Mer
Navigering
KAPITEL I Allmänna bestämmelser (1-4)
Artikel 1. SyfteArtikel 2. Materiellt tillämpningsområdeArtikel 3. Territoriellt tillämpningsområdeArtikel 4. Definitioner
KAPITEL II Principer (5-11)
Artikel 5. Principer för behandling av personuppgifterArtikel 6. Laglig behandling av personuppgifterArtikel 7. Villkor för samtyckeArtikel 8. Villkor som gäller barns samtycke avseende informationssamhällets tjänsterArtikel 9. Behandling av särskilda kategorier av personuppgifterArtikel 10. Behandling av personuppgifter som rör fällande domar i brottmål samt överträdelserArtikel 11. Behandling som inte kräver identifiering
KAPITEL III Den registrerades rättigheter (12-23)
Artikel 12. Klar och tydlig information och kommunikation samt klara och tydliga villkor för utövandet av den registrerades rättigheterArtikel 13. Information som ska tillhandahållas om personuppgifterna samlas in från den registreradeArtikel 14. Information som ska tillhandahållas om personuppgifterna inte har erhållits från den registreradeArtikel 15. Den registrerades rätt till tillgångArtikel 16. Rätt till rättelse
Artikel 17. Rätt till radering (”rätten att bli bortglömd”)
Artikel 18. Rätt till begränsning av behandlingArtikel 19. Anmälningsskyldighet avseende rättelse eller radering av personuppgifter och begränsning av behandlingArtikel 20. Rätt till dataportabilitetArtikel 21. Rätt att göra invändningarArtikel 22. Automatiserat individuellt beslutsfattande, inbegripet profileringArtikel 23. Begränsningar
KAPITEL IV Personuppgiftsansvarig och personuppgiftsbiträde (24-43)
Artikel 24. SyfteArtikel 25. Inbyggt dataskydd och dataskydd som standardArtikel 26. Gemensamt personuppgiftsansvarigaArtikel 27. Företrädare för personuppgiftsansvariga eller personuppgiftsbiträden som inte är etablerade i unionenArtikel 28. PersonuppgiftsbiträdenArtikel 29. Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseendeArtikel 30. Register över behandlingArtikel 31. Samarbete med tillsynsmyndighetenArtikel 32. Säkerhet i samband med behandlingenArtikel 33. Anmälan av en personuppgiftsincident till tillsynsmyndighetenArtikel 34. Information till den registrerade om en personuppgiftsincidentArtikel 35. Konsekvensbedömning avseende dataskyddArtikel 36. FörhandssamrådArtikel 37. Utnämning av dataskyddsombudetArtikel 38. Dataskyddsombudets ställningArtikel 39. Dataskyddsombudets uppgifterArtikel 40. UppförandekoderArtikel 41. Övervakning av godkända uppförandekoderArtikel 42. CertifieringArtikel 43. Certifieringsorgan
KAPITEL V Överföring av personuppgifter till tredjeländer eller internationella organisationer (44-50)
Artikel 44. Allmän princip för överföring av uppgifterArtikel 45. Överföring på grundval av ett beslut om adekvat skyddsnivåArtikel 46. Överföring som omfattas av lämpliga skyddsåtgärderArtikel 47. Bindande företagsbestämmelserArtikel 48. Överföringar och utlämnanden som inte är tillåtna enligt unionsrättenArtikel 49. Undantag i särskilda situationerArtikel 50. Internationellt samarbete för skydd av personuppgifter
KAPITEL VI Oberoende tillsynsmyndigheter (51-59)
Artikel 51. TillsynsmyndighetArtikel 52. OberoendeArtikel 53. Allmänna villkor för tillsynsmyndighetens ledamöterArtikel 54. Regler för inrättandet av en tillsynsmyndighetArtikel 55. BehörighetArtikel 56. Den ansvariga tillsynsmyndighetens behörighetArtikel 57. UppgifterArtikel 58. BefogenheterArtikel 59. Verksamhetsrapporter
KAPITEL VII Samarbete och enhetlighet (60-70)
Artikel 60. Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheternaArtikel 61. Ömsesidigt biståndArtikel 62. Tillsynsmyndigheters gemensamma insatserArtikel 63. Mekanism för enhetlighetArtikel 64. Yttrande från StyrelsenArtikel 65. Tvistlösning genom styrelsenArtikel 66. Skyndsamt förfarandeArtikel 67. Utbyte av informationArtikel 68. Europeiska dataskyddsstyrelsenArtikel 69. OberoendeArtikel 70. Styrelsens uppgifterArtikel 71. RapporterArtikel 72. FörfarandeArtikel 73. OrdförandeArtikel 74. Ordförandens uppgifterArtikel 75. SekretariatetArtikel 76. Konfidentialitet
KAPITEL VIII Rättsmedel, ansvar och sanktioner (77-84)
Artikel 77. Rätt att lämna in klagomål till en tillsynsmyndighetArtikel 78. Rätt till ett effektivt rättsmedel mot tillsynsmyndighetens beslutArtikel 79. Rätt till ett effektivt rättsmedel mot en personuppgiftsansvarig eller ett personuppgiftsbiträdeArtikel 80. Företrädande av registreradeArtikel 81. Vilandeförklaring av förfarandenArtikel 82. Ansvar och rätt till ersättningArtikel 83. Allmänna villkor för påförande av administrativa sanktionsavgifterArtikel 84. Sanktioner
KAPITEL IX Bestämmelser om särskilda behandlingssituationer (85-91)
Artikel 85. Behandling och yttrande- och informationsfrihetenArtikel 86. Behandling och allmänhetens tillgång till allmänna handlingarArtikel 87. Behandling av nationella identifikationsnummerArtikel 88. Behandling i anställningsförhållandenArtikel 89. Skyddsåtgärder och undantag för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamålArtikel 90. TystnadspliktArtikel 91. Befintliga bestämmelser om dataskydd inom kyrkor och religiösa samfund
KAPITEL X Delegerade akter och genomförandeakter (92-93)
Artikel 92. Utövande av delegeringenArtikel 93. Kommittéförfarande
KAPITEL XI Slutbestämmelser (94-95)
Artikel 94. Upphävande av direktiv 95/46/EGArtikel 95. Förhållande till direktiv 2002/58/EGArtikel 96. Förhållande till tidigare ingångna avtalArtikel 97. KommissionsrapporterArtikel 98. Översyn av andra unionsrättsakter om dataskyddArtikel 99. Ikraftträdande och tillämpning
GDPR > Artikel 17. Rätt till radering (”rätten att bli bortglömd”)
Hämta PDF

Artikel 17 GDPR. Rätt till radering (”rätten att bli bortglömd”)

1. Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

Expertkommentarer
Expertkommentarer
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant
(EN) Ask a question

a) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats.

b) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig enligt artikel 6.1 a eller artikel 9.2 a och det finns inte någon annan rättslig grund för behandlingen.

Relaterade texter
Relaterade texter

c) Den registrerade invänder mot behandlingen i enlighet med artikel 21.1 och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen i enlighet med artikel 21.2.

Relaterade texter
Relaterade texter

d) Personuppgifterna har behandlats på olagligt sätt.

e) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av.

f) Personuppgifterna har samlats in i samband med erbjudande av informationssamhällets tjänster, i de fall som avses i artikel 8.1.

Relaterade texter
Relaterade texter

2. Om den personuppgiftsansvarige har offentliggjort personuppgifterna och enligt punkt 1 är skyldig att radera personuppgifterna, ska den personuppgiftsansvarige med beaktande av tillgänglig teknik och kostnaden för genomförandet vidta rimliga åtgärder, inbegripet tekniska åtgärder, för att underrätta personuppgiftsansvariga som behandlar personuppgifterna om att den registrerade har begärt att de ska radera eventuella länkar till, eller kopior eller reproduktioner av dessa personuppgifter.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 17(2) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract.


för att komma åt hela textenу

3. Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17(3) GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


för att komma åt hela textenу

a) För att utöva rätten till yttrande- och informationsfrihet.

b) För att uppfylla en rättslig förpliktelse som kräver behandling enligt unionsrätten eller enligt en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av eller för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvarige.

c) För skäl som rör ett viktigt allmänt intresse på folkhälsoområdet enligt artikel 9.2 h och i samt artikel 9.3.

Relaterade texter
Relaterade texter

d) För arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt artikel 89.1, i den utsträckning som den rätt som avses i punkt 1 sannolikt omöjliggör eller avsevärt försvårar uppnåendet av syftet med den behandlingen.

Relaterade texter
Relaterade texter

e) För att kunna fastställa, göra gällande eller försvara rättsliga anspråk.

Allmän dataskyddsförordning (GDPR)

Expertkommentarer ISO 27701 Skälen Riktlinjer & Case Law Lämna en kommentar
Expertkommentarer

(EN) The so-called “right to be forgotten” was hailed as a breakthrough with the adoption of the General Data Protection Regulation, even though it existed in a limited form before. Article 17 provides for a broader “right to erasure”, to take into account the exact wording of the provision. European Union residents have a right to ask for the deletion of their personal data, and the organization that holds the data has a corresponding obligation to erase them “without undue delay” under a certain number of circumstances.


för att komma åt hela textenу

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question

(EN)

Data Subject Request Letter Sample

Concern: Request to erase my personal data

Dear Madam, Dear Sir,

You have data concerning me that I am asking you to delete…


för att komma åt hela textenу

ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraph to article 17 GDPR:

7.3.6 Access, correction and/or erasure

Control

The organization should implement policies, procedures and/or mechanisms to meet their obligations to PII principals to access, correct and/or erase their PII.

Implementation guidance

The organization should implement policies, procedures and/or mechanisms for enabling PII principals to obtain access to, correct and erase of their PII, if requested and without undue delay.


för att komma åt hela textenу

Skälen

(65) Den registrerade bör ha rätt att få sina personuppgifter rättade och en rätt att bli bortglömd, om lagringen av uppgifterna strider mot denna förordning eller unionsrätten eller medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av. En registrerad bör särskilt ha rätt att få sina personuppgifter raderade och kunna begära att dessa personuppgifter inte behandlas, om de inte längre behövs med tanke på de ändamål för vilka de samlats in eller på annat sätt behandlats, om en registrerad har återtagit sitt samtycke till behandling eller invänder mot behandling av personuppgifter som rör honom eller henne, eller om behandlingen av hans eller hennes personuppgifter på annat sätt inte överensstämmer med denna förordning. Denna rättighet är särskilt relevant när den registrerade har gett sitt samtycke som barn, utan att vara fullständigt medveten om riskerna med behandlingen, och senare vill ta bort dessa personuppgifter, särskilt på internet. Den registrerade bör kunna utöva denna rätt även när han eller hon inte längre är barn. Ytterligare lagring av personuppgifterna bör dock vara laglig, om detta krävs för att utöva yttrandefrihet och informationsfrihet, för att uppfylla en rättslig förpliktelse, för att utföra en uppgift i av allmänt intresse eller som ett led i myndighetsutövning som anförtrotts den personuppgiftsansvarige, med anledning av ett allmänt intresse inom folkhälsoområdet, för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål eller för fastställande, utövande eller försvar av rättsliga anspråk.

(66) För att stärka ”rätten att bli bortglömd” i nätmiljön bör rätten till radering utvidgas genom att personuppgiftsansvariga som offentliggjort personuppgifter är förpliktigade att vidta rimliga åtgärder, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar dessa personuppgifter om att den registrerade har begärt radering av alla länkar till och kopior eller reproduktioner av dessa personuppgifter. I samband med detta bör den personuppgiftsansvarige vidta rimliga åtgärder, med beaktande av tillgänglig teknik och de hjälpmedel som står den personuppgiftsansvarige till buds, däribland tekniska åtgärder, för att informera de personuppgiftsansvariga som behandlar personuppgifterna om den registrerades begäran.

Riktlinjer & Case Law Lämna en kommentar
[js-disqus]