Rätt till radering
Rätt till radering (”rätten att bli bortglömd”) – artikel 17
Detta är en nyhet i dataskyddsförordningen, men rätten att bli bortglömd har faktiskt funnits inom EU-rätten sedan en dom från EU-domstolen år 2014 (mål nr C-131/12). I detta mål, som involverade Google, uttalade domstolen att en sökmotor är skyldig att på begäran av en registrerad i vissa situationer ta bort sådan information om den registrerade som inte är adekvat, inte längre är relevant eller som är överflödig. I dataskyddsförordningen har nu rätten till radering i artikel 17 tagits med och blivit mer detaljerad och definierad. Den registrerade kan vända sig till den personuppgiftsansvarige och be att få sina uppgifter raderade utan onödigt dröjsmål i följande fall:
a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller behandlats på annat sätt.
b) Behandlingen grundar sig på samtycke, och den registrerade återkallar sitt samtycke.
c) Den registrerade invänder mot behandling som grundar sig på den personuppgiftsansvariges berättigade intressen och den personuppgiftsansvarige inte kan visa berättigade skäl för behandlingen som väger tyngre. Om den registrerade invänder mot behandling av hans eller hennes personuppgifter för direkt marknadsföring måste dock personuppgifterna alltid raderas av den personuppgiftsansvarige. (Se mer under rubriken ”rätt att göra invändningar”)
d) Personuppgifterna har behandlats på olagligt sätt.
e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt.
f) Personuppgifterna har samlats in för att erbjuda informationssamhällets tjänster till barn, till exempel då ett barn har skapat en profil i ett socialt nätverk.
Om den personuppgiftsansvarige har lämnat ut personuppgifter till andra, och dessa personuppgifter sedan raderas på den registrerades begäran, måste den personuppgiftsansvarige informera mottagarna av personuppgifterna om raderingen, enligt artikel 19. Detta gäller dock inte om det skulle visa sig omöjligt eller medföra en oproportionerlig ansträngning.
Om den personuppgiftsansvarige har publicerat personuppgifterna eller på annat sätt gjort dem offentliga, t.ex. i ett socialt nätverk, ett internetforum eller på en webbsida, är det inte alltid tillräckligt att de raderas där. I sådana situationer ska den personuppgiftsansvarige även vidta rimliga åtgärder för att informera andra som behandlar personuppgifterna om den registrerades begäran om radering, så att även länkar till eller kopior av personuppgifterna tas bort.
Det finns undantag från rätten till radering och skyldigheten att informera andra i vissa situationer, som finns listade i punkt 3 i artikel 17. Undantag gäller till exempel om behandlingen är nödvändig för att utöva rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse, utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning eller för att fastställa, göra gällande eller försvara rättsliga anspråk.