Artikel 5(1)(e) i GDPR

Dataskyddsprincipen om lagringsminimering

Principen om lagringsminimering innebär att företag får lagra personuppgifter under den tid det är nödvändigt för att uppnå ändamålet med behandlingen.

Dataskyddsprincipen om lagringsminimering enligt i GDPR

Det är viktigt att ändamålet är specifikt och konkret. Dessutom ska företaget radera personuppgifterna när de inte längre är nödvändiga för syftet. Alternativt kan företaget istället anonymisera personuppgiftera. Artikel 5(1)(e) i GDPR reglerar denna princip. Det är därför viktigt att företaget inför interna rutiner för borttagning av personuppgifter och regelbundna kontroller av lagrade personuppgifter. 

Companies have an obligation to demonstrate that they comply with the rules of the GDPR, according to the principle of accountability

Lagringstid av personuppgifter

I GDPR förekommer det ingen exakt tid avseende hur länge ett företag får behandla personuppgifter. Istället ska alla företag som är personuppgiftsansvariga själva bestämma detta. Det sker genom att företaget analyserar hur länge de behöver behandla personuppgifterna för att uppnå syftet med behandlingen. 

Om relationen mellan företaget och de registrerade har upphört, och företaget fortfarande vill behandla personuppgifterna, måste företaget kunna motivera detta. Ett företag får alltså inte lagra personuppgifter “bara för att de kan vara bra att ha i framtiden”.

Andra lagar kan påverka lagringstiden

Det är viktigt att tänka på att det kan finnas andra lagar som innehåller regler om hur länge vissa personuppgifter ska bli sparade. Det finns situationer som innebär att företaget behöver fortsätta lagra personuppgifterna, även om företaget inte längre behöver använda dem.

Kom ihåg att företaget måste vidta lämpliga säkerhetsåtgärder för att skydda personuppgifterna. Detta krav gäller under all den tid som företaget lagrar personuppgifterna. 

It may be possible for data subjects to claim damages

Bokföring

Till exempel måste företag i de flesta länder lagra fakturor och kvitton ett visst antal år enligt den nationella bokföringslagen. Företag får inte radera sådant underlag som kan innehålla personuppgifter. Då sker den fortsatta lagringen med stöd i rättslig förpliktelse som rättslig grund enligt artikel 6(1)(c) i GDPR. I dessa fall ska företaget lagra handlingarna på ett säkert sätt. Underlaget ska dessutom vara avskilt från den dagliga verksamheten, så att det inte är för lätt tillgängligt. Exempelvis genom arkivering och att underlaget blir separerat från övriga handlingar som behöver bli behandlade i den dagliga verksamheten.

Reklamationsrätt

Ytterligare ett exempel på lagreglerad skyldighet, som kan påverka lagringstiden, är konsumenters reklamationsrätt. Inom EU har konsumenter minst två års reklamationsrätt avseende produkter. Detta innebär att företag kan behöva lagra information om ett genomfört konsumentköp under minst två år. Detta sker för att företaget ska kunna hantera eventuella reklamationsärenden som inkommer. När reklamationsrätten löper ut, kan företaget radera personuppgifterna om de inte längre är nödvändiga att behandla för detta ändamål.

Företag fick betala en sanktionsavgift eftersom företaget bland annat inte hade fastställt lagringstid

Den finländska dataskyddsmyndigheten utfärdade en sanktionsavgift till ett företag som inte hade fastställt lagringstid av sina kunders personuppgifter. Dessutom var kunderna tvungna att skapa ett konto på företagets webbutik för att kunna handla. Detta gällde oavsett om kunden bara hade gjort ett enstaka inköp. Det var alltså inte möjligt att slutföra ett köp via webbplatsen utan ett registrerat konto. 

Företaget lagrade kundernas personuppgifter så länge de hade kvar sitt konto. För att kunden skulle få sina personuppgifter raderade, behövde kunden ta bort sitt konto. Företaget menade att det var upp till kunden att bestämma när de ville radera sitt konto. Därför hade företaget inte bestämt någon specifik lagringstid. 

Den finländska dataskyddsmyndigheten konstaterade att detta inte var en giltig motivering. Enligt dataskyddsmyndigheten har företaget inte rätt att placera ansvaret kring att bestämma lagringstiden av personuppgifterna på kunden. Myndigheten konstaterade även att företaget inte har rätt att kräva att kunden registrerar ett konto för att kunna genomföra köpet på webbplatsen. Det ska vara frivilligt att skapa ett konto. 

Anonymisera personuppgifter istället för att radera dem

Ett företag behöver inte nödvändigtvis radera personuppgifterna när de inte längre behövs för syftet. Företaget kan istället anonymisera dem. När personuppgifter blir anonymiserade, är de inte längre att anse som personuppgifter. Anonyma uppgifter kan nämligen inte längre knytas till en levande individ och därför omfattas sådana uppgifter inte av GDPR. 

Till exempel kan det vara bra att anonymisera uppgifter om ett företag vill spara statistisk som inte är beroende av personuppgifter. Det kan vara så att företaget vill se hur många av de som köper deras produkter eller tjänster är män eller kvinnor. Då kan företaget anonymisera köparens personuppgifter och bara behålla information om antalet män respektive kvinnor som handlat. 

Observera dock att själva processen för anonymisering utgör en behandling av personuppgifter som ska följa reglerna i GDPR.

Behandla personuppgifter utan en ny rättslig grund för ett annat användningsändamål än det ursprungliga

Enligt huvudregeln i GDPR ska ett företag bara använda personuppgifter för det ändamål som de blev insamlade för. Men det finns några undantag från detta. I vissa fall kan personuppgifterna bli behandlade för ett annat användningsändamål än det ursprungliga, utan att behöva en ny rättslig grund för behandlingen. Detta är dock möjligt endast ifall det nya ändamålet är förenligt med det ursprungliga ändamålet. 

Exempelvis kan ett företag samla in personuppgifter för att leverera en produkt eller hantera sina kundrelationer. Om företaget därefter vill använda samma personuppgifter för något annat, exempelvis analyser eller marknadsföring, måste företaget bedöma om det nya syftet är förenligt med det ursprungliga syftet.

Om det nya syftet är oväntat för de registrerade eller helt orelaterat, måste företaget ha en separat rättslig grund för behandlingen. Alternativt inhämta den registrerades nya samtycke till den nya behandlingen.

Analysera det nya ändamålet och dokumentera bedömningen

Företaget behöver analysera om det nya ändamålet är förenligt med det ursprungliga, genom att utvärdera olika aspekter. Bland annat följande: 

Kopplingen mellan det nya och ursprungliga ändamålet och hur nära de är relaterade till varandra.

Den registrerades rimliga förväntningar avseende användning av deras personuppgifter för det nya ändamålet.

Personuppgifternas karaktär och känslighet.

Vilka skyddsåtgärder företaget implementerar och om de är tillräckliga för att skydda personuppgifterna.

Kom ihåg att denna bedömning och analys ska dokumenteras skriftligen och kunna uppvisas till tillsynsmyndigheten vid begäran. Dessutom ska företaget informera de registrerade om behandlingen av deras personuppgifter. Företaget ska även vidta de nödvändiga tekniska och organisatoriska skyddsåtgärderna för att skydda personuppgifterna. 

Undantag i GDPR tillåter företag att behandla personuppgifter för andra ändamål än de ursprungligen avsedda, även om ändamålen inte är förenliga

I vissa fall är det tillåtet för ett företag att behandla personuppgifter för andra ändamål än de ursprungligen avsedda, även om ändamålen inte är förenliga. Syftet med dessa undantag är att balansera å ena sidan skyddet av samhällsnyttan eller andra övergripande intressen och å andra sidan den registrerades personuppgifter.

Undantagen enligt skäl 50 i GDPR är bland annat följande:

  • Arkivering av personuppgifterna i enlighet med ett allmänt intresse. 
  • Forskningsändamål som är historiska eller vetenskapliga. 
  • Statistiska ändamål. Observera att det enbart får ske för statistiska ändamål om företaget har vidtagit tillräckliga organisatoriska och tekniska säkerhetsåtgärder.

Fler principer

Konfidentialitet och säkerhet

Ett företag måste vidta tillräckliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna som de behandlar. Det är viktigt att tänka på att företaget bara “lånar” personuppgifterna som tillhör de registrerade. Företaget måste se till att behandlingen sker på ett säkert och konfidentiellt sätt. Detta innebär att företaget bland annat ska analysera eventuella personuppgiftsincidenter och hur de kan skydda sig mot sådana incidenter. Dessutom bör företag implementera interna rutiner för hur de ska agera om det inträffar. 

Vill du lära dig mer?

Klicka här
Rulla till toppen