Måste jag enligt GDPR radera alla kunduppgifter bara för att en f.d. kund begär det?

Nej, det är bara i vissa fall som ditt företag är skyldig att radera uppgifter på begäran av en registrerad t.ex. kund eller f.d. anställd. De registrerades rätt till radering kallas även rätten att bli bortglömd.

Ditt företag måste radera uppgifterna i följande fall. Om ditt företag:

inte längre behöver uppgifterna för de ändamål som de samlades in för,
använder samtycke som grund för behandlingen och den som lämnat samtycke återkallar samtycket,
använder uppgifterna för direktmarknadsföring och den enskilde invänt mot att uppgifterna behandlas för det,
grundar sin behandling av uppgifterna på myndighetsutövning eller efter en intresseavvägning och den enskilde motsätter sig personuppgiftsbehandlingen och det inte finns berättigade skäl som väger tyngre än den enskildes intresse,
behandlar personuppgifterna på ett olagligt sätt,
måste radera uppgifterna för att uppfylla en rättslig skyldighet eller
samlat in personuppgifterna i samband med att ett barn skapat en profil i ett socialt nätverk med stöd av barnets samtycke (barn kan enligt svensk lagstiftning lämna sitt samtycke i dessa fall från de fyllt 13 år).

När ditt företag raderar uppgifter på kundens begäran ska företaget också informera dem som ni har lämnat ut uppgifterna till om raderingen. Detta gäller dock inte om det skulle visa sig omöjligt eller innebär en alltför betungande insats. Den enskilde har också rätt att få information om till vem uppgifterna har lämnats ut.

Undantag från rätten att bli bortglömd

När det finns en rätt till radering m.m. enligt ovan finns det undantag för om det är nödvändigt för att tillgodose andra viktiga rättigheter som till exempel rätten till yttrande- och informationsfrihet, för att uppfylla en rättslig förpliktelse eller fastställa, göra gällande och försvara rättsliga anspråk. Detta gör att ditt företag kan t.ex. ha kvar personuppgifterna i bokföringen enligt bokföringslagens regler även om företaget måste radera uppgifterna i andra system där de använts t.ex. för direktmarknadsföring.

Även om du inte är skyldig att radera enligt ovan kan du välja att radera ändå. I vissa fall har du en rättslig skyldighet att spara vissa uppgifter t.ex. enligt lagregler om journalföring.

Om ditt företag har en skyldighet att radera personuppgifterna ska de raderas utan onödigt dröjsmål. Den registrerade, i detta fall kunden, kan begära att få information om vilka åtgärder ditt företag vidtagit utan onödigt dröjsmål eller senast inom en månad. Är begäran komplicerad eller det kommit in många ansökningar kan tidsfristen för information förlängas med en månad, men då ska ditt företag informera om att svaret dröjer. Informationen ska lämnas i elektronisk form, t.ex. e-post, om kunden (den registrerade) begär det.

Om ditt företag väljer att inte radera uppgifterna ska ni senast en månad efter att ni har mottagit begäran informera om orsaken till varför ni inte raderat dem, och om möjligheten att lämna in ett klagomål till Datainspektionen och begära rättslig prövning. Det kan därför vara lämpligt att ha som rutin att alltid meddela den som begärt radering om ni har raderat uppgifterna eller inte, och om inte motivera varför.

Observera att: Ovanstående är ett enkelt svar på frågan. Det kan finnas undantag m.m. som inte tagits upp och rättsläget, trots att vår intention är att informationen ska vara uppdaterad och korrekt, kan ha förändrats.

Juridiska råd hjälper till bättre affärer

En dag inser du att någon försökt lura dig eller att du borde granskat avtalet noggrannare. Då är det ovärderligt att kunna ringa Företagarnas juridiska rådgivning. Vi får ca 120 samtal dagligen och hjälper medlemmar hitta rätt lösning! Du som medlem i Företagarna kan ringa hur ofta du vill på 0771-45 45 45

Bli medlem