Rätten att bli glömd innebär att en person i vissa fall kan kräva att en organisation raderar hens personuppgifter utan onödigt dröjsmål. Rätten regleras i artikel 17 i dataskyddsförordningen och gäller på sex specifika grunder – men den är inte absolut. Flera undantag, bland annat rättsliga lagringskrav som bokföringslagens sju år, kan ta över. Den här artikeln förklarar de sex grunderna, de viktigaste undantagen och hur en svensk personuppgiftsansvarig hanterar en begäran om radering i praktiken.
Viktigaste punkterna
- Rätten till radering gäller på sex grunder i art. 17.1 – bland annat att uppgifterna inte längre behövs eller att samtycke återkallats.
- Rätten är inte absolut: artikel 17.3 undantar bland annat rättsliga skyldigheter och yttrande- och informationsfrihet.
- Bokföringslagens krav på sju års arkivering går före en raderingsbegäran för räkenskapsmaterial.
- Har du spridit uppgifterna offentligt ska du enligt art. 17.2 informera andra ansvariga om raderingen.
De sex grunderna för radering
Artikel 17.1 anger att den registrerade har rätt till radering när minst en av följande grunder är uppfylld:
- Uppgifterna behövs inte längre för de ändamål de samlades in för.
- Samtycket återkallas och det saknas annan rättslig grund för behandlingen.
- Den registrerade invänder mot behandlingen enligt artikel 21 och det saknas berättigade skäl som väger tyngre.
- Personuppgifterna har behandlats olagligt.
- Radering krävs för att uppfylla en rättslig förpliktelse.
- Uppgifterna samlades in i samband med informationssamhällets tjänster som erbjudits ett barn.
Det är viktigt att förstå att radering inte är en rättighet man åberopar i ett vakuum – den hänger ihop med den rättsliga grunden för behandlingen. Bygger behandlingen på samtycke är radering nästan alltid möjlig när samtycket dras tillbaka. Bygger den på ett avtal eller en rättslig förpliktelse är utrymmet mindre.
Undantagen: när uppgifter får behållas
Artikel 17.3 anger att rätten till radering inte gäller i den mån behandlingen är nödvändig för bland annat:
- Att utöva rätten till yttrande- och informationsfrihet.
- Att uppfylla en rättslig förpliktelse eller utföra en uppgift av allmänt intresse.
- Arkiv-, forsknings- eller statistikändamål.
- Att kunna fastställa, göra gällande eller försvara rättsliga anspråk.
Det mest praktiska undantaget för svenska företag är rättsliga lagringskrav. Bokföringslagen (1999:1078) kräver att räkenskapsinformation bevaras i sju år. En kund som begär radering kan alltså inte tvinga fram att fakturaunderlag raderas innan arkiveringstiden löpt ut – uppgifterna behövs för att uppfylla en rättslig förpliktelse. Detta är ett klassiskt exempel på att GDPR och nationell lag samverkar snarare än krockar. Hur du praktiskt löser konflikten mellan gallring och lagringskrav hänger ihop med organisationens övriga gallringsrutiner.
Det viktiga är att du inte kan neka en hel raderingsbegäran bara för att en del av uppgifterna omfattas av ett lagringskrav. Om en kund begär radering och du har ett fakturaunderlag som måste sparas i sju år, ska du radera allt annat – marknadsföringsprofilen, nyhetsbrevsprenumerationen, supportärendena – och behålla enbart det som lagen kräver, med åtkomst begränsad till det ändamålet. Att spara hela kundkortet “för säkerhets skull” är inte förenligt med artikel 17. IMY:s vägledning om de registrerades rättigheter betonar just att undantagen ska tillämpas snävt och per uppgift, inte som en generell ursäkt för att behålla allt.
Så hanterar du en begäran i praktiken
När en begäran om radering kommer in bör du gå igenom fyra steg:
- Verifiera identiteten på ett proportionellt sätt.
- Kartlägg var uppgifterna finns – i alla system, säkerhetskopior och hos eventuella biträden.
- Pröva grund mot undantag – finns en av de sex grunderna, och tar något undantag i artikel 17.3 över?
- Genomför och dokumentera raderingen eller avslaget, och informera den registrerade inom en månad.
Har du lämnat ut personuppgifterna till personuppgiftsbiträden måste även de radera. Att kunna kartlägga var uppgifterna finns förutsätter en aktuell registerförteckning – utan den blir radering en gissningslek. Ofta föregås en raderingsbegäran av ett registerutdrag: personen ber först att få se sina uppgifter och begär sedan att de tas bort. Rutinerna för de två rättigheterna bör därför sitta ihop.
Enligt artikel 17.2 gäller dessutom en särskild skyldighet om du offentliggjort uppgifterna: du ska då vidta rimliga åtgärder för att informera andra personuppgiftsansvariga som behandlar uppgifterna om att den registrerade begärt radering, så att även de kan ta bort länkar och kopior. Detta är kärnan i det som ofta kallas “rätten att bli glömd” i vid mening – inte bara att du raderar, utan att spridningen stoppas. Skyldigheten är begränsad till vad som är tekniskt och ekonomiskt rimligt, men den kan inte ignoreras helt.
Google: 75 miljoner för utebliven avindexering
Det mest kända svenska fallet rör inte ett vanligt företag utan en sökmotor. Datainspektionen (nuvarande IMY) fattade 2020 beslut om en sanktionsavgift på 75 miljoner kronor mot Google för brister i hanteringen av begäranden om avindexering – alltså att ta bort sökträffar som pekar på en persons uppgifter. IMY bedömde bland annat att Google tolkade rätten för snävt och att bolaget underrättade webbplatsägare på ett sätt som kunde motverka syftet med raderingen. Beslutet överklagades och avgiften justerades senare i domstol, men principen står fast: rätten att bli glömd ska tolkas i den registrerades favör, inte begränsas till ett minimum.
Radering är inte alltid samma sak som borttagning
En viktig nyans: att “radera” betyder inte alltid att fysiskt förstöra en rad i en databas. Anonymisering – att ta bort alla identifierande element så att uppgifterna inte längre kan kopplas till en person – är i många fall ett giltigt sätt att uppfylla raderingskravet, eftersom anonymiserade uppgifter inte längre är personuppgifter. Detta är särskilt användbart när du behöver behålla statistik men inte identiteten. Pseudonymisering räcker däremot inte, eftersom uppgifterna då fortfarande kan kopplas tillbaka.
Att bygga en fungerande raderingsprocess när uppgifter ligger spridda över många system är en av de mest underskattade GDPR-utmaningarna. Plattformar som Legiscope hjälper till att koppla varje behandling till dess lagringstid och raderingsrutin, så att en begäran kan besvaras spårbart.
Vanliga frågor
Är rätten att bli glömd absolut?
Nej. Rätten gäller bara på de sex grunderna i artikel 17.1, och även då kan undantagen i artikel 17.3 ta över – exempelvis rättsliga lagringskrav, yttrandefrihet eller behovet av att försvara rättsliga anspråk. Varje begäran ska prövas individuellt.
Måste vi radera bokföringsunderlag om en kund begär det?
Nej, inte förrän arkiveringstiden löpt ut. Bokföringslagen kräver att räkenskapsinformation bevaras i sju år, vilket utgör en rättslig förpliktelse som går före raderingsbegäran. När de sju åren passerat ska uppgifterna dock gallras.
Hur snabbt måste vi svara på en begäran om radering?
Utan onödigt dröjsmål och senast inom en månad, med möjlighet till förlängning med två månader vid komplexa begäranden. Du måste svara även om du avslår begäran – och då motivera varför samt informera om rätten att klaga till IMY.
Räcker det att anonymisera i stället för att radera?
Ja, äkta anonymisering uppfyller kravet, eftersom uppgifterna då inte längre är personuppgifter. Kravet är att avidentifieringen är oåterkallelig. Pseudonymisering är däremot inte tillräckligt, eftersom kopplingen till personen finns kvar.
Slutsats
Rätten att bli glömd är kraftfull men villkorad. Sex grunder öppnar för radering, men undantagen – särskilt bokföringslagens sju år och yttrandefriheten – kan väga tyngre. Nyckeln är att pröva varje begäran mot både grund och undantag, kartlägga var uppgifterna finns och dokumentera beslutet. Google-fallet visar riktningen: när tvekan råder ska rätten tolkas till den registrerades fördel. Ett vanligt misstag är att se radering som en teknisk engångshändelse. I praktiken är det en process som måste nå varje system, varje backup och varje leverantör där uppgiften finns – och som måste kunna dokumenteras i efterhand. Bygg processen en gång, testa att den faktiskt tömmer alla system, och du förvandlar en återkommande huvudvärk till en rutin som stärker förtroendet för organisationen.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope