Företag behandlar personuppgifter i enlighet med principen lagringsminimering genom att genomföra gallring av personuppgifter. All behandling av persnuppgifte rmåpste ske i enlighet med de ssju dataskyddsprinciperna, varav principen om lagringsminimering utgör en utav dem. Med andra ord behöver företag, organisationer och offentliga organ radera personuppgifter när de inte lägre är nödvändiga för det syftet de blev inhämtade för. Denna raderingsprocess av personuppgifter som inte längre är nödvändiga att behandla, är kallat för ”gallring”. Gallring ska ske enligt principen om lagringsminimering i dataskyddsförordningen. Dataskyddsförordningen är även kallat för ”GDPR”, vilket står för the General Data Protection Regulation.
Lagringsminimering genom gallring av personuppgifter
Ett praktiskt exempel på principen kring gallring, är när ett företag inte längre behöver en personuppgift efter att en affärsrelation med en kund blir avslutad. Vid sådana fall ska företaget radera alla personuppgifter som är knutna till kunden. Personuppgifter kan vara lagrade i olika lagringsplater, och gallring ska då ske från samtliga lagringsplatser. Exempelvis CRM-systemet, kundergister, e-post osv.
Dessutom ska raderingen ske utan onödigt dröjsmål, efter att personuppgifterna inte längre är nödvändiga att behandla. Det är upp till den personuppgiftsansvarige att bedöma när personuppgifter inte längre är nödvändiga.
Hur länge personuppgifter ska bli lagrade av företag beror på ändamålet med behandlingen. För att få behandla personuppgifter måste företag ha stöd i en rättslig grund för att vara laglig enligt GDPR. Exempelvis utgör ”Rättslig förpliktelse” eller ”Avtal” olika rättsliga grunder enligt GDPR. Det är dock viktigt att tänka på att enbart en (1) rättslig grund kan bli vald för varje enskild behandling.
Observera
Dataskyddsförordningen står inte över andra lagar i Sverige. Det innebär att det finns andra lagar i Sverige som förpliktar exempelvis en myndighet att lagra personuppgifter, vilket GDPR alltså inte står över. Företag är dessutom enligt bokföringslagen skyldiga att lagra personuppgifter som förekommer i bokföringsunderlag under viss tid. Exempelvis ska fysiska fakturor bli sparade i upp till 7-8 år enligt bokföringslagen, vilket utgör en rättslig förpliktelse, som företag måste följa för att inte bryta mot lagen. I sådana fall får lagringen av personuppgifterna ske under så lång tid som lagen kräver, med stöd i den rättsliga grunden ”rättslig förpliktelse”.
Integritetsskyddsmyndigheten, som tidigare hette Datainspektionen, arbetar bland annat med frågor som rör GDPR. Dessutom arbetar de med tillstånd om kameraövervakning m.m.
