GDPR-begäran om Radering Sverige (Rätten att bli bortglömd)

En GDPR-begäran om Radering i Sverige, även kallad rätten att bli bortglömd, är en formell skriftlig begäran som en fysisk person (registrerad) skickar till en personuppgiftsansvarig med stöd av artikel 17 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 (allmänna dataskyddsförordningen, GDPR). Rätten kompletteras av lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) samt av sektorsspecifik svensk lagstiftning såsom patientdatalagen (2008:355), socialtjänstlagen (2001:453) och offentlighets- och sekretesslagen (2009:400) för myndigheter.

Rätten till radering är en av de mest kraftfulla rättigheterna under GDPR. Enligt artikel 17.1 GDPR har den registrerade rätt att av personuppgiftsansvarig utan onödigt dröjsmål få sina personuppgifter raderade om någon av sex grunder är tillämplig. För det första att personuppgifterna inte längre är nödvändiga för de ändamål som de samlades in eller på annat sätt behandlades för (art. 17.1.a). För det andra att den registrerade återkallar det samtycke som behandlingen vilar på enligt artikel 6.1.a eller artikel 9.2.a och det saknas annan rättslig grund för behandlingen (art. 17.1.b). För det tredje att den registrerade invänder mot behandlingen enligt artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre eller den registrerade invänder mot direkt marknadsföring enligt artikel 21.2 (art. 17.1.c). För det fjärde att personuppgifterna har behandlats på olagligt sätt (art. 17.1.d). För det femte att personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller svensk rätt (art. 17.1.e). För det sjätte att personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster till barn enligt artikel 8.1 (art. 17.1.f).

Rätten till radering är inte ovillkorlig. Enligt artikel 17.3 GDPR ska radering inte ske i den utsträckning som behandlingen är nödvändig för att utöva rätten till yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, av hänsyn till allmänt intresse på folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, eller för att kunna fastställa, göra gällande eller försvara rättsliga anspråk. För svenska myndigheter kan dessutom offentlighets- och sekretesslagen (2009:400) samt arkivlagen (1990:782) hindra radering på grund av arkivskyldighet och offentlighetsprincipen enligt tryckfrihetsförordningen.

Det välkända EU-domstolsavgörandet i Google Spain SL och Google Inc. mot Agencia Española de Protección de Datos (AEPD) och Mario Costeja González av den 13 maj 2014 (mål C-131/12) etablerade rätten att bli bortglömd som en grundläggande princip inom europeisk dataskyddsrätt redan innan GDPR trädde i kraft. Detta avgörande gav privatpersoner rätt att kräva borttagning av föråldrade, irrelevanta eller överdrivna personuppgifter från sökmotorers indexering. Rätten har sedan dess utvidgats och konkretiserats genom artikel 17 GDPR och efterföljande EU-domstolsavgöranden, bland annat Google LLC mot Commission nationale de l'informatique et des libertés (CNIL) av den 24 september 2019 (mål C-507/17) om territoriell omfattning.

Vid bifall till begäran om radering ska personuppgiftsansvarig enligt artikel 17.2 GDPR, om personuppgifterna offentliggjorts, med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga som behandlar uppgifterna om att den registrerade har begärt radering av eventuella länkar till eller kopior eller reproduktioner av dessa personuppgifter. Detta är särskilt relevant för internetbaserade tjänster där uppgifter snabbt sprids till tredje part eller indexeras av sökmotorer. Personuppgiftsansvarig är dock inte skyldig att utföra omöjliga eller orimligt kostsamma åtgärder.

Integritetsskyddsmyndigheten (IMY), tidigare Datainspektionen, är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § dataskyddslagen. Vid uteblivet eller felaktigt svar kan den registrerade inge klagomål enligt artikel 77 GDPR. IMY kan besluta om tillsynsåtgärder enligt artikel 58 GDPR, inklusive föreläggande att radera personuppgifterna, varning, reprimand och administrativa sanktionsavgifter på upp till 20 miljoner euro eller fyra procent av den globala årsomsättningen enligt artikel 83 GDPR. Förvaltningsrätten i Stockholm är första instans för överklagande av IMY:s beslut, vidare till Kammarrätten i Stockholm och Högsta förvaltningsdomstolen. Skadeståndskrav prövas av allmän domstol enligt artikel 82 GDPR och 7 kap. 1 § dataskyddslagen.

En GDPR-begäran om Radering i Sverige aktualiseras i olika livssituationer där en fysisk person vill att personuppgifter ska tas bort från en organisations system. Nedan beskrivs centrala scenarion där rätten att bli bortglömd enligt artikel 17 GDPR är särskilt motiverad.

Avslutad kundrelation hos företag. Vid avslutad prenumeration eller kundförhållande hos telekomoperatörer som Telia Company, Tele2, Telenor Sverige eller Tre, hos streamingtjänster som Spotify, Viaplay eller HBO Max, eller hos e-handelsföretag som Boozt, NetOnNet eller Bonnier Magazines, kan den registrerade kräva radering av personuppgifter när lagstadgad bokföringsfrist (sju år enligt bokföringslagen (1999:1078) 7 kap. 2 §) löpt ut. Marknadsföringsprofilering, beteendeanalys och övrig icke-bokföringsrelaterad data ska ofta raderas tidigare.

Återkallat samtycke för marknadsföring. Vid återkallat samtycke till direkt marknadsföring enligt marknadsföringslagen (2008:486) och GDPR artikel 7 har den registrerade rätt att begära radering av e-postadress, telefonnummer och profileringsuppgifter som behandlas för marknadsföringsändamål. Spamlagstiftningen enligt lag (2003:389) om elektronisk kommunikation ger ytterligare grund för borttagning från utskickslistor. Rätten gäller mot stora företag som ICA Maxi, Coop, Stadium, H&M, Lindex samt mindre lokala företag.

Felaktig publicering på internet. Vid felaktig eller föråldrad publicering av personuppgifter på sökmotorer (Google, Bing, DuckDuckGo), nyhetsmedia eller sociala medier kan den registrerade åberopa Google Spain-doktrinen från EU-domstolens dom C-131/12 av den 13 maj 2014. Hos Google sker borttagning via 'Right to be forgotten'-formulär. Vid nekat svar från sökmotorn kan klagomål inges till Integritetsskyddsmyndigheten (IMY) som har tillsyn över Googles svenska personuppgiftsbehandling.

Gamla rättsärenden och brottmål. Vid friande dom, beslut om avskrivning eller annan upphörd straffrättslig konsekvens kan personen ha intresse av att uppgifter försvinner från media och databaser. Hos Domstolsverket gäller särskilda regler enligt rättegångsbalken (1942:740) och lag (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område. Vid 'Ari Mwachofi'-doktrinen från EU-domstolens dom C-565/15 av den 8 mars 2017 ska intresseavvägning ske mellan integritet och allmänhetens informationsfrihet.

Anställning som upphört. Tidigare anställda hos företag eller myndigheter kan begära radering av personuppgifter när lagstadgade bevarandetider löpt ut. Arbetsgivarintyg, lönespecifikationer och övriga skattetekniskt relevanta dokument ska enligt bokföringslagen (1999:1078) bevaras minst sju år. Övrig data som prestationsbedömningar, disciplinära åtgärder, sjukfrånvaroregister och rekryteringsanteckningar kan vara berättigade till tidigare radering.

Sociala medier och teknikplattformar. Vid avslutat konto på Meta Platforms (Facebook, Instagram, WhatsApp), Google (YouTube, Gmail), Microsoft (LinkedIn, Outlook), TikTok eller X kan användaren kräva fullständig radering enligt artikel 17 GDPR. Plattformarnas standardprocesser för kontoborttagning är ofta otillräckliga, då säkerhetskopior, profiler för annonsering och delade uppgifter kan kvarstå. Skriftlig begäran med uttrycklig hänvisning till GDPR ger fullständigare borttagning.

Felaktiga registreringar och identitetsstöld. Vid felaktig registrering i kreditupplysningsföretag (Bisnode, Creditsafe, UC AB) på grund av identitetsstöld, felaktig handläggning eller systemfel kan den registrerade kräva radering enligt artikel 17.1.d GDPR (olaglig behandling). Kreditupplysningslagen (1973:1173) ger parallell skyddsmekanism. Vid systematisk felaktig registrering kan även anmälan till Finansinspektionen och brottsanmälan vid bedrägeri komma ifråga.

Medicinska och sociala uppgifter med utgångstid. Patientuppgifter omfattas av patientdatalagen (2008:355) med särskilda bevarandetider (vanligen tio år efter senaste anteckning enligt 8 kap. 1 § patientdatalagen för journal). Socialtjänstuppgifter omfattas av socialtjänstlagen (2001:453) och offentlighets- och sekretesslagen (2009:400). Efter lagstadgade bevarandetider kan radering begäras, men för myndighetsregister kan arkivlagen (1990:782) hindra borttagning på grund av arkivskyldighet.

Utbildningsinstitutioner efter examen. Tidigare studenter vid Stockholms universitet, Uppsala universitet, Lunds universitet, Karolinska Institutet, Kungliga Tekniska högskolan eller andra lärosäten kan begära radering av rekryteringsanteckningar, disciplinärenden eller andra uppgifter som inte längre behövs. Examensbevis och betyg bevaras dock vanligen permanent enligt högskolelagen (1992:1434) och arkivlagen.

Minderåriga och deras föräldrar. Vid uppgifter om barn under 13 år som samlats in utan giltigt samtycke enligt artikel 8 GDPR och 5 § dataskyddslagen kan föräldrar eller vårdnadshavare kräva radering enligt artikel 17.1.f GDPR. Detta är särskilt relevant för sociala medier, spelplattformar och utbildningsappar som riktar sig till barn. Sveriges Konsumentverk och Barnombudsmannen kan komplettera tillsynen från IMY på området.

En giltig GDPR-begäran om Radering i Sverige bör innehålla följande element för att underlätta personuppgiftsansvarigs handläggning enligt artikel 17 GDPR och säkerställa den registrerades rättigheter enligt lag (2018:218).

Identifiering av den registrerade. Fullständigt namn så som registrerat hos personuppgiftsansvarig, personnummer i format ÅÅÅÅMMDD-XXXX enligt folkbokföringslagen (1991:481), folkbokföringsadress samt e-postadress för svar. För befintliga eller tidigare kundförhållanden underlättar dessutom kundnummer, anställningsnummer, patient-ID eller medlemsnummer identifieringen. Vid begäran från ombud krävs fullmakt undertecknad av den registrerade i original eller bestyrkt kopia.

Identifiering av personuppgiftsansvarig. Fullständigt företagsnamn eller myndighetsnamn enligt Bolagsverkets register, organisationsnummer (tio siffror tilldelade enligt lag (1974:174) om identitetsbeteckning för juridiska personer) samt adress till dataskyddsombud (DPO) eller juridisk avdelning. Större organisationer publicerar dessa uppgifter i sin integritetspolicy enligt artiklarna 13 och 14 GDPR.

Uttrycklig hänvisning till artikel 17 GDPR. Texten i begäran ska tydligt visa att det rör sig om rätten till radering enligt artikel 17 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) samt lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Tydlig juridisk hänvisning säkerställer att begäran behandlas som GDPR-ärende och att tidsfrister börjar löpa enligt artikel 12.3 GDPR.

Rättslig grund enligt artikel 17.1 GDPR. Den registrerade ska tydligt åberopa en av sex grunder enligt artikel 17.1: (a) uppgifterna inte längre nödvändiga för ändamålen; (b) återkallat samtycke utan annan rättslig grund; (c) invändning enligt artikel 21 utan tyngre berättigade skäl; (d) olaglig behandling; (e) rättslig förpliktelse att radera enligt unionsrätten eller svensk rätt; (f) uppgifter om barn under 13 år samlade utan giltigt samtycke. Den registrerade bör motivera varför den valda grunden är tillämplig i det specifika fallet.

Beskrivning av vilka uppgifter som ska raderas. Konkret beskrivning av omfattningen av begäran. Exempel: 'samtliga personuppgifter rörande min avslutade prenumeration på Telia Bredband med kundnummer 12345 från 1 januari 2020 till 31 december 2025'. Vid bred begäran används formulering som 'samtliga personuppgifter ni behandlar om mig'. Vid smal begäran kan specifika kategorier eller tidsperioder anges.

Krav på underrättelse av tredje part enligt artikel 17.2 GDPR. Om personuppgifterna offentliggjorts ska personuppgiftsansvarig vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga som behandlar uppgifterna. Detta omfattar säkerhetskopior, partneraktörer, mottagare i tredje land samt sökmotorindexering. Den registrerade bör uttryckligen kräva sådan underrättelse i sin begäran, med uppgift om kända mottagare där det är relevant.

Krav på bekräftelse och dokumentation. Den registrerade bör begära skriftlig bekräftelse på att radering verkställts, inklusive uppgift om vilka system, säkerhetskopior och arkiv som omfattats, vilka tredje parter som underrättats enligt artikel 17.2 GDPR, eventuella undantag enligt artikel 17.3 GDPR som personuppgiftsansvarig åberopar samt datum för verkställighet. Detta dokumentation behövs vid eventuell eskalering till IMY eller rättslig prövning.

Utrymme för partiell radering vid undantag enligt artikel 17.3 GDPR. Vid partiella undantag (exempelvis arkivskyldighet enligt arkivlagen (1990:782), bokföringsfrist enligt bokföringslagen (1999:1078), patientjournalförvaring enligt patientdatalagen (2008:355) eller offentlighetsprincipen enligt tryckfrihetsförordningen) ska personuppgiftsansvarig motivera konkret vilka uppgifter som inte raderas och på vilken rättslig grund. Begäran bör bygga in detta krav på motivering av eventuella undantag.

Tidsfrist för svar. Tydlig påminnelse om en-månads-tidsfristen enligt artikel 12.3 GDPR samt möjligheten till två-månaders-förlängning för komplicerade ärenden mot underrättelse inom den ursprungliga månaden. Påpekande om konsekvenserna vid uteblivet eller otillräckligt svar: klagomål till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR, rättslig prövning enligt artikel 79 GDPR samt skadeståndskrav enligt artikel 82 GDPR och 7 kap. 1 § dataskyddslagen.

Kostnadsfrihet. Enligt artikel 12.5 GDPR är åtgärderna kostnadsfria. Endast vid uppenbart ogrundade eller orimliga begäranden får personuppgiftsansvarig ta ut rimlig administrativ avgift, med bevisbörda hos personuppgiftsansvarig. Tydlig markering i begäran avskräcker från orättfärdig avgiftsdebitering.

Kontaktuppgifter för uppföljning. E-postadress och telefonnummer där personuppgiftsansvarig kan nå den registrerade vid behov av kompletterande identitetskontroll enligt artikel 12.6 GDPR. Vid identitetstvivel kan personuppgiftsansvarig kräva ytterligare information, men endast i den utsträckning som behövs för att bekräfta identitet, exempelvis verifiering via Bank-ID.

Eskaleringsväg till IMY. Uttrycklig hänvisning till Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet med kontor på Drottninggatan 29 i Stockholm, kontakt [email protected] och telefon 08-657 61 00. Påpekande om att klagomål kan inges enligt artikel 77 GDPR vid uteblivet eller otillräckligt svar. På forms-legal.com finner du också mallar för GDPR-begäran om Registerutdrag, Klagomål till Myndighet och relaterade integritetsdokument enligt svensk rätt. Vid eskalering kan IMY besluta om föreläggande att radera, varning, reprimand samt administrativa sanktionsavgifter enligt artikel 83 GDPR.

Undertecknande. Egenhändig namnteckning på pappersbrev eller avancerad elektronisk underskrift enligt eIDAS-förordningen 910/2014 vid digital försändelse. Bank-ID är vanligt accepterat verktyg för digital identifiering. Vid postförsändelse rekommenderas rekommenderat brev med mottagningsbevis för att kunna styrka mottagningsdatum.

En GDPR-begäran om Radering i Sverige fylls i genom följande steg som säkerställer korrekt utformning enligt artikel 17 GDPR och lag (2018:218).

Steg 1 - Identifiera personuppgiftsansvarig. Bestäm vilken organisation som behandlar de personuppgifter du vill ha raderade. För större företag och myndigheter publiceras kontaktuppgifter till dataskyddsombud (DPO) i deras integritetspolicy enligt artikel 13 GDPR. Sök efter 'dataskyddsombud', 'DPO contact' eller 'privacy@företaget.se' på deras webbplats. Bolagsverkets webbplats bolagsverket.se ger sökning på namn och organisationsnummer. Fullständigt företagsnamn och organisationsnummer (tio siffror enligt lag (1974:174)) ger säker identifiering.

Steg 2 - Fyll i datum för begäran. Använd ÅÅÅÅ-MM-DD-format (exempelvis 2026-05-28). Datumet är utgångspunkt för en-månads-tidsfristen enligt artikel 12.3 GDPR. Vid postförsändelse rekommenderas rekommenderat brev med mottagningsbevis från PostNord för att kunna styrka mottagningsdatum. Vid e-post räcker oftast bekräftelse på leverans eller manuell bekräftelse från mottagaren.

Steg 3 - Fyll i dina personuppgifter. Skriv fullständigt namn så som registrerat hos personuppgiftsansvarig, personnummer i format ÅÅÅÅMMDD-XXXX, folkbokföringsadress (gata, postnummer, ort) samt e-postadress för svar. Vid känsligare uppgifter kan kompletterande identifiering via Bank-ID krävas, vilket personuppgiftsansvarig kan be om enligt artikel 12.6 GDPR. Bifoga vid behov bestyrkt kopia av legitimation om begäran lämnas via ombud med fullmakt.

Steg 4 - Ange kund-, anställnings- eller medlemsnummer. För befintliga eller tidigare kunder hos banker, försäkringsbolag, teleoperatörer eller e-handelsföretag finns oftast kundnummer på fakturor eller kontoutdrag. För anställda gäller anställningsnummer från lönespecifikation. För patienter finns patient-ID på vårdkort eller via 1177.se. För medlemmar används medlemsnummer. Detta underlättar identifiering hos stora personuppgiftsansvariga med många kundregister.

Steg 5 - Välj rättslig grund enligt artikel 17.1 GDPR. Bland sex grunder välj den som passar din situation. Vanligast är grund (a) 'uppgifterna är inte längre nödvändiga' vid avslutad kundrelation eller anställning, grund (b) 'återkallat samtycke' vid marknadsföringsutskick, grund (c) 'invändning enligt artikel 21' vid berättigat intresse-baserad behandling, eller grund (d) 'olaglig behandling' vid identitetsstöld eller felaktig registrering. Vid tveksamhet kan flera grunder åberopas samtidigt med motivering.

Steg 6 - Beskriv vilka uppgifter som ska raderas. Var konkret om omfattningen. Vid avslutad prenumeration: 'samtliga personuppgifter rörande min prenumeration med kundnummer KUND-12345 från 1 januari 2020 till och med 31 december 2025, inklusive konto, faktureringsuppgifter, supportärenden, samtalsregister och marknadsföringsprofilering'. Vid full radering: 'samtliga personuppgifter som behandlas om mig'. Var specifik om det finns tidigare anställning, kundförhållande eller annan kontext.

Steg 7 - Motivera varför rättslig grund är tillämplig. Vid grund (a) kan motivering vara att lagstadgad bokföringsfrist (sju år enligt bokföringslagen (1999:1078) 7 kap. 2 §) löpt ut. Vid grund (b) motivering att samtycket återkallats skriftligen och att inget annat rättsligt stöd finns. Vid grund (c) motivering att berättigat intresse hos personuppgiftsansvarig inte väger tyngre än integritetsintresset, exempelvis vid borttagen tjänst eller upphörd kundrelation. Vid grund (d) motivering med konkret bevisning för olaglig behandling, exempelvis IMY-beslut, dom från förvaltningsrätt eller dokumentation av identitetsstöld.

Steg 8 - Krav på underrättelse av tredje part enligt artikel 17.2 GDPR. Skriv tydligt att personuppgiftsansvarig ska vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga som behandlar uppgifterna, särskilt vid offentliggörande på internet, säkerhetskopior, partnernätverk eller mottagare i tredje land. Vid kända mottagare bör du ange dessa specifikt, exempelvis 'sökmotorindexering hos Google, Bing och övriga sökmotorer som indexerat publicerad information'.

Steg 9 - Krav på bekräftelse och dokumentation. Skriv att du kräver skriftlig bekräftelse på att radering har skett, inklusive uppgift om vilka system, säkerhetskopior och arkiv som omfattats, vilka tredje parter som underrättats enligt artikel 17.2 GDPR, eventuella undantag enligt artikel 17.3 GDPR (yttrandefrihet, rättslig förpliktelse, allmänt intresse, forskningsändamål, rättsliga anspråk) samt datum för verkställighet. Denna dokumentation behövs vid eventuell eskalering till IMY eller rättslig prövning.

Steg 10 - Underteckna och skicka. Egenhändig namnteckning på pappersbrev eller avancerad elektronisk underskrift enligt eIDAS-förordningen 910/2014 vid digital försändelse. Bank-ID är vanligt accepterat verktyg för digital identifiering i Sverige. Skicka rekommenderat brev med mottagningsbevis från PostNord för pappersversion, eller med leveransbekräftelse vid e-post. Spara kopia av begäran och bevis på leverans. Notera datum för mottagandet hos personuppgiftsansvarig för uppföljning av en-månads-tidsfristen och eventuellt klagomål till Integritetsskyddsmyndigheten (IMY).

En GDPR-begäran om Radering i Sverige regleras av flera samverkande rättsakter på EU-nivå och svensk nivå, vilket skapar en komplex juridisk ram som personuppgiftsansvarig måste följa.

Grundläggande EU-rättslig grund. Artikel 17 i Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR) ger varje registrerad rätt att av personuppgiftsansvarig utan onödigt dröjsmål få sina personuppgifter raderade. Förordningen har direkt effekt och är direkt tillämplig i samtliga EU:s medlemsstater enligt artikel 288 i fördraget om Europeiska unionens funktionssätt (FEUF). Rätten utvecklades ursprungligen genom EU-domstolens dom i Google Spain SL och Google Inc. mot AEPD och Mario Costeja González av den 13 maj 2014 (mål C-131/12) och kodifierades sedan i artikel 17 GDPR vid förordningens ikraftträdande den 25 maj 2018.

Kompletterande svensk lagstiftning. Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, populärt kallad dataskyddslagen, kompletterar GDPR. Lagen innehåller bestämmelser om Integritetsskyddsmyndigheten (IMY) som tillsynsmyndighet enligt artikel 51 GDPR (7 kap. 1 §), klagomålsrätten enligt artikel 77 GDPR (7 kap. 2 §) och överklagandeordningen vid Förvaltningsrätten i Stockholm (7 kap. 4 §). För specifika sektorer gäller dessutom patientdatalagen (2008:355), socialtjänstlagen (2001:453) och brottsdatalagen (2018:1177).

Sex grunder för radering enligt artikel 17.1 GDPR. Rätten till radering föreligger när någon av sex grunder är tillämplig. (a) Uppgifterna är inte längre nödvändiga för ändamålen. (b) Återkallat samtycke utan annan rättslig grund. (c) Invändning enligt artikel 21 utan tyngre berättigade skäl, alternativt invändning mot direkt marknadsföring. (d) Olaglig behandling. (e) Rättslig förpliktelse att radera enligt unionsrätten eller svensk rätt. (f) Uppgifter samlade från barn under 13 år enligt artikel 8 GDPR och 5 § dataskyddslagen. Personuppgiftsansvarig är skyldig att granska om någon grund är tillämplig och att radera om så är fallet, utan vidare prövning.

Undantag från rätten till radering enligt artikel 17.3 GDPR. Sex undantag begränsar rätten. Det första gäller utövande av yttrandefrihet och informationsfrihet, vilket är särskilt relevant för media och journalistik enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det andra gäller fullgörande av rättslig förpliktelse som kräver behandling enligt unionsrätten eller svensk rätt, exempelvis bokföringsfrist enligt bokföringslagen (1999:1078) 7 kap. 2 § (sju år), patientjournalbevarande enligt patientdatalagen (2008:355) eller arkivskyldighet enligt arkivlagen (1990:782). Det tredje gäller uppgift av allmänt intresse eller myndighetsutövning. Det fjärde gäller folkhälsoändamål enligt artikel 9.2.h och 9.2.i GDPR. Det femte gäller arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1 GDPR. Det sjätte gäller fastställande, görande gällande eller försvar av rättsliga anspråk.

Underrättelse av tredje part enligt artikel 17.2 GDPR. Vid offentliggörande av personuppgifterna har personuppgiftsansvarig en utvidgad skyldighet att vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga som behandlar uppgifterna. Skyldigheten gäller med beaktande av tillgänglig teknik och kostnaden för genomförandet. För internetbaserade tjänster omfattar detta vanligen sökmotorindexering (Google, Bing, DuckDuckGo), säkerhetskopior, partneraktörer, mottagare i tredje land samt övriga aktörer i den digitala kedjan.

Tidsfrister enligt artikel 12.3 GDPR. Personuppgiftsansvarig ska utan onödigt dröjsmål och senast inom en månad efter mottagandet av begäran lämna information om de åtgärder som vidtagits. Tidsfristen får förlängas med ytterligare två månader vid komplicerade ärenden, mot underrättelse inom den ursprungliga månaden. Vid avslag ska personuppgiftsansvarig informera den registrerade om skälen för avslaget och om rätten att inge klagomål till tillsynsmyndighet och söka rättsmedel.

Identitetsverifiering enligt artikel 12.6 GDPR. Personuppgiftsansvarig får, vid rimliga skäl att betvivla identiteten, begära ytterligare information för att bekräfta identitet. I Sverige används ofta Bank-ID eller kopia av legitimation. Identifieringskravet ska vara proportionellt och får inte användas som hinder för legitima begäranden.

Tillsynsmyndighet och klagomålsväg. Integritetsskyddsmyndigheten (IMY) är tillsynsmyndighet enligt artikel 51 GDPR och 7 kap. 1 § dataskyddslagen. Klagomål kan inges enligt artikel 77 GDPR. IMY har sitt kontor på Drottninggatan 29, 111 51 Stockholm, kontakt [email protected] eller telefon 08-657 61 00. IMY:s beslut överklagas till Förvaltningsrätten i Stockholm enligt 7 kap. 4 § dataskyddslagen, vidare till Kammarrätten i Stockholm och slutligen Högsta förvaltningsdomstolen.

Administrativa sanktionsavgifter enligt artikel 83 GDPR. Vid överträdelse av bestämmelser om registrerades rättigheter, inklusive artikel 17, gäller den högre sanktionsskalan enligt artikel 83.5 GDPR med belopp på upp till 20 miljoner euro eller upp till fyra procent av den globala årsomsättningen. IMY beaktar omständigheter som överträdelsens art, allvar och varaktighet, antalet drabbade registrerade samt graden av skada.

Skadeståndsrätt enligt artikel 82 GDPR. Varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av GDPR har rätt till ersättning från personuppgiftsansvarig eller personuppgiftsbiträde. Enligt 7 kap. 1 § dataskyddslagen prövas skadeståndsanspråk av allmän domstol (tingsrätt, hovrätt, Högsta domstolen). EU-domstolen har i mål C-300/21 UI mot Österreichische Post AG av den 4 maj 2023 fastslagit att skadestånd för immateriell skada inte kräver att skadan överstiger viss tröskelnivå, men att överträdelsen som sådan inte räcker utan faktisk skada måste visas.

Sektorsspecifika undantag. Patientdatalagen (2008:355) 8 kap. innehåller särskilda bevarandetider för patientjournaler (vanligen tio år). Bokföringslagen (1999:1078) 7 kap. 2 § kräver bevarande av räkenskapsinformation i sju år. Arkivlagen (1990:782) innehåller bestämmelser om arkivskyldighet hos myndigheter. För kreditupplysningsregister gäller kreditupplysningslagen (1973:1173) med särskilda bevarandetider. Dessa sektorslagar kan motivera partiella avslag på radering enligt artikel 17.3.b GDPR (rättslig förpliktelse).

Följande misstag förekommer regelbundet vid utformning av GDPR-begäran om Radering i Sverige och försvagar den registrerades position vid handläggning enligt artikel 17 GDPR.

Misstag 1 - Felaktig eller saknad rättslig grund. Att åberopa fel grund eller utelämna grund enligt artikel 17.1 GDPR kan leda till avslag eller fördröjd handläggning. Vid avslutad kundrelation används grund (a) 'uppgifterna är inte längre nödvändiga'. Vid återkallat marknadsföringssamtycke används grund (b) 'återkallat samtycke'. Vid invändning mot berättigat intresse-baserad behandling används grund (c) 'invändning enligt artikel 21'. Vid identitetsstöld eller systemfel används grund (d) 'olaglig behandling'. Felaktig grund kan medföra att personuppgiftsansvarig avslår begäran på formell grund utan materiell prövning.

Misstag 2 - För vag beskrivning av vilka uppgifter som ska raderas. Att begära 'allt om mig' utan precisering kan leda till tveksamhet om omfattningen. Vid avslutad kundrelation bör tidsperiod och kundnummer anges. Vid social mediekonto bör användarnamn och e-postadress anges. Vid sökmotorindexering bör URL-länkar och söktermer specificeras. Konkret beskrivning underlättar handläggning och undanröjer tolkningsutrymme för personuppgiftsansvarig. Vid bred begäran används formulering som 'samtliga personuppgifter som behandlas om mig i samtliga era system, säkerhetskopior och arkiv'.

Misstag 3 - Saknat krav på underrättelse av tredje part enligt artikel 17.2 GDPR. Vid offentliggjorda uppgifter ska personuppgiftsansvarig vidta rimliga åtgärder för att underrätta andra personuppgiftsansvariga. Detta omfattar sökmotorer (Google, Bing), partneraktörer, mottagare i tredje land och säkerhetskopior. Utan uttryckligt krav på underrättelse kan personuppgiftsansvarig bortse från sin skyldighet, vilket leder till fortsatt spridning av uppgifterna. Vid kända mottagare bör dessa anges specifikt i begäran för att underlätta målgruppen för underrättelsen.

Misstag 4 - Saknat krav på bekräftelse och dokumentation. Utan tydlig begäran om skriftlig bekräftelse riskerar du att radering verkställs utan att du får besked, vilket gör eskalering till IMY svårare. Skriv tydligt att du kräver skriftlig bekräftelse på att radering skett, inklusive uppgift om vilka system och säkerhetskopior som omfattats, vilka tredje parter som underrättats enligt artikel 17.2 GDPR samt eventuella undantag enligt artikel 17.3 GDPR med konkret motivering. Datum för verkställighet är viktigt för dokumentation.

Misstag 5 - Bristfällig identitetsverifiering. Att skicka begäran utan tillräckliga identifieringsuppgifter kan leda till att personuppgiftsansvarig begär kompletterande information enligt artikel 12.6 GDPR, vilket fördröjer handläggningen. Inkludera fullständigt namn, personnummer, folkbokföringsadress samt kund- eller anställningsnummer. Vid känsliga uppgifter kan bestyrkt kopia av legitimation eller verifiering via Bank-ID krävas. Saknad identitetsverifiering kan dock inte vara grund för att inte aktivera tidsfristen enligt artikel 12.3 GDPR, men det skapar onödig handläggningsfördröjning.

Misstag 6 - Acceptera felaktigt avslag på grund av artikel 17.3 GDPR. Personuppgiftsansvarig får endast åberopa undantag enligt artikel 17.3 GDPR (yttrandefrihet, rättslig förpliktelse, allmänt intresse, forskningsändamål, rättsliga anspråk) vid konkret motivering. Ett vagt avslag som 'vi har skyldighet att bevara uppgifterna' utan rättslig hänvisning är otillräckligt. Vid avslag bör du kräva specifik rättslig grund (exempelvis hänvisning till bokföringslagen (1999:1078) eller patientdatalagen (2008:355)) samt vilka uppgifter undantaget omfattar. Övriga uppgifter ska fortfarande raderas.

Misstag 7 - Underskattning av sektorsspecifika undantag. Vissa uppgifter omfattas av lagstadgade bevarandetider som hindrar radering enligt artikel 17.3.b GDPR. Bokföringsuppgifter ska enligt bokföringslagen (1999:1078) 7 kap. 2 § bevaras i sju år. Patientjournaler ska enligt patientdatalagen (2008:355) 8 kap. 1 § bevaras minst tio år efter senaste anteckning. Myndighetsregister kan vara arkivpliktiga enligt arkivlagen (1990:782). Vid sådana situationer bör begäran fokusera på de uppgifter som inte omfattas av undantagen, exempelvis marknadsföringsprofilering eller övrig icke-lagstadgad data, samt sätta klar tidsplan för radering efter att bevarandeperioden löpt ut.

Misstag 8 - Saknat uppföljning vid uteblivet svar. Att inte följa upp inom en månad enligt artikel 12.3 GDPR förlänger ärendet. Vid uteblivet svar bör en skriftlig påminnelse med ny tidsfrist (vanligen en till två veckor) skickas. Om personuppgiftsansvarig fortfarande inte svarar eller ger otillräckligt svar bör klagomål inges till Integritetsskyddsmyndigheten (IMY) enligt artikel 77 GDPR samt 7 kap. 2 § dataskyddslagen. IMY har sitt kontor på Drottninggatan 29, 111 51 Stockholm, kontakt [email protected] eller telefon 08-657 61 00. Vid eskalering bör samtliga dokument bifogas: ursprunglig begäran, bevis på leverans, eventuell korrespondens samt påminnelse.