Hej och tack för att du vänder dig till Fråga Juristen med din fråga! Jag redogör nedan kortfattat för regleringen angående hantering av personuppgifter samt vad som kan gälla i er situation.

Hantering av personuppgifter

Hur ett företag får hantera personuppgifter styrs av dataskyddsförordningen, även kallad GDPR. Vad som definieras som personuppgifter är väldigt brett och innebär alla uppgifter som avser en identifierad eller identifierbar person, i vilket telefonnummer omfattas (art. 4.1). Regleringen för hur dessa uppgifter får hanteras är omfattande, men bland annat innebär förordningen att det krävs laglig grund för att ett företag ska få hantera personuppgifter och att det är för ett specifikt ändamål. En sådan grund kan exempelvis vara samtycke av den personuppgiften rör (i lagtexten kallad ”den registrerade”), eller att hanteringen är nödvändig utifrån ett antal olika ändamål (art 5.1 a samt 6-7). Ett exempel på detta kan vara att företaget måste hantera vissa personuppgifter på ett visst sätt enligt lag eller att behandlingen av personuppgifterna är nödvändig för att fullgöra ett avtal mellan företaget och den registrerade (art 5). Av GDPR följer också att företaget måste vidta vissa säkerhetsåtgärder vid hantering av personuppgifterna, exempelvis för att säkerställa att dessa inte kommer i orätta händer och liknande. Den registrerade har också rätt att få information om bland annat sina rättigheter och tillgång till de uppgifter som finns registrerade om honom eller henne och att få dessa raderade (art 12-19). 

Sammanfattning och rekommendation

Av din fråga framgår att företaget inte har hanterat telefonnumrena med de berördas samtycke, alltså är samtycke inte en giltig laglig grund. Vad som skulle kunna vara en laglig grund i detta sammanhang kan jag inte ge ett klart och tydligt svar på eftersom jag inte vet omständigheterna. Men oavsett vilken laglig grund företaget lutar sig mot har de registrerade bland annat rätt att få information om sina rättigheter samt ändamålet och syftet med hanteringen, hur uppgifterna hanteras och hur länge. Så även om det finns en giltig grund men de registrerade inte har fått erforderlig klar och tydlig information om hanteringen, så är hanteringen i strid med GDPR.

Avslutningsvis är min rekommendation att vända sig till företaget och ifrågasätta hanteringen av personuppgifterna mot bakgrund av GDPR. Är den i strid med GDPR är den olaglig. Är den i enlighet med GDPR kan ni fortfarande ha rätt att få era telefonnummer raderade.

Tyvärr är det svårt för mig att ge ett mer detaljerat och konkret svar eftersom det beror på omständigheterna i den specifika situationen, men jag hoppas att du ändå har fått hjälp med din fundering. Har du ytterligare frågor eller vill ha kontakt med en jurist kan du här boka tid för rådgivning hos Familjens Jurist. Du är förstås också välkommen att återkomma till Fråga Juristen med en ny fråga.