Alla företag ska radera personuppgifter regelbundet enligt GDPR, även kallat för gallring av personuppgifter. Enligt reglerna ska företag radera personuppgifter när de inte längre är nödvändiga att behandla för syftet de blev inhämtade för. Däremot förekommer det undantag från denna huvudregel. Exempelvis kan det hända att företaget behöver spara personuppgifterna en viss tid enligt någon annan lagstiftning, och då är lagringen laglig.
Radera personuppgifter på den registrerades begäran
En rättighet som registrerade har enligt GDPR är att begära att få sina personuppgifter raderade. Registrerade har alltid rätt att lämna in en begäran om radering till företag som behandlar deras personuppgifter.
Företaget ska radera personuppgifter när de inte längre är nödvändiga att behandla för ändamålet de blev insamlade för, samt när den registrerade begär radering. Däremot kan företaget i vissa fall ha rätt att fortsätta behandlingen, trots att den registrerade begär radering av personuppgifterna.
Tillåten lagringstid avseende personuppgifter enligt GDPR
Hur länge ett företag ska behandla personuppgifter framgår inte exakt i GDPR. Istället måste företaget som är personuppgiftsansvarig göra den bedömningen själv utifrån omständigheterna i varje enskilt fall.
Utgångspunkten är att företaget ska behandla personuppgifterna så länge det är nödvändigt för ändamålet de blev insamlade för. Däremot kan det förekomma andra lagar, såsom en bokföringslagar eller lagar som omfattar arbetsgivare, som innebär att företaget måste spara vissa personuppgifter under ett visst antal år. Vid sådana fall ska företaget inte radera personuppgifterna eller dokumentationen som personuppgifterna förekommer i. Ett exempel på detta är att fakturor som innehåller personuppgifter behöver lagras under den tid lagstiftningen kräver (för bokföringsändamål).
Anonymiserade personuppgifter är inte omfattade av GDPR
Företaget behöver inte alltid radera personuppgifter när de inte längre är nödvändiga för ändamålet, om företaget istället anonymiserar dem. När personuppgifterna är anonymiserade utgör de inte längre “personuppgifter”, utan endast “uppgifter”, och därför omfattas inte anonymiserade personuppgifter av GDPR.
En personuppgift anses vara anonymiserad, när det inte längre går att knyta uppgiften till en fysisk levande individ, vare sig direkt eller indirekt, ensamt eller i kombination med andra uppgifter.
Det är viktigt att tänka på att anonymisering och pseudonymisering inte är samma sak. Pseudonymiserade personuppgifter utgör fortfarande personuppgifter enligt GDPR, och omfattas därmed fortsatt av regelverket.
Företag får fortsätta behandla personuppgifter om behandlingen sker för:
- Arkivering i enlighet med ett allmänt intresse.
- Ett forskningsändamål som är antingen historiskt eller vetenskapligt.
- Statistiska ändamål. Observera att företaget måste vidta lämpliga skyddsåtgärder.
Upprätta interna rutiner för korrekt och regelbunden radering av personuppgifter
För att se till att företaget raderar personuppgifter regelbundet och kan tillgodose rättigheten om rätten till radering på begäran från registrerade, bör företaget upprätta interna rutiner. Till exempel rutiner avseende hur en anställd ska gå tillväga när en registrerad begär om att få sina personuppgifter raderade. Dessutom bör företaget ha förutbestämda datum eller intervall under året där de anställda raderar personuppgifter från olika lagringsplatser, såsom mejlinkorgen, mejlutkorgen, papperskorg, backup-filer etc.
Det är även en fördel att se över inställningarna i de olika systemen företaget använder för att ställa in automatiska tidpunkter för radering av gamla filkopior, inaktiva användarkonto och liknande.