Hur raderar du personuppgifter på rätt sätt?

Att radera personuppgifter  kan låta enkelt: Tryck på delete och allt är borta. Men enligt GDPR är verkligheten mer komplex. En felaktig radering kan innebära att uppgifter ändå finns kvar i system, säkerhetskopior eller hos leverantörer - och då uppfyller organisationen inte kraven på dataskydd.

I det här inlägget får du en fördjupad genomgång av vad GDPR kräver, varför korrekt radering är så viktigt, vanliga fallgropar och praktiska tips på hur du kan säkerställa att radering sker korrekt och spårbart.

Varför är korrekt radering så viktigt?

Enligt artikel 5 i GDPR gäller principen om lagringsminimering: personuppgifter får inte sparas längre än vad som är nödvändigt för ändamålet. När ändamålet upphört ska uppgifterna raderas eller anonymiseras.

Att bortse från detta är inte bara en juridisk risk. Personuppgifter som ligger kvar utan syfte kan bli en belastning för hela organisationen; de kan läcka, missbrukas eller oavsiktligt användas på ett sätt som aldrig var avsett.

Om radering inte sker på rätt sätt riskerar organisationen att:

• Bryta mot GDPR:s grundläggande principer.
  
  
• Utsättas för sanktionsavgifter vid en granskning.
  
  
• Förlora förtroende från registrerade, kunder eller medarbetare.
  
  
• Hamna i onödigt merarbete när gamla uppgifter plötsligt måste hanteras akut

Det handlar alltså inte bara om att följa lagen, utan också om att visa ansvar, skapa trygghet och bygga långsiktig tillit.

Vad innebär radering enligt GDPR?

Att ”radera” betyder inte alltid att data försvinner automatiskt från alla system. I själva verket ligger personuppgifter ofta kvar i databaser, loggar och säkerhetskopior. GDPR förutsätter därför att organisationer har rutiner och tekniska lösningar som gör att uppgifterna inte längre är åtkomliga eller identifierbara.

Radering kan därför innebära flera nivåer av åtgärder:

• Permanent borttagning ur databaser, register och filer.
  
  
• Rensning av loggar och kopior där personuppgifter kan ligga kvar i bakgrunden.
  
  
• Hantering av säkerhetskopior, alternativt rutiner för att säkerställa att uppgifterna inte återskapas.
  
  
• Anonymisering, när uppgifterna kan behövas för statistik eller analys men inte längre ska kopplas till individer.

Det avgörande är att uppgifterna inte längre går att koppla till en identifierbar person – oavsett teknisk metod. Här gör många organisationer misstaget att tro att ”tillgången är avstängd” är detsamma som raderat. Det är det inte.

När är du skyldig att radera personuppgifter?

Radering ska ske när:

• Ändamålet med behandlingen inte längre är aktuellt.
  
  
• Samtycke har återkallats och det inte finns annan rättslig grund.
  
  
• Uppgifterna behandlas på ett olagligt sätt.
  
  
• Registrerade utövar sin rätt till radering enligt artikel 17 (”rätten att bli bortglömd”).
  
  

Det finns dock undantag – till exempel när laglig grund finns för fortsatt lagring, som bokföringslagen eller krav från arbetsrätten. Här är det viktigt att dokumentera varför radering inte sker direkt, och hur länge uppgifterna i så fall lagras. I dessa fall är den nya rättsliga grunden starkare än rätten till radering.

En vanlig fälla är att organisationer sparar uppgifter ”för säkerhets skull”. Men GDPR kräver att ni kan motivera lagringen med ett tydligt ändamål och rättslig grund – annars är det lagbrott.

Skillnaden mellan radering och anonymisering

Det är viktigt att skilja på begreppen:

• Radering = uppgifterna tas bort helt och kan inte återskapas.
  
  
• Anonymisering = uppgifterna finns kvar, men alla identifierande element är permanent borttagna. Ingen kan längre koppla informationen till en enskild person.

Observera att pseudonymisering inte är samma sak som anonymisering. Pseudonymiserade data kan fortfarande härledas till en individ och omfattas därför av GDPR. Däremot är pseudonymisering en viktig teknisk säkerhetsåtgärd som minskar risken för enskilda individer, eftersom det blir svårare att koppla informationen till en person.

Skillnaden är avgörande i praktiken. En anonymiserad dataset kan användas för analys, statistik eller rapportering utan att GDPR gäller – men bara om anonymiseringen är verkligt oåterkallelig. Brister här är ett av de vanligaste misstagen organisationer gör.

Praktiska steg för korrekt radering

För att säkerställa att radering sker på rätt sätt bör organisationen arbeta systematiskt:

1. Kartlägg lagringsplatser – identifiera alla system, databaser, mappar och leverantörer där uppgifterna kan finnas. Ofta är detta mer omfattande än man först tror.
   
   
2. Fastställ raderingsrutiner – dokumentera hur radering ska ske i respektive system. Rutinerna bör vara en del av organisationens interna dataskyddspolicy.
   
   
3. Hantera säkerhetskopior – definiera hur radering i backuper ska ske, eller skapa rutiner som gör uppgifterna otillgängliga tills backuperna skrivs över.
   
   
4. Dokumentera åtgärder – logga varje radering för att kunna visa ansvarsskyldighet vid granskning. Utan dokumentation är det svårt att bevisa att ni följt lagen.
   
   
5. Utbilda medarbetare – säkerställ att alla vet när och hur radering ska utföras. Ett misstag på individnivå kan äventyra hela processen.

Med dessa steg blir radering en kontrollerad process snarare än en ad hoc-åtgärd.

Vanliga fallgropar vid radering

• Att tro att ”delete” räcker – i själva verket ligger uppgifterna kvar i system eller loggar.
  
  
• Att glömma underleverantörer – personuppgifter finns ofta hos externa biträden.
  
  
• Att inte inkludera säkerhetskopior i rutinerna.
  
  
• Att sakna dokumentation – vilket gör det omöjligt att visa att radering faktiskt skett.
  
  
• Att blanda ihop pseudonymisering med anonymisering.

Dessa fallgropar visar att radering kräver både tekniskt kunnande och tydliga processer – det räcker inte att bara trycka på en knapp. Ett systematiskt arbete minskar risken för misstag och ger organisationen en trygghet inför både tillsyn och interna revisioner.

Exempel från verkligheten (hypotetiskt scenario)

En kommun skulle kunna hamna i en situation där IMY riktar kritik för att inte ha raderat personuppgifter i ett gammalt ärendehanteringssystem. Trots att uppgifterna inte längre används kan de ligga kvar i databasen och vara åtkomliga för flera användare.

Med en tydlig raderingsrutin och dokumentation hade kommunen kunnat visa att de uppfyllde kraven – och undvikit tillsynsåtgärder.

Exemplet visar att det inte alltid är viljan som brister, utan rutinerna. När ingen äger ansvaret och processerna saknas blir risken stor att data lever kvar i system som glömts bort.

Radering och registerförteckning: Hur hänger de ihop?

En ofta bortglömd del av raderingsarbetet är kopplingen till registerförteckningen enligt artikel 30 i GDPR. Där ska organisationen dokumentera vilka behandlingar som sker, ändamål, rättslig grund och lagringstid.

Genom att hålla registerförteckningen uppdaterad får ni en naturlig överblick över när uppgifter ska raderas. Om ändamålet har upphört eller lagringstiden löpt ut framgår det direkt i förteckningen – vilket gör det enklare att agera i tid.

På så sätt blir registerförteckningen inte bara ett lagkrav, utan också ett praktiskt verktyg för att undvika att uppgifter ligger kvar längre än nödvändigt. Den kan dessutom användas som en kontrollpunkt vid interna revisioner eller inför tillsyn från IMY.

Strategiskt perspektiv – radering som en del av livscykeln

Radering ska inte ses som en isolerad åtgärd, utan som en naturlig del av hela dataskyddsarbetet.

• Vid upphandling: ställ krav på raderingsfunktioner i systemen.
  
  
• Vid registerförteckning: ange lagringstider och ansvar för radering.
  
  
• Vid DPIA: analysera risker kopplade till lagring och bristande radering.
  
  
• Vid incidenthantering: säkerställ att radering alltid ingår i åtgärdsplaner.

Organisationer som integrerar radering i livscykeln får bättre kontroll, sparar tid och stärker sitt förtroende både internt och externt. Radering blir då inte en administrativ börda – utan en naturlig del av ett sunt informationsflöde.

Säkra ert dataskydd: Med struktur, verktyg och experthjälp

Många organisationer kämpar med att radering känns övermäktigt. Data finns spridd i olika system, ansvar är otydligt och rutiner saknas.

Med Privacy as a Service får ni:

• Hjälp att kartlägga var personuppgifter finns.
  
  
• Stöd att sätta upp fungerande raderingsrutiner.
  
  
• Verktyg som förenklar spårbarhet och dokumentation.
  
  
• Tillgång till jurister och certifierade dataskyddsombud som säkerställer att ni gör rätt. 

Boka en demo redan idag och se hur ni kan radera personuppgifter på rätt sätt – tryggt, spårbart och i linje med GDPR.