligt, till exempel utan rättslig grund i GDPR.
7. Om uppgifterna rör ett barn och de har samlats in för att skapa en profil i ett socialt nätverk. 

Undantag från rätten till radering av personuppgifter 

Rätten till radering  är ingen absolut rättighet och det finns ett antal undantag när den personuppgiftsansvariga kan neka den registrerade att få uppgifterna raderade. Det gäller exempelvis om uppgifterna behövs för att uppfylla en rättslig förpliktelse (t.ex. rapportering av inkomst till Skatteverket), krävs som ett led i myndighetsutövning (t.ex. inom socialtjänsten)eller behövs för att fastställa, göra gällande eller försvara rättsliga anspråk (t.ex. vid en tvist som rör leverans av en vara eller en tjänst). Vidare så kan radering nekas om uppgifterna är av allmänt intresse eller har betydelse för vetenskapliga, historiska eller statistiska ändamål. 

Information som ni är skyldiga att spara enligt bokförings- och skattereglerna

Bokföringslagen och skattelagstiftningen uppställer krav på att vissa uppgifter behöver sparas. Som företag (personuppgiftsansvarig) har ni därmed en rättslig förpliktelse att spara uppgifterna, vilket alltså är exempel på undantag från rätten till radering. All information som behövs för att ni ska kunna leva upp till de krav på arkivering som bokförings- och skattereglerna uppställer behöver sparas. Det innebär att räkenskapsinformation, till exempel kvitton och avtal, som har betydelse för bokföringen ska arkiveras fram till och med det sjunde året efter utgången av det kalenderår då räkenskapsåret avslutades. När uppgifterna inte längre behövs så bör de raderas ”utan onödigt dröjsmål”. Beroende på vilken verksamhet ni bedriver kan det också finnas andra regler som innebär att ni måste spara vissa uppgifter.

Sammanfattningsvis bör ni spara de uppgifter som behövs för att uppfylla de skyldigheter ni har enligt bokföringslagen och skattelagstiftningen (samt eventuella verksamhetsspecifika regler som kräver att uppgifter bevaras). Det kan till exempel handla om avtal och andra underlag för konsultens ersättning. Vid all behandling av personuppgifter så är det endast tillåtet att spara uppgifterna så länge som det är nödvändigt för ändamålet och det finns en rättslig grund för behandlingen. De uppgifter som inte längre behövs ska raderas ”utan onödigt dröjsmål”. Vår rekommendation är att ni dokumenterar ert regelverk för gallring (radering) av personuppgifter och att ni inför inför rutiner som säkerställer att uppgifterna gallras i enlighet med ert regelverk. Behöver ni vidare vägledning så är ni välkomna att kontakta våra jurister specialiserade på dataskydd och GDPR.