En person har rätt att få sina personuppgifter raderade från ett företag som behandlar personuppgifterna. Med andra ord innebär detta rätten att bli glömd och därför får inte företaget skicka exempelvis nyhetsbrev till personen efter sådan begäran om radering. Ett företag behöver radera personuppgifter regelbundet enligt GDPR, vilket också kallas för gallring av personuppgifter. Exempelvis att radera mejl, kontakter i arbetstelefonen och kunduppgifter från ekonomisystem. Dessutom har en person rätt att få ut information om vilka personuppgifter som företag behandlar om denne. Det är den personuppgiftsansvarige som har ansvaret att ge den informationen och radera personuppgifter.
Rätt att få sina personuppgifter raderade enligt GDPR
Det finns flera tillfällen där personuppgifter ska bli raderade. Bland annat:
- När personuppgifterna inte längre är nödvändiga för det syfte de blev inhämtade för.
- När en person återkallar ett samtycke.
- Om behandlingen av personuppgifter är olaglig.
Företag ska även radera personuppgifter på begäran och informera individen om de vidtagna åtgärderna. Detta ska ske inom en skälig tid, dock senast inom en (1) månader, såvida inte förlängning av tidsfristen är möjlig enligt GPDR. Dessutom finns det tillfällen där personuppgifterna inte blir raderade bara för att man tar bort dem från ett register. Det kan vara så att personuppgifterna har blivit registrerade på flera ställen, exempelvis om det har blivit publicerat offentligt eller om det finns lagrat i backup system. Däremot finns det undantag då ett företag inte behöver radera personuppgifter på en begäran. Till exempel om en annan lag tillåter behandling eller om det utgör ett krav i annan lag. Exempelvis får ett företag lagra personuppgifter som förkommer i fakturor under så lång tid som bokföringslagen kräver det, eftersom det utgör bokföringsunderlag.
Samtycke vid behandling av personuppgifter
Det är vanligt att använda samtycke som en rättslig grund vid vissa fall. Däremot finns det många tillfällen där det inte är en lämplig grund. När det råder ett ojämlikt förhållande mellan två parter är det inte tillåtet. Exempelvis mellan en arbetsgivare som behandlar personuppgifter tillhörande en anställd. Ett samtycke måste vara frivilligt samt aktivt lämnat, och det behövs för att behandla känsliga personuppgifter. Avtal är en annan rättslig grund som är vanlig av totalt sex (6).