Fråga:

Jag har sedan GDPR trädde i kraft blivit kontaktad av personer som vill att vi ska radera deras uppgifter i våra system. Måste jag verkligen ta bort alla uppgifter?

Besvarad av: Tomas Jalling

Den registrerade (den person vars personuppgifter blir behandlade) har genom GDPR en hel del rättigheter, bl.a. rätt att under vissa omständigheter bli raderad (rätt att bli glömd). Rättigheten att bli glömd innebär att den personuppgiftsansvarige (den som bestämmer ändamål och medel med behandling) är skyldig att radera personuppgifter som inte längre behövs av kontraktuella eller lagstadgade skäl. Uppgifter som t.ex. obetalda fakturor eller andra pågående mellanhavanden mellan den personuppgiftsansvarige och den registrerade bör därför inte raderas. 

Den personuppgiftsansvarige är inte heller skyldig att radera personuppgifter som denne har ett berättigat intresse av att fortsätta behandla. Intresset måste väga tyngre än den registrerades rätt att inte längre vara föremål för behandling. I praktiken kan detta vara ett svårt argument för den personuppgiftsansvarige eftersom den registrerades aktiva begäran att bli raderad i de flesta fall kommer väga tyngre än intresset av att behålla uppgifterna.

Kom därför ihåg att kartlägga alla typer av personuppgiftsbehandlingar och identifiera med vilken rättslig grund respektive behandling görs. Detta kommer att underlätta mycket, inte minst vid en registrerads begäran om radering och andra utövande av andra rättigheter.