GDPR Learning Hub

Menu
  • Köp kurser
  • Köp mallar
  • GDPR-quiz
  • Ladda ner guider
  • GDPR-kurserna är under konstruktion

Skriftliga rutiner

Rutiner för gallring av personuppgifter

Det är viktigt att företag har skriftliga rutiner för gallring av personuppgifter, för att säkerställa att gallring sker i tid och på korrekt sätt. 

Vad är gallring av personuppgifter?

Gallring av personuppgifter innebär att företag raderar personuppgifter. Alternativt anonymiserar dem. Den grundläggande dataskyddsprincipen om lagringsminimering innebär att personuppgifter inte får behandlas längre än nödvändigt. Detta utgör grunden till att företag måste gallra personuppgifter, när de inte längre är nödvändiga att behandla. 

Företag bör ha olika skriftliga rutiner

Det är viktigt för företag att kunna visa att de följer GDPR i praktiken, eftersom det utgör ett krav i GDPR enligt principen om ansvarsskyldighet i artikel 5(2) GDPR. Till exempel behöver företag ha vissa skriftliga GDPR-relaterade avtal och dokument. Rutiner kan vara ett effektivt sätt att se till att medarbetarna på företaget följer reglerna i GDPR i praktiken. Rutiner bör inkludera svar på dessa fyra frågor: 

  • Vad: Vad medarbetarna ska göra. 
  • När: När medarbetarna ska utföra det. 
  • Hur: Hur medarbetarna ska utföra det.
  • Vem: Vem på företaget som ska göra vad. 
What breaches of the GDPR can lead to an administrative fine?

Vilka exakta rutiner som företag behöver eller som kan vara lämpliga varierar

Vilka exakta rutiner som kan vara bra för företag att ha varierar från fall till fall. Ju fler medarbetare och avdelningar företaget har, desto fler rutiner brukar vara lämpliga att upprätta. Exempel på övriga rutiner som kan vara lämpliga för företag att ha är rutiner för: 

  • Att tillgodose registreras rättigheter vid begäran.
  • Onboarding och offboarding av medarbetare.
  • Delning av data internt mellan medarbetare.
  • Inhämtning och återkallelse av samtycke. 
  • Hantering av sociala medier och fotografering.

Gallra personuppgifter när de inte längre behövs för ändamålet

Företag ska gallra personuppgifter när företaget inte längre behöver dem för ändamålet de blev inhämtade för. Observera dock att det kan finnas lagar som kräver fortsatt behandling. I vissa fall måste företag fortsätta behandla personuppgifter på grund av en rättslig förpliktelse som åvilar företaget. Med andra ord, eftersom behandlingen framgår som ett krav i en lag. Exempelvis behöver företag behandla fakturor och kvitton under ett visst antal år enligt den nationella bokföringslagstiftningen. 

Företag måste bland annat:

Radera personuppgifter när de inte längre behövs för syftet, såvida det inte föreligger en rättslig förpliktelse som kräver fortsatt behandling.

Kunna visa när och hur gallringen av personuppgifterna sker. Därför är det bra att ha skriftliga rutiner för gallring och alltid logga genomförd gallring.

Gallring av behandlade personuppgifter kan minska eventuella konsekvenser vid personuppgiftsincidenter

Ju färre personuppgifter ett företag behandlar, desto mindre är risknivån för eventuella konsekvenser vid personuppgiftsincidenter. 

Vad kan en rutin för gallring av personuppgifter innehålla?

Identifiera personuppgifter

Det är viktigt att först och främst identifiera vart alla personuppgifter som behandlas finns, för att därefter kunna gallra dem från lagringsplatserna. Exempelvis vilka system, databaser, digitala mappar och liknande som innehåller personuppgifter.

What is the definition of anonymised data?

Tidsfrister

Personuppgifter ska gallras regelbundet och därför är det bra att ange konkreta tidsfrister i rutinerna. Exempelvis “sista fredagen varje kvartal”. Observera att om en registrerad begär gallring av sina personuppgifter som företaget behandlar, ska gallringen ske snarast.

Sensitive personal data according to GDPR

Rollfördelning

Det är viktigt att specificera vem som ska gallra vilka personuppgifter från vilka system. Om det är otydligt ökar risken för att gallring inte sker. Exempelvis bör en specifik medarbetare ansvara för att gallra personuppgifter från ekonomisystemet, företaget allmänna e-postadress för extern kommunikation etc.

Subjektivt integritetskänsliga personuppgifter

Hur gallringen ska ske

Gallring behöver inte nödvändigtvis innebära att företaget raderar personuppgifterna. Företaget kan i vissa fall istället anonymisera dem. Personuppgifter som blivit anonymiserade är inte längre omfattande av GDPR. Det är bra att rutinerna klargör hur gallringen ska ske på ett korrekt och säkert sätt.

Measures that companies need to take to comply with GDPR

Dokumentation

Gallring av personuppgifter bör dokumenteras, för att företaget ska kunna visa efterlevnad av GDPR i praktiken. Exempelvis i ett gallringsprotokoll eller en loggbok för gallring.

Mer info

Rutiner för att tillgodose registrerades rättigheter

De registrerade har ett antal rättigheter enligt GDPR som företag behöver kunna tillgodose. För att se till att det sker på ett korrekt sätt, såsom inom de angivna tidsfristerna, är det bra att ha skriftliga rutiner. Dessutom är det viktigt att rätt personer har tillgång till rutinerna. Till exempel brukar kundtjänstmedarbetare få frågor om radering eller rättelse av personuppgifter av registrerade, och därför är det bra om de har rutiner för hur de ska gå tillväga. 

Vill du lära dig mer?

Klicka här
Rulla till toppen