• No results found

Hur länge får personuppgifter bevaras? Datainspektionen informerar

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Hur länge får personuppgifter bevaras? Datainspektionen informerar"

Copied!
20
0
0

Loading.... (view fulltext now)

Download now ( 20 Page )

Full text

(1)

Hur länge får

personuppgifter

(2)

Hur länge får personuppgifter bevaras?

Pris 53 kr inklusive moms.

Illustrationer Oscar Alarik.

Reviderad i april 2011. Det kan finnas en senare version av den här broschyren i pdf-format på www.datainspektionen.se.

Tryckt hos Intellecta infolog, maj 2011 på Arctic Volume White.

Miljömärkt trycksak 341 077. IISSN 1100-3308.

Ordlista

Behandling

Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering och bevarande.

Personuppgift

Med personuppgift menar man all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. Krypterade uppgifter är också personuppgifter så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. Även bild- och ljuduppgifter som kan kopplas till fysiska personer är personuppgifter.

Personuppgiftsansvarig

Den som ansvarar för att personuppgifter behandlas på ett lagligt sätt kallas personuppgiftsansvarig. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen – det vill säga syftena – med och medlen för behandlingen av personuppgifter.

Den registrerade

Den registrerade är den som personuppgifterna handlar om.

Personuppgiftsombud

Personuppgiftsombud är en fysisk person som efter förordnande från den person- uppgiftsansvarige självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

FAK TA

(3)

Innehåll

Inledning . . . . 4

Om personuppgiftslagen . . . . 5

Vad står det i lagen? . . . . 6

Strukturerat eller ostrukturerat material? . . . . 7

Hur länge får man bevara personuppgifter? . . . . 8

Hur vet man när man ska ta bort personuppgifter? . . . . 9

Hur tar man bort personuppgifter? . . . .11

Hur ska man se till att personuppgifter inte bevaras för länge? 13 Om du behöver mer information . . . . 18

(4)

Inledning

I den här broschyren får du veta mer om hur länge personuppgifter får bevaras enligt personuppgiftslagen . Här hittar du synpunkter från Data- inspektionen som kan vara till stöd och hjälp för ditt arbete samt mer allmän information om personuppgiftslagen .

De så kallade hanteringsreglerna i personuppgiftslagen (bland annat regeln om bevarande) behöver enbart tillämpas om man behandlar personuppgifter i så kallat strukturerat material . Strukturerat material är till exempel traditionella dataregister, databaser och system för ärende- och dokumenthantering . Se vidare sidan 7 .

Det finns särskilda regler om bevarande av de allmänna handlingar som finns hos myndigheter. Det som sägs i denna broschyr gäller därför inte alltid när personuppgifter behandlas hos myndigheter, även när det handlar om ett strukturerat material .

Den här broschyren, som i första hand riktar sig i till personuppgifts- ansvariga, handlar alltså om hur länge personuppgifter får bevaras enligt personuppgiftslagen i situationer där hanteringsreglerna gäller och där inte särskilda regler tar över .

(5)

Om personuppgiftslagen

Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter .

När gäller lagen?

Personuppgiftslagens bestämmelser gäller när behandlingen av person- uppgifter är helt eller delvis automatiserad . De gäller även för manuell behandling av personuppgifter om de ingår i eller är avsedda att ingå i en strukturerad samling som är tillgänglig för sökning eller samman- ställning enligt särskilda kriterier .

Personuppgiftslagen gäller inte om det skulle strida mot tryck- eller yttrandefriheten. Undantag finns också för journalistiska ändamål eller konstnärligt och litterärt skapande . Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen är det de bestämmelserna som gäller . Om behandlingen av personuppgifter görs uteslutande för privata ändamål gäller inte heller personuppgifts- lagen .

Personuppgiftslagen

Personuppgiftslagen (PuL, 1998:204) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar.

FAK TA

(6)

Vad står det i lagen?

I personuppgiftslagen hittar man vilka grundläggande krav som gäller när man ska behandla personuppgifter . Där anges bland annat att person- uppgifter endast får samlas in för ändamål som är särskilda, uttryckligt angivna och berättigade . Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt med de ändamål som de ursprungligen samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet och ska också se till att uppgifterna är riktiga och relevanta .

Huvudregeln är att behandling av personuppgifter är tillåten endast om den registrerade har lämnat sitt samtycke, det vill säga godkänt behandlingen. Från den regeln finns det omfattande undantag. Exempel på undantag är om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras, för att vitala intressen för den regist- rerade ska kunna skyddas, om behandlingen är nödvändig i samband med myndighetsutövning eller efter en intresseavvägning. Det finns också undantag när det gäller myndigheters register, till exempel inom polisen eller sjukvården .

Om behandlingen avser känsliga uppgifter, personnummer, uppgifter om lagöverträdelser eller överföring av personuppgifter till tredjeland finns ytterligare begränsningar .

Det är viktigt att den personuppgiftsansvarige redan innan en person- uppgiftsbehandling påbörjas gör klart om behandlingen ska grundas på samtycke från de registrerade eller på någon annan bestämmelse .

En viktig del i integritetsskyddet är att den registrerade informeras om att hans eller hennes personuppgifter behandlas . Personuppgiftslagen innehåller utförliga regler om kravet på information till den registrerade . Datainspektionen har också gett ut allmänna råd där man kan läsa mer om dessa regler .

(7)

Strukturerat eller ostrukturerat material?

De nu beskrivna reglerna, de så kallade hanteringsreglerna, gäller för behandling av personuppgifter i strukturerat material, som exempelvis dataregister, databaser och ärende- och dokumenthanteringssystem . För behandling av personuppgifter i ostrukturerat material gäller en förenklad reglering .

Exempel på ostrukturerat material är löpande text i ordbehandlings- program och på Internet, ljud- och bildupptagningar och e-postbrev . Undantaget kan också omfatta enkla strukturer som klasslistor och listor över anställda, om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur, till exempel ett ärendehante- ringssystem .

Anledningen till att hanteringsreglerna inte gäller ostrukturerat material är att man velat underlätta för sådan vardaglig hantering av person- uppgifter som inte medför integritetsrisker . Det innebär att ostruktu- rerad behandling i princip får utföras fritt så länge man inte kränker den som uppgifterna gäller . Kränkande behandling är alltså fortfarande otillåten . Men vad är kränkande? För att svara på den frågan måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till . Den registrerades intresse av en fredad, privat sfär måste vägas mot andra motstående intressen .

På www .datainspektionen .se, under Frågor & svar, kan du läsa mer om hanteringsreglerna och skillnaderna mellan strukturerat och ostruktu- rerat material .

(8)

Hur länge får man bevara personuppgifter?

Ett grundläggande krav i personuppgiftslagen är att personuppgifter inte ska bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen .

Denna bestämmelse hindrar dock inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en myndighet .

Om det finns andra bestämmelser om bevarande av personuppgifter i en annan lag eller förordning, till exempel i registerlagstiftning, är det de bestämmelserna som gäller . Sedan är det dessutom så att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som anges ovan . Uppgifterna får dock inte bevaras längre än vad som behövs för dessa ändamål .

(9)

Hur vet man när man ska ta bort personuppgifter?

Kortfattat kan man säga att det är ändamålet, det vill säga anledningen till att personuppgifterna behandlas, som avgör hur länge uppgifterna får bevaras i identifierbart skick. Men hur ska den personuppgiftsansvarige i praktiken veta när personuppgifter inte längre får bevaras?

Enligt personuppgiftslagen får den personuppgiftsansvarige samla in personuppgifter bara för särskilda, uttryckligt angivna och berättigade ändamål . Ändamålen måste bestämmas redan när uppgifterna samlas in och kunna anges uttryckligen . Helst bör ändamålen därför skrivas ned . Det är den personuppgiftsansvarige som bestämmer ändamålen med behandlingen .

När ändamålen förändras

Personuppgifterna får i viss utsträckning användas även för andra ändamål än de för vilka de samlades in så länge de nya ändamålen inte är oförenliga med de ursprungliga ändamålen. Senare inträffade faktorer kan alltså medföra att uppgifter får bevaras längre tid än vad som varit fallet från början . Vad som är förenligt med de ursprungliga ändamålen framgår inte av personuppgiftslagen utan en bedömning måste göras i det enskilda fallet . Vid en sådan bedömning kan man utgå från hur en registrerad person typiskt sett skulle se på saken, om det exempelvis var uppenbart från början att uppgifterna skulle behandlas för andra ändamål . Kommer man då fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet kan det inte anses oförenligt med de ursprungliga ändamålen (se även Socialdatautredningens betänkande, SOU 1999:109 s . 160) . Det är också tillåtet att i efterhand behandla uppgifter för histo- riska, statistiska eller vetenskapliga ändamål .

Uppgifterna får inte bevaras om de av någon anledning inte längre kan

(10)

förhållande till ändamålet . Finns det till exempel i en sporthandlares kundregister antecknat att en kund har golf som intresse, och uppgiften är relevant därför att sporthandlaren säljer golfartiklar och därför har ett intresse av att veta vilka kunder han ska rikta sina reklamerbjudanden mot, är uppgiften inte längre relevant om handlaren slutar att sälja just golfartiklar . Uppgiften bör då tas bort .

Uppgifter får alltså inte samlas in bara för att de eventuellt kan komma till användning vid ett senare tillfälle och därför kan vara bra att ha . Om en personuppgift av någon anledning blir överflödig får den inte längre bevaras .

Det räcker dock inte med att den personuppgiftsansvarige uttryckligen har angett ett särskilt och berättigat ändamål för att uppgifterna ska få behandlas (och därmed bevaras) . Behandlingen måste dessutom vara tillåten . Vad som är tillåten behandling framgår av 10–22 §§ i person- uppgiftslagen . Skulle någon av förutsättningarna som anges i dessa bestämmelser för att behandling av personuppgifter ska vara tillåten inte längre föreligga får uppgifterna inte längre bevaras, eftersom det då inte längre är fråga om en tillåten behandling .

Det är särskilt viktigt att den personuppgiftsansvarige funderar över hur länge personuppgifter ska bevaras då integritetskänslig information ska behandlas .

(11)

Hur tar man bort personuppgifter?

Det finns två olika sätt att ta bort personuppgifter. Man kan antingen avidentifiera eller förstöra dem.

Avidentifiera

Att avidentifiera personuppgifterna innebär att man avlägsnar alla iden- tifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person . Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgif- terna läsbara och därmed identifiera personen.

Förstöra

Att förstöra personuppgifterna innebär att se till att de inte går att åter- skapa . Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras . Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns ”papperskorg” . I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att person- uppgifterna inte kan tolkas i efterhand . Det är dock inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror . Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet .

Utskrifter

Hur gör man då om man skrivit ut personuppgifterna på papper? Måste man då förstöra papperet? Personuppgifter i pappersform omfattas normalt inte av personuppgiftslagen, om de inte utgör ett sådant manuellt register som avses i 5 § andra stycket i personuppgiftslagen . Svaret på frågan är därför nej .

(12)

Eftersom själva utskriften av personuppgifterna i sig är en behandling måste man dock fundera över om utskriften är tillåten enligt person- uppgiftslagens bestämmelser . Om man skriver ut uppgifterna i samband med att de inte längre behövs för det ändamål som de samlades in för och utskriften görs enbart för att de ändå ska bevaras är utskriften inte tillåten enligt personuppgiftslagen . Om utskriften görs därför att uppgif- terna kan behövas i pappersform för andra ändamål, till exempel för bokföringsändamål, är utskriften däremot tillåten .

När man ska förstöra personuppgifter ur exempelvis en databas i Microsoft Access räcker det inte att radera den fil som innehåller uppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns ”papperskorg”.

(13)

Hur ska man se till att

personuppgifter inte bevaras för länge?

Vilka rutiner ska då den personuppgiftsansvarige ha för att se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet?

Det är lämpligt att man redan i samband med att behandlingen av personuppgifter påbörjas tar ställning till hur länge uppgifterna i normal- fallet ska bevaras och när de ska tas bort, det vill säga avidentifieras eller förstöras . För att underlätta arbetet kan man upprätta en ”gallringspolicy”

där man anger vilka uppgifter som kommer att behandlas, för vilket ändamål man behandlar dem och när de ska tas bort . Vidare kan en sådan policy innehålla en beskrivning av vilka rutiner man ska ha för att avidentifiera eller för att på ett säkert sätt förstöra uppgifterna.

Har den personuppgiftsansvarige utsett ett personuppgiftsombud kan det vara lämpligt att ombudet tillsammans med den personuppgifts- ansvarige ser till att en sådan policy upprättas .

Några praktiska exempel

Här följer några praktiska exempel på situationer då det inte längre kan anses nödvändigt att bevara uppgifterna med hänsyn till ändamålet med behandlingen .

Kom dock ihåg att nya ändamål som inte är oförenliga med de ändamål för vilka uppgifterna från början samlades in kan medföra att uppgif- terna får bevaras längre än vad som sägs nedan . Dessutom kan avvikande bestämmelser i annan lagstiftning, till exempel arkivlagen, bokfö-

ringslagen eller arbetsrättslig lagstiftning, medföra att person uppgifterna måste bevaras under en längre tid än vad som sägs nedan .

(14)

Kunder

I ett förhållande mellan säljare och kund bör personuppgifterna inte längre bevaras om mellanhavandet mellan säljaren och kunden har avslutats, till exempel då en vara har levererats och är helt betald .

Om säljaren ska kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter bevaras tills garantin har gått ut .

Att kunden har möjlighet att reklamera varan innebär inte med automatik att uppgifter om kunden får bevaras under den tid som reklamationsfristen löper . Om varan är en sällanköpsvara eller en

förbrukningsvara kan ha betydelse för bedömningen av hur länge uppgif- terna får bevaras för reklamationsändamål .

Direktmarknadsföring

Om det finns ett kundförhållande mellan kunden och den person- uppgiftsansvarige får den personuppgiftsansvarige skicka reklam till kunden, om nu inte kunden har motsatt sig det .

I normala fall får personuppgifter om en tidigare kund användas för marknadsföringsändamål under ett års tid efter det att kundförhållandet har upphört, det vill säga efter det att varan eller tjänsten är levererad och betald samt att eventuell garantitid har löpt ut . Om han eller hon dessförinnan begär att bli struken ur registret ska personuppgifterna dock tas bort snarast möjligt .

Om en marknadsförare samlar in uppgifter om personer som det inte finns någon kundrelation till för att använda dem till marknadsföring bör uppgifterna tas bort snarast efter det att de använts. Eftersom adress- uppgifter ofta ändras och därför inte kan betraktas som aktuella under någon längre period bör de inte bevaras längre än tre månader från det datum då de samlades in .

(15)

Vid sidan av personuppgiftslagen finns det även en branschöverenskom- melse med regler för användning av personuppgifter vid direktmarknads- föring (läs mer på www .swedma .se) . Dessutom så regleras användningen av e-post i reklamsyfte till konsumenter i marknadsföringslagen

(2008:486) .

Kreditbedömningar

Kreditgivare gör ofta kreditbedömningar av sina kunder med stöd av uppgifter som inhämtas från kreditupplysningsföretag. En sådan kredit- bedömning bör alltid göras på så aktuell information som möjligt . Därför får inte informationen bevaras i ett kundregister för att senare utnyttjas för en ny kreditbedömning .

Uppgift om att en kund fått beviljad kredit får överföras till kredit-

givarens kundregister men ska tas bort inom tre månader . Uppgift om att

(16)

Om kreditupplysningsföretaget lämnar ut information till kreditgivaren som sedan genomför kreditbedömningen i sin egen dator får informa- tionen inte bevaras efter det att bedömningen gjorts .

Kreditgivaren kan i vissa fall få bevara kreditupplysningsinformation längre tid om det handlar om andra ändamål än kreditbedömningar . Man kan exempelvis behöva bevara uppgifterna för att kunna leva upp till kraven på dokumentation av kreditbeslut i lag (2004:297) om bank- och finansieringsrörelse.

Medlemmar i ideella föreningar

När en medlem i en förening avslutar sitt medlemskap bör uppgifterna i medlemsregistret tas bort . Inget hindrar att uppgifter om medlemmen

Personuppgifter om tidigare medlemmar i ideella föreningar får normalt bevaras under ett år för att föreningen ska kunna värva tillbaka den som tidigare har varit medlem.

Foto: www.fotoakuten.se

(17)

får finnas kvar tills dess att denne exempelvis har betalat utestående medlemsavgifter och lämnat tillbaka lånad utrustning .

Dessutom får personuppgifter om tidigare medlemmar normalt bevaras under ett år för att föreningen ska kunna värva tillbaka den som tidigare har varit medlem . Men om den tidigare medlemmen dessförinnan tackar nej till att återigen bli medlem ska dennes personuppgifter tas bort snarast möjligt .

Elevadministration i friskolor

Personuppgifter om elever i friskolor (skolor med så kallad enskild huvudman) bör tas bort senast då eleven har slutat sin skolgång . Detta gäller uppgifter som behövs för att administrera till exempel klass- och gruppindelningar av skolelever, skolelevers skolskjuts, praktik, skolmål- tider, lärares minnesanteckningar eller underlag för utvecklingssamtal med elever och deras vårdnadshavare eller kuratorers och psykologers anteckningar i deras elevvårdande verksamhet .

Arbetstagare

Personuppgifter om en anställd bör inte bevaras efter det att denne har slutat . Men ibland måste vissa uppgifter bevaras under en längre tid, till exempel om andra lagar kräver det . Arbetsgivaren får också behålla uppgifter under den tid som en tvist med en tidigare anställd kan bli aktuell . Det kan också vara nödvändigt att bevara vissa uppgifter för administrativa ändamål, till exempel utbetalning av pension från arbetsgivaren eller om man ska lämna referenser till andra arbetsgivare . Arbetsgivaren får bevara rena faktauppgifter som ”uppsägning på grund av arbetsbrist”, ”avsked” och ”uppsägning på grund av personliga skäl”

samt betyg och tjänstgöringsintyg med omdömen som arbetsgivaren har gett till arbetstagaren efter det att anställningsförhållandet har upphört .

(18)

Om du behöver mer information

På Datainspektionens webbplats www .datainspektionen .se kan du läsa mer om personuppgiftslagen och ladda ner eller beställa informa- tionsmaterial . Där kan du också beställa en prenumeration på Data- inspektionens tidning Integritet i fokus och vårt nyhetsbrev .

Arbetssökande

Personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser bör normalt gallras bort när anställningsförfarandet har avslutats . Arbetsgivaren får dock bevara uppgifterna så länge den sökande till exempel har möjlighet att överklaga beslutet om att denne inte fick jobbet.

Vill arbetsgivaren använda uppgifterna längre, till exempel för framtida rekrytering, måste den arbetssökande informeras och samtycka till fortsatt registrering. Vad som menas med samtycke finns att läsa mer om på Datainspektionens webbplats www .datainspektionen .se/samtycke .

(19)

Anteckningar

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

(20)

Kontakta Datainspektionen

E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.

Datainspektionen

Datainspektionen är en myndighet som arbetar för att behand- lingen av personuppgifter i samhället inte ska medföra otill- börliga intrång i enskilda människors personliga integritet . Ansvarsområdet omfattar framförallt personuppgiftslagen, patientdatalagen, inkassolagen och kreditupplysningslagen . Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag . Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud .

Datainspektionen informerar

Datainspektionen informerar är en skriftserie som vänder sig till dig som är personuppgiftsansvarig eller personuppgiftsombud samt till dig som vill veta mer om integritetsfrågor . Broschyrerna beställer du på vår webbplats www .datainspektionen .se .

References

Download now ( PDF - 20 Page - 820.13 KB )

Related documents

2 Vad, varför, och hur länge behandlar vi dina personuppgifter?

Detta innebär att endast den personal som är inblandad i din vård och behandling, eller som av annat skäl behöver uppgifterna för att fullgöra sitt arbete inom hälso-

Uppgifter som ska lagras för brottsbekämpande ändamål en vägledning

13 Med inrikesspecifikt nummer menas vilket telefonnummer som helst, angivet i en nationell nummerplan (NNP), som endast används och är betydelsefullt i den

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Om man skriver ut uppgifterna i samband med att de inte längre behövs för det ändamål som de samlades in för och utskriften görs enbart för att de ändå ska bevaras är

Det innebär också att du sannolikt får mindre i total pension under en genomsnittlig livstid än vad du fått om du (4)väntat med att ta ut din pension

Ett tidigt uttag av pensionen med placering i kapitalförsäkring eller i annan sparform kan göra att det bostadstillägg du eller din partner skulle haft rätt till från 65 års

Det innebär också att du sannolikt får mindre i total pension under en genomsnittlig livstid än vad du fått om du väntat med att ta ut din pension

Upplägget som rådgivarna råder dig till innebär att du tar ut din allmänna pension månadsvis från till exempel 62 års ålder och placerar pengarna i en kapitalförsäkring, eller

Hur ska nutiden bevaras?

Vilka minnen av nutiden som bevaras i framtidens arkiv beror på många faktorer, inte minst på rådande principer för bevarande och gallring.. Följaktligen har bevarande-

Får jag också vara med?

Förskolan är formad för att främja barns utveckling, men hur blir det med de barn som inte främjas av verksamhetens organisation? Detta är ett tydligt exempel på ett dilemma som

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Om du inte lyckats förmå den personuppgiftsansvarige att rätta, blockera eller utplåna personuppgifter som behandlas i strid med PuL eller upphöra att behandla dina personuppgifter