GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 5 (1) (E) GDPR

Databeskyttelsesprinsippet om begrensning av lagring

Prinsippet om lagringsbegrensning betyr at selskaper kan beholde personopplysninger i den tiden som er nødvendig for å oppnå formålet med behandlingen.

Databeskyttelsesprinsippet om lagringsbegrensning i henhold til GDPR

Det er viktig at formålet er konkret og konkret. I tillegg skal selskapet slette personopplysningene når de ikke lenger er nødvendige for formålet. Alternativt kan selskapet anonymisere personopplysninger i stedet. Artikkel 5 (1) (e) i GDPR regulerer dette prinsippet. Det er derfor viktig for foretaket å få på plass interne rutiner for fjerning av personopplysninger og regelmessig kontroll av lagrede personopplysninger. 

 

What breaches of the GDPR can lead to an administrative fine?

Oppbevaringsperiode for personopplysninger

GDPR spesifiserer ikke det nøyaktige tidspunktet for når et selskap kan behandle personopplysninger. I stedet er det opp til alle selskaper som er kontrollører å bestemme. Dette gjøres ved å analysere hvor lenge de trenger å behandle personopplysningene for å oppnå formålet med behandlingen. 

Hvis forholdet mellom selskapet og de registrerte er avsluttet, og selskapet fortsatt ønsker å behandle personopplysningene, må selskapet kunne rettferdiggjøre dette. Et selskap kan derfor ikke lagre personopplysninger «bare fordi de kan være nyttige for fremtiden».

Andre lover kan påvirke oppbevaringsperioden

Det er viktig å huske på at andre lover kan inneholde regler om oppbevaringsperioden for visse personopplysninger. Det er situasjoner der selskapet må fortsette å lagre personopplysningene, selv om selskapet ikke lenger trenger å bruke dem.

Husk at selskapet må ta passende sikkerhetstiltak for å beskytte personopplysninger. Dette kravet gjelder så lenge selskapet lagrer personopplysningene. 

Sensitive personal data according to GDPR

Bokføring

For eksempel må bedrifter i de fleste land lagre fakturaer og kvitteringer i et visst antall år i henhold til nasjonal regnskapslov. Selskaper har ikke lov til å slette dokumenter som kan inneholde personopplysninger. I så fall skjer videre oppbevaring på grunnlag av en juridisk forpliktelse som rettslig grunnlag i henhold til artikkel 6 (1) (c) i GDPR. I slike tilfeller skal selskapet oppbevare dokumentene på en sikker måte. I tillegg må filen skilles fra den daglige driften, slik at den ikke er for lett tilgjengelig. For eksempel ved å arkivere og skille filen fra andre dokumenter som må behandles i løpet av den daglige virksomheten.

Subjektivt integritetskänsliga personuppgifter

Garantier

Et annet eksempel på en lovpålagt forpliktelse, som kan påvirke oppbevaringsperioden, er forbrukerens rett til en garanti. I EU har forbrukerne minst to års rettslig garanti for produkter. Dette betyr at bedrifter kan ha behov for å lagre informasjon om et gjennomført forbrukerkjøp i minst to år. Dette er for å gjøre det mulig for selskapet å håndtere eventuelle mottatte klager. Når den juridiske garantien utløper, kan selskapet slette personopplysningene hvis de ikke lenger er nødvendige for å behandle for dette formålet.

Foretak måtte betale en bot fordi de blant annet ikke hadde fastsatt en oppbevaringsperiode

Den finske databeskyttelsesmyndigheten utstedte en bot til et foretak som ikke hadde satt en oppbevaringsperiode for kundenes personopplysninger. I tillegg måtte kundene opprette en konto i selskapets nettbutikk for å kunne handle. Dette var tilfelle uavhengig av om kunden hadde gjort bare ett kjøp. Det var derfor ikke mulig å fullføre et kjøp via nettstedet uten en registrert konto. 

Selskapet lagret kundenes personopplysninger så lenge de hadde sin konto. For at kunden skulle få slettet sine personopplysninger, måtte kunden slette sin konto. Ifølge selskapet var det opp til kunden å bestemme når de skulle slette kontoen sin. Derfor hadde selskapet ikke satt en bestemt oppbevaringsperiode. 

Den finske DPA konkluderte med at dette ikke var en gyldig begrunnelse. I henhold til DPA har selskapet ikke rett til å legge ansvaret for å bestemme oppbevaringsperioden for personopplysningene på kunden. Myndigheten fant også at selskapet ikke har rett til å kreve at kunden registrerer en konto for å kunne foreta kjøpet på nettstedet. Opprettelsen av en konto skal være frivillig. 

Anonymiser personopplysninger i stedet for å slette dem

Et selskap trenger ikke nødvendigvis å slette personopplysningene når de ikke lenger er nødvendige for formålet. I stedet kan selskapet anonymisere dem. Når personopplysninger anonymiseres, anses de ikke lenger som personopplysninger. Anonyme data kan ikke lenger knyttes til en levende person, og derfor faller slike data ikke innenfor rammen av GDPR. 

For eksempel kan det være nyttig å anonymisere data hvis et selskap ønsker å lagre statistikk som ikke er avhengig av personopplysninger. Det kan være at selskapet ønsker å se hvor mange av kjøperne av sine produkter eller tjenester er menn eller kvinner. I dette tilfellet kan selskapet anonymisere kjøperens personopplysninger og bare oppbevare opplysninger om antall involverte menn og kvinner. 

Vær imidlertid oppmerksom på at anonymiseringsprosessen  i seg selv utgjør en behandling av personopplysninger som må overholde reglene i GDPR.

Behandle personopplysninger uten nytt rettslig grunnlag for en annen bruk enn den opprinnelige

I henhold til den generelle regelen i GDPR bør et selskap bare bruke personopplysninger til det formålet de ble samlet inn for. Det er imidlertid noen unntak fra dette. I noen tilfeller kan personopplysningene behandles for en annen bruk enn den opprinnelige, uten behov for et nytt rettslig grunnlag for behandlingen. Dette er imidlertid bare mulig hvis det nye formålet er kompatibelt med det opprinnelige formålet. 

En enhet kan for eksempel samle inn personopplysninger for å levere et produkt eller administrere sine kundeforhold. Hvis selskapet senere ønsker å bruke de samme personopplysningene til et annet formål, for eksempel analyse eller markedsføring, må selskapet vurdere om det nye formålet er kompatibelt med det opprinnelige formålet.

Hvis det nye formålet er uventet for de registrerte eller helt ubeslektet, må selskapet ha et eget rettslig grunnlag for behandlingen. Alternativt kan du innhente den registrertes nye samtykke til den nye behandlingen.

Analysere det nye formålet og dokumentere vurderingen

Foretaket må analysere om det nye formålet er forenlig med det opprinnelige, ved å vurdere ulike aspekter. Disse inkluderte blant annet følgende: 

Forbindelsen mellom det nye og det opprinnelige formålet og hvor nær de er hverandre.

Den registrertes rimelige forventninger til bruken av deres personopplysninger til det nye formålet.

Arten og følsomheten til personopplysningene.

Sikkerhetstiltakene implementert av selskapet og om de er tilstrekkelige til å beskytte personopplysningene.

Husk at denne vurderingen og analysen må dokumenteres skriftlig og være tilgjengelig for tilsynsmyndigheten på forespørsel. I tillegg skal selskapet informere de registrerte om behandlingen av deres personopplysninger. Den skal også gjennomføre de nødvendige tekniske og organisatoriske sikkerhetsforanstaltninger for å beskytte personopplysningene. 

GDPR-unntak tillater selskaper å behandle personopplysninger for andre formål enn de som opprinnelig var ment, selv om formålene ikke er kompatible

I noen tilfeller er det tillatt for et selskap å behandle personopplysninger for andre formål enn de som opprinnelig var tiltenkt, selv om formålene ikke er kompatible. Formålet med disse unntakene er å balansere på den ene siden beskyttelsen av det offentlige gode eller andre overordnede interesser og på den annen side personopplysningene til den registrerte.

Unntakene fastsatt i betraktning 50 i GDPR inkluderer:

  • Arkivering av personopplysninger i allmennhetens interesse. 
  • Forskningsformål som er historiske eller vitenskapelige. 
  • Statistiske formål, Vær oppmerksom på at dette bare kan gjøres for statistiske formål dersom foretaket har iverksatt tilstrekkelige organisatoriske og tekniske sikkerhetstiltak.

Flere prinsipper

Prinsippet om integritet og konfidensialitet

Et selskap må implementere tilstrekkelige organisatoriske og tekniske sikkerhetstiltak for å beskytte personopplysningene det behandler. Det er viktig å huske på at selskapet bare «låner» personopplysningene som tilhører de registrerte. Selskapet skal sørge for at behandlingen utføres på en sikker og konfidensiell måte. Dette innebærer at selskapet blant annet må analysere eventuelle brudd på personopplysningssikkerheten og hvordan de kan beskytte seg mot slike brudd. I tillegg bør selskapene implementere interne prosedyrer for hvordan de skal handle hvis dette skjer. 

Lyst til å lære mer?

Les mer
Skroll til toppen