Principen om lagringsminimering
Ett företag måste radera personuppgifter när de inte längre är nödvändiga för ändamålet som de blev inhämtade för, enligt principen om lagringsminimering. Dessutom bör företag därför ha interna rutiner för gallring (radering).
Principen om lagringsminimering
Det är vanligt att ha specifika datum för att radera personuppgifter, till exempel kvartalsvis. Det är också möjligt att istället avidentifiera personuppgifterna eller anonymisera dem. Något som är bra att känna till är att anonymiserade uppgifter inte längre utgör personuppgifter och att anonymiserade uppgifter därmed inte är omfattade av GDPR.
Principen om lagringsminimering innebär också att registrerade har rätt att bli glömda (få personuppgifterna raderade) vid begäran, vilket i sådana fall ska ske utan onödigt dröjsmål.
Dom gällande rätten att bli bortglömD från sökmotorer
Högsta förvaltningsdomstolen i Frankrike hade begärt ett förhandsavgörande från EU-domstolen, som handlade om rätten att bli bortglömd från sökmotorer online. EU-domstolen konstaterade att länkar på sökmotorer som blir synliga vid sökning av en persons egna namn inte måste bli otillgängliga i tredje land, när personen ifråga påkallar sin rätt till radering enligt GDPR och därmed begär att bli bortglömd. Däremot måste det ske inom alla EU-länder där GDPR gäller. Rätten att bli bortglömd från sökmotorers sökträffar enligt GDPR gäller alltså inte utanför unionen.
Vissa lagar innebär att företag behöver spara personuppgifter under en viss tidsperiod
Det finns lagar och förordningar som står över GDPR, såsom bokföringslagen. Enligt bokföringslagen måste ett företag spara vissa uppgifter, exempelvis fakturor, under ett visst antal år. Fakturor kan innehålla personuppgifter, såsom namn, adress m.m., och enligt bestämmelserna i bokföringslagen har företaget en rättslig förpliktelse att lagra fakturor och övrigt bokföringsunderlag så länge som bokföringslagen kräver det. Detta innebär att företaget radera inte ska radera personuppgifterna som förekommer i fakturorna, eller fakturorna som sådana, enligt GDPR eftersom det finns en rättslig grund till fortsatt behandling (rättslig förpliktelse). Däremot ska företaget lagra personuppgifterna ifråga avskilt.
Längre lagringsperioder
Det finns tillfällen där ett företag får lagra personuppgifter även fast det inte längre är nödvändigt för ändamålet för den ursprungliga behandlingen. Däremot måste företaget se till att skydda personuppgifterna genom att vidta nödvändiga säkerhetsåtgärder.
– Om behandlingen avser arktivändamål av allmänt intresse.
– När det sker för vetenskapliga eller historiska forskningsändamål.
– Om det sker för statistiska ändamål.
Principen om integritet och konfidentialitet
Företag måste vidta olika lämpliga skyddsåtgärder för att skydda personuppgifterna som företaget behandlar, enligt principen om integritet och konfidentialitet. Företaget behöver implementera både tekniska och organisatoriska säkerhetsåtgärder. Till exempel genom att ha en backup lagring, så att personuppgifterna inte går förlorade om det sker en olyckshändelse. Förlorade eller förstörda personuppgifter är också personuppgiftsincidenter, precis som när obehöriga kommer åt dem. Andra exempel på skyddsåtgärder är att ha interna rutiner och riktlinjer, anti-virusskydd och utföra kryptering av personuppgifter när det är lämpligt.