Företag ska radera personuppgifter när de inte längre behövs för syftet de blev inhämtade för i enlighet med principen om lagringsminimering. Alternativt kan företag avidentifiera dem när de inte längre är nödvändiga för ändamålet. Däremot finns det undantag.
Radera personuppgifter när de inte längre behövs för syftet med behandlingen
I vissa fall kan företag behöva spara personuppgifter eftersom det står reglerat i någon annan lagstiftning. Till exempel ska företag spara vissa personuppgifter enligt bokföringslagen. Vid sådana fall ska företaget inte radera personuppgifterna bara för att de inte längre är nödvändiga för det ursprungliga ändamålet. Däremot ska företaget lagra sådana personuppgifter avskilt från andra personuppgifter som är nödvändiga i den dagliga verksamheten.
Några fler undantag avseende när det kan vara tillåtet att behandla personuppgifter även fast de inte längre är nödvändiga för det ursprungliga ändamålet, är om det sker för:
- Arkivändamål som är av allmänt intresse
- Statistiska ändamål
- Vetenskapliga forskningsändamål. Detsamma gäller historiska forskningsändamål.
Information om behandling av känsliga personuppgifter för arkiv- och statistikändamål.
Upprätta rutiner för gallring av personuppgifter
Ett annat ord för att radera personuppgifter, är att gallra personuppgifter, vilket ska ske regelbundet. Företag bör därför upprätta rutiner för gallring av personuppgifter och det kan vara bra att bestämma ett datum för när det ska ske, eftersom det är mindre sannolikt att man glömmer bort det då. Till exempel att göra det varje kvartal eller var sjätte månad. Vi skriver GDPR avtal och dokument som företag behöver för att följa GDPR såsom interna rutiner för gallring av personuppgifter. Vi har fasta priser och samtal och genomgång med jurist ingår alltid i våra priser.
