Personuppgifter radering - Din guide till GDPR rättigheter 2026

Publicerad:

Vad är rätten till radering av personuppgifter?

Enligt GDPR (General Data Protection Regulation) har du som privatperson rätt att begära att dina personuppgifter raderas från företag och organisationer. Denna rätt kallas ofta för "rätten att bli bortglömd" och är en av de mest kraftfulla rättigheterna i den europeiska dataskyddsförordningen.

Rätten till radering innebär att personuppgiftsansvariga måste ta bort dina uppgifter permanent från sina system när vissa villkor är uppfyllda. Detta gäller inte bara synliga data utan även säkerhetskopior och arkiverade filer.

För att kunna begära radering måste du kunna visa att minst en av de lagstadgade grunderna för radering är uppfylld. Det räcker inte med att du helt enkelt inte vill att företaget ska ha dina uppgifter längre.

När har du rätt att begära radering?

GDPR anger sex specifika situationer när du har rätt att få dina personuppgifter raderade. Dessa grunder för radering är avgörande för att din begäran ska behandlas positivt av det personuppgiftsansvariga företaget.

Personuppgifterna är inte längre nödvändiga

Om företaget inte längre behöver dina personuppgifter för det ursprungliga ändamålet har du rätt till radering. Detta är särskilt vanligt vid avslutade kundrelationer eller när tjänster inte längre används.

Exempelvis kan en onlinebutik inte behålla dina personuppgifter i all evighet efter att du gjort ett köp. När garantitiden löpt ut och det inte finns några andra rättsliga skäl att behålla uppgifterna, kan du begära radering.

Du återkallar ditt samtycke

När behandlingen av dina personuppgifter baseras på samtycke och du återkallar detta samtycke, har du rätt till radering. Detta förutsätter att det inte finns någon annan rättslig grund för behandlingen.

Många marknadsföringstjänster baserar sin behandling på samtycke. Om du avregistrerar dig från ett nyhetsbrev och återkallar ditt samtycke för marknadsföring, bör företaget radera dina uppgifter om det inte finns andra skäl att behålla dem.

Personuppgifterna har behandlats på ett olagligt sätt

Om du kan visa att dina personuppgifter har behandlats i strid med GDPR eller annan tillämplig lag, har du rätt till omedelbar radering. Detta kan gälla situationer där företaget saknar rättslig grund för behandlingen eller har överskridit sina befogenheter.

Hur går du tillväga för att begära radering?

Processen för att begära radering av personuppgifter följer vissa formella steg enligt GDPR. Det är viktigt att göra detta på rätt sätt för att säkerställa att din begäran behandlas korrekt och inom lagstadgad tid.

Identifiera rätt mottagare

Du måste rikta din begäran till den personuppgiftsansvarige, vilket oftast är företaget eller organisationen som samlar in och bestämmer över dina personuppgifter. Många företag har särskilda kontaktuppgifter för GDPR-ärenden eller dataskyddsombud.

Kolla företagets integritetspolicy eller webbplats för att hitta rätt kontaktinformation. Om du inte hittar specifika GDPR-kontaktuppgifter kan du vända dig till kundservice, men var tydlig med att det rör sig om en formell GDPR-begäran.

Formulera din begäran tydligt

Din begäran bör vara skriftlig och innehålla följande information: ditt fullständiga namn, kontaktuppgifter, en tydlig beskrivning av vilka personuppgifter som ska raderas, och vilken grund för radering du åberopar enligt GDPR.

Du behöver också kunna bevisa din identitet, så företaget vet att begäran kommer från rätt person. Detta kan göras genom att bifoga kopia på giltig ID-handling eller genom andra identifieringsmetoder som företaget accepterar.

Följa upp din begäran

Företaget har en månad på sig att svara på din begäran, men kan förlänga denna tid med ytterligare två månader om begäran är komplex. Om du inte får svar inom stipulerad tid eller om företaget avslår din begäran utan giltiga skäl, kan du anmäla ärendet till Integritetsskyddsmyndigheten.

Undantag när radering kan nekas

Även om du har rätt till radering finns det viktiga undantag när företag kan, och ibland måste, behålla dina personuppgifter. Dessa undantag är noga reglerade i GDPR och tjänar viktiga samhällsintressen och rättsskyddsintressen.

Yttrandefrihet och informationsfrihet

Medieföretag och journalistiska verksamheter kan ofta åberopa yttrandefrihet som grund för att inte radera personuppgifter. Detta gäller särskilt när uppgifterna ingår i publicerat redaktionellt material som har allmänintresse.

Detta undantag är dock inte ovillkorligt och måste vägas mot dina personliga integritetsrättigheter. I praktiken innebär detta att gamla nyhetsartiklar oftast inte kan raderas, men personuppgifter i kommentarsfält eller mindre väsentliga sammanhang kan vara möjliga att få bort.

Rättsliga förpliktelser och rättigheter

Företag som är skyldiga enligt lag att bevara vissa uppgifter kan inte radera dem även om du begär det. Detta gäller exempelvis bokföringsuppgifter som måste sparas enligt bokföringslagen eller uppgifter som behövs för att fastställa, göra gällande eller försvara rättsliga anspråk.

Banker måste till exempel spara transaktionsdata under vissa perioder för att uppfylla krav från finansinspektionen och för att kunna hantera eventuella tvister eller reklamationer.

Viktiga allmänintressen

Behandling som sker av skäl som rör viktiga allmänintressen, som folkhälsa eller arkivändamål i allmänintresse, kan undantas från radering. Detta kan gälla medicinska register eller forskningsdata som är anonymiserad på ett sätt som inte påverkar din personliga integritet.

Praktiska exempel på raderingsärenden

Exempel 1: Radering av kunddata efter avslutad relation

Maria hade ett konto hos en onlinebutik som hon inte använt på tre år. Hon bestämde sig för att begära radering av sina personuppgifter eftersom hon inte längre var aktiv kund. Maria kontaktade företagets dataskyddsombud via e-post och begärde radering med hänvisning till att personuppgifterna inte längre var nödvändiga för det ursprungliga ändamålet.

Företaget svarade inom tre veckor och bekräftade att de skulle radera hennes personuppgifter från alla system, inklusive säkerhetskopior. De förklarade dock att de behövde behålla vissa transaktionsdata i ytterligare två år för att uppfylla bokföringsregler, men att dessa uppgifter skulle förvaras separat och inte användas för marknadsföring eller annan behandling.

Exempel 2: Raderingsärende gällande sociala medier

Johan upptäckte att ett gammalt foto av honom användes i marknadsföringssyfte av ett företag på sociala medier utan hans tillstånd. Han hade aldrig gett samtycke till denna användning och ansåg att behandlingen var olaglig. Johan skickade en formell raderingsbegäran till företaget och hotade med anmälan till Integritetsskyddsmyndigheten om de inte agerade.

Företaget insåg att de saknade rättslig grund för att använda Johans bild och raderade omedelbart alla instanser av fotot från sina marknadsföringskanaler. De bekräftade också att bilden raderats från deras arkiv och att de hade implementerat bättre rutiner för att säkerställa samtycke innan bilder används i marknadsföring framöver.

Vad händer efter raderingen?

När ett företag har genomfört radering av dina personuppgifter ska de kunna visa att raderingen har skett på ett komplett och säkert sätt. Detta innebär att uppgifterna ska tas bort från alla system, inklusive säkerhetskopior och arkiverade filer.

Företaget bör ge dig en bekräftelse på att raderingen har genomförts och förklara vilka åtgärder som vidtagits. Om dina personuppgifter har delats med tredje parter ska företaget också informera dessa om raderingen, såvida detta inte är omöjligt eller medför oproportionerliga ansträngningar.

Det är viktigt att förstå att radering inte alltid kan ske omedelbart från teknisk synpunkt. Säkerhetskopior kan behöva uppdateras enligt företagets normala rutiner, men detta får inte används som ursäkt för att fördröja raderingen i onödan.

Klagomål och rättsmedel

Om ett företag avslår din begäran om radering utan giltiga skäl eller inte svarar inom den lagstadgade tiden, har du rätt att klaga till Integritetsskyddsmyndigheten (IMY). Detta är den svenska tillsynsmyndigheten för dataskydd och de kan utreda ditt ärende kostnadsfritt.

Du kan också ha rätt till skadestånd om företagets hantering av dina personuppgifter har orsakat dig skada eller kränkning. För mer komplicerade fall kan det vara värt att söka juridisk rådgivning online eller kontakta en advokat som specialiserar sig på dataskyddsrätt.

Integritetsskyddsmyndigheten kan utfärda administrativa sanktionsavgifter mot företag som inte följer GDPR. Dessa böter kan vara betydande och tjänar som en viktig avskräckande effekt för företag som inte tar dataskydd på allvar.

Tips för framgångsrik radering

För att öka chanserna att din raderingsbegäran behandlas positivt är det viktigt att vara välförberedd och professionell i din kommunikation. Dokumentera all kontakt med företaget och spara kopior på all korrespondens för framtida referens.

Var specifik i din begäran och förklara tydligt vilken rättslig grund du åberopar för raderingen. Om du har kopia på det ursprungliga samtycket eller andra relevanta dokument, bifoga dessa som stöd för din begäran.

Ha tålamod men var också bestämd. Företag har rätt att ta den tid de behöver för att utreda din begäran, men de måste också följa de tidsgränser som anges i GDPR. Om du känner att processen drar ut på tiden utan giltiga skäl, tveka inte att påminna företaget om deras lagstadgade skyldigheter.

Viktiga slutsatser

  • Du har lagstadgad rätt att få dina personuppgifter raderade när de inte längre behövs, när du återkallar samtycke eller när behandlingen är olaglig enligt GDPR.
  • Företag har en månad på sig att svara på din raderingsbegäran och måste radera uppgifterna från alla system inklusive säkerhetskopior om begäran godkänns.
  • Det finns viktiga undantag för radering, särskilt gällande yttrandefrihet, rättsliga förpliktelser och allmänintressen som måste vägas mot din integritet.
  • Om din begäran avslås utan giltiga skäl kan du anmäla ärendet till Integritetsskyddsmyndigheten och eventuellt kräva skadestånd.
  • Att vara specifik, professionell och välförberedd ökar dina chanser att få en positiv respons på din raderingsbegäran från företag och organisationer.

Praktiska exempel

1

Radering av kunddata efter avslutad relation

Maria hade ett konto hos en onlinebutik som hon inte använt på tre år. Hon begärde radering av sina personuppgifter eftersom de inte längre var nödvändiga för det ursprungliga ändamålet. Företaget bekräftade raderingen inom tre veckor men förklarade att vissa transaktionsdata behövde bevaras enligt bokföringsregler.

2

Raderingsärende gällande sociala medier

Johan upptäckte att ett gammalt foto av honom användes i marknadsföringssyfte utan hans tillstånd. Han skickade en formell raderingsbegäran med hänvisning till olaglig behandling. Företaget raderade omedelbart fotot och implementerade bättre rutiner för framtida samtyckeshantering.

Viktiga slutsatser

Maria Svensson

Juridisk skribent och redaktör

Juristexamen från Stockholms universitet, tidigare associerad advokat

Maria Svensson är en erfaren juridisk skribent med över 12 års erfarenhet av att förenkla komplexa rättsliga frågor för allmänheten. Efter sin juristexamen från Stockholms universitet och några år på en advokatbyrå, upptäckte hon sin passion för att göra juridik tillgänglig för vanliga människor. Maria har specialiserat sig på familjerätt, konsumenträtt och vardagsjuridik. Hon har skrivit för flera juridiska publikationer och hjälpt tusentals svenskar att förstå sina rättigheter. När hon inte skriver om juridik tillbringar Maria tid med sin familj och ägnar sig åt trädgårdsskötsel.