Migrationsverket fick två varningar för att bland annat sakna rutin för gallring av användarloggar. Därför ansåg IMY att risken för att personuppgifterna blir behandlade för länge förelåg. Migrationsverket blev granskade av IMY (Integritetsskyddsmyndigheten) gällande huruvida användningen av ett system för att utbyta personuppgifter bröt mot GDPR. Enligt beslutet från IMY framgår det bland annat att IT-systemet hade otydlig dokumentation gällande gallringen av användarloggar.
Varningar för att bland annat sakna rutin för gallring
Företag, organisationer och offentliga organ måste gallra personuppgifter när de inte längre är nödvändiga att behandla för det syfte de blev inhämtade för. Gallring, det vill säga radering, ska ske utan onödigt dröjsmål. I informationen om behandlingen som lämnas till de registrerade ska innehålla information om när personuppgifterna ska bli gallrade.
IMY gjorde flera inspektioner hos Migrationsverket, där de ställde olika frågor till medarbetare gällande behandlingen. Exempelvis om ansvar gällande behandlingen av personuppgifter, anlitade biträden och om de överför personuppgifter till ett tredje land (land utan för EU/EES-länderna) m.m. Inspektionerna har bland annat innehållit stickprovkontroller av avslutade viseringsärenden. Detta blev utfört eftersom IT-systemet handlar om visum-ärenden där personuppgifter blir överförda mellan olika länder.
På grund av att IMY:s utförda inspektioner visade att det fanns brister hos Migrationsverket som sannolikt skulle kunna leda till behandling av personuppgifter i strid mot GDPR, utfärdade IMY två varningar.
Livscykeln för personuppgifter
Det finns tre faser i livscykeln för personuppgifter. Om det går att koppla en uppgift till en fysiskt levande person, är det en personuppgift. Dessutom är det skillnad på vanliga och integritetskänsliga personuppgifter samt tydliga och otydliga personuppgifter. Livscykeln för personuppgifter börjar med att företaget samlar in personuppgifterna. Företaget behöver bland annat bestämma ett ändamål och informera den registrerade om behandlingen. Därefter behandlar företaget personuppgifterna och då måste man ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder som behövs för att klara av det. I den sista fasen ska personuppgifterna bli gallrade vilket är när de inte längre behövs för det ändamål de blev inhämtade för.