GDPR Learning Hub

Menu
  • Tag quizzer
  • Download vejledninger
  • Køb kurser
  • Køb skabeloner
  • GDPR-kurser er under opbygning

Artikel 5, stk. 1, litra e), i GDPR

Databeskyttelsesprincip om minimering af lagring

Princippet om opbevaringsminimering betyder, at virksomheder kan opbevare personoplysninger, så længe det er nødvendigt for at opfylde formålet med behandlingen.

Databeskyttelsesprincip om opbevaringsminimering i henhold til GDPR

Det er vigtigt, at formålet er konkret og konkret. Derudover skal virksomheden slette personoplysningerne, når de ikke længere er nødvendige til formålet. Alternativt kan virksomheden anonymisere personoplysninger i stedet. Databeskyttelsesforordningens artikel 5, stk. 1, litra e), regulerer dette princip. Det er derfor vigtigt, at virksomheden implementerer interne procedurer for fjernelse af personoplysninger og regelmæssig kontrol af lagrede personoplysninger. 

 

What breaches of the GDPR can lead to an administrative fine?

Opbevaringsperiode for personoplysninger

I GDPR er der ikke noget præcist tidspunkt for, hvor længe en virksomhed må behandle personoplysninger. I stedet bør alle virksomheder, der er dataansvarlige, selv beslutte dette. Dette gøres ved, at virksomheden analyserer, hvor længe de har brug for at behandle personoplysningerne for at nå formålet med behandlingen. 

Hvis forholdet mellem virksomheden og de registrerede er ophørt, og virksomheden stadig ønsker at behandle personoplysningerne, skal virksomheden kunne begrunde dette. En virksomhed må således ikke lagre personoplysninger, “bare fordi det kan være nyttigt at have dem i fremtiden”.

Andre love kan påvirke opbevaringstiden

Det er vigtigt at huske på, at der kan være andre love, der indeholder regler om, hvor længe visse personoplysninger skal gemmes. Der er situationer, hvor virksomheden skal blive ved med at opbevare personoplysningerne, selvom virksomheden ikke længere skal bruge dem.

Husk, at virksomheden skal træffe passende sikkerhedsforanstaltninger for at beskytte personoplysningerne. Dette krav gælder for hele den tid, virksomheden opbevarer personoplysningerne. 

Sensitive personal data according to GDPR

Regnskabsføring

F.eks. skal virksomheder i de fleste lande opbevare fakturaer og kvitteringer i et vist antal år i henhold til national regnskabslovgivning. Virksomheder må ikke slette sådan dokumentation, der kan indeholde personoplysninger. I dette tilfælde finder den fortsatte opbevaring sted på grundlag af en retlig forpligtelse som retsgrundlag i henhold til databeskyttelsesforordningens artikel 6, stk. 1, litra c). I sådanne tilfælde opbevarer selskabet dokumenterne på en sikker måde. Desuden skal dossieret adskilles fra den daglige drift, så det ikke er for let tilgængeligt. For eksempel ved at arkivere og adskille dokumentationen fra andre dokumenter, der skal behandles i den daglige drift. Remember that the company must take appropriate security measures to protect the personal data. This requirement applies throughout the period for which the company stores the personal data. It is permissible to store personal data as long the law requires it, pursuant to the principle of storage limitation.

Subjektivt integritetskänsliga personuppgifter

Ret til at klage

Et andet eksempel på en lovbestemt forpligtelse, som kan påvirke opbevaringsperioden, er forbrugerens reklamationsret. I EU har forbrugerne mindst to års ret til at klage over produkter. Det betyder, at virksomheder kan have brug for at gemme oplysninger om et gennemført forbrugerkøb i mindst to år. Dette gøres, så virksomheden kan behandle eventuelle modtagne klager. Når reklamationsretten udløber, kan virksomheden slette personoplysningerne, hvis de ikke længere er nødvendige for at behandle dem til dette formål.

Virksomheden skulle betale en bøde, bl.a. fordi den ikke havde fastsat en opbevaringsperiode.

Den finske databeskyttelsesmyndighed udstedte en bøde til en virksomhed, der ikke havde fastsat en opbevaringsperiode for sine kunders personoplysninger. Derudover var kunderne nødt til at oprette en konto på virksomhedens online butik for at handle. Dette gælder, uanset om kunden har foretaget et enkelt køb. Det var således ikke muligt at gennemføre et køb via hjemmesiden uden en registreret konto. 

Virksomheden lagrede kundernes personoplysninger, så længe de havde deres konto. For at kunden kan få slettet sine personoplysninger, har kunden været nødt til at slette sin konto. Virksomheden sagde, at det var op til kunden at beslutte, hvornår de ønskede at slette deres konto. Virksomheden havde derfor ikke fastsat en bestemt oplagringsperiode. 

Den finske databeskyttelsesmyndighed fandt, at dette ikke var en gyldig begrundelse. Ifølge databeskyttelsesmyndigheden har virksomheden ikke ret til at placere ansvaret for at bestemme opbevaringsperioden for personoplysningerne på kunden. Tilsynsmyndigheden bemærkede også, at virksomheden ikke har ret til at kræve, at kunden registrerer en konto for at gennemføre købet på hjemmesiden. Oprettelsen af en konto er frivillig. 

Anonymisere personoplysninger i stedet for at slette dem

En virksomhed behøver ikke nødvendigvis at slette personoplysningerne, når de ikke længere er nødvendige til formålet. I stedet kan virksomheden anonymisere dem. Når personoplysninger anonymiseres, betragtes de ikke længere som personoplysninger. Anonyme data kan ikke længere knyttes til en levende person, og derfor er sådanne data ikke omfattet af GDPR. 

For eksempel kan det være nyttigt at anonymisere data, hvis en virksomhed ønsker at gemme statistikker, der ikke er afhængige af personoplysninger. Det kan være, at virksomheden ønsker at se, hvor mange af dem, der køber deres produkter eller tjenester er mænd eller kvinder. Derefter kan virksomheden anonymisere køberens personlige data og kun holde oplysninger om antallet af mænd og kvinder, der handlede. 

Bemærk dog, at anonymiseringsprocessen  i sig selv udgør en behandling af personoplysninger, der skal overholde reglerne i GDPR.

Behandle personoplysninger uden et nyt retsgrundlag til et andet formål end det oprindelige

I henhold til den generelle regel i GDPR bør en virksomhed kun bruge personoplysninger til det formål, hvortil de blev indsamlet. Men der er nogle undtagelser til dette. I nogle tilfælde kan personoplysningerne behandles til et andet formål end det oprindelige, uden at der er behov for et nyt retsgrundlag for behandlingen. Dette er dog kun muligt, hvis det nye formål er foreneligt med det oprindelige formål. 

For eksempel kan en virksomhed indsamle personlige oplysninger for at levere et produkt eller administrere sine kunderelationer. Hvis virksomheden derefter ønsker at bruge de samme personoplysninger til noget andet, såsom analyse eller markedsføring, skal virksomheden vurdere, om det nye formål er foreneligt med det oprindelige formål.

Hvis det nye formål er uventet for de registrerede eller helt uafhængigt, skal virksomheden have et særskilt retsgrundlag for behandlingen. Alternativt kan du indhente den registreredes nye samtykke til den nye behandling.

Analysere det nye formål og dokumentere vurderingen

Virksomheden skal analysere, om det nye formål er foreneligt med det oprindelige, ved at evaluere forskellige aspekter. Det drejer sig bl.a. om: 

Forbindelsen mellem det nye og det oprindelige formål, og hvor tæt de er forbundet med hinanden.

Den registreredes rimelige forventninger med hensyn til brugen af vedkommendes personoplysninger til det nye formål

Personoplysningernes art og følsomhed

Hvilke sikkerhedsforanstaltninger virksomheden gennemfører, og om de er tilstrækkelige til at beskytte personoplysningerne.

Husk, at denne vurdering og analyse skal dokumenteres skriftligt og forelægges tilsynsmyndigheden efter anmodning. Virksomheden underretter desuden de registrerede om behandlingen af deres personoplysninger. Selskabet skal også træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysningerne. 

Undtagelser i GDPR giver virksomheder mulighed for at behandle personoplysninger til andre formål end de oprindeligt tilsigtede, selvom formålene ikke er kompatible.

I nogle tilfælde er det tilladt for en virksomhed at behandle personoplysninger til andre formål end de oprindeligt tilsigtede, selvom formålene ikke er kompatible. Formålet med disse undtagelser er at afveje på den ene side beskyttelsen af offentlighedens interesser eller andre overordnede interesser og på den anden side den registreredes personoplysninger.

De undtagelser, der er fastsat i 50. betragtning til databeskyttelsesforordningen, omfatter følgende:

  • Arkivering af personoplysninger i offentlighedens interesse 
  • Forskningsformål, der er historiske eller videnskabelige. 
  • Statistiske formål Bemærk, at dette kun kan ske til statistiske formål, hvis virksomheden har truffet tilstrækkelige organisatoriske og tekniske sikkerhedsforanstaltninger.

Flere principper

Princippet om integritet og fortrolighed

En virksomhed skal træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger for at beskytte de personoplysninger, de behandler. Det er vigtigt at huske på, at virksomheden kun “låner” de registreredes personoplysninger. Virksomheden skal sikre, at behandlingen sker på en sikker og fortrolig måde. Det betyder, at virksomheden bl.a. skal analysere eventuelle brud på persondatasikkerheden, og hvordan de kan beskytte sig mod sådanne hændelser. Desuden bør virksomhederne gennemføre interne procedurer for, hvordan de skal handle, hvis dette sker. 

Vil du lære mere?

Læs mere
Scroll to Top