Radera personuppgifter utan onödigt dröjsmål

Enligt GDPR gäller principen om lagringsminimering och företag ska radera personuppgifter utan onödigt dröjsmål vid begäran. Dessutom ska företag radera personuppgifter när de inte längre är nödvändiga för syftet de blir insamlade för. Det finns också sju (7) dataskyddsprinciper som företag måste följa vid all behandling av personuppgifter. GDPR ställer högre krav på företag än vad personuppgiftslagen gjorde innan GDPR började gälla. GDPR ersatte personuppgiftslagen i Sverige.

Radera personuppgifter utan onödigt dröjsmål

Om en person som har sina personuppgifter registrerade hos ett företag, begär om att få dem raderade, ska företaget göra det. Att radera personuppgifter utan onödigt dröjsmål innebär i ett sådant fall att företaget ska radera dem senast en (1) månad efter att begäran blivit mottagen. Däremot förekommer det vissa särskilda fall där det går att förlänga tiden med ytterligare högst två (2) månader. 

Gallring av personuppgifter i förhållande till andra lagar 

GDPR, eller dataskyddsförordningen, står inte över andra lagar. Därför går det att säga att GDPR och andra regelverk är konkurrerande lagar. Ett praktiskt exempel är bokföringslagen som kräver att vissa personuppgifter blir sparade under en längre tid. Därmed kan det förekomma personuppgifter i bokföringsunderlag, som inte kan bli raderade enligt GDPR, eftersom bokföringslagen kräver att de förblir lagrade en viss tid. Därmed måste företaget följa bokföringslagen, för att inte bryta mot lagen. Detta är då tillåtet enligt GDPR, med stöd i den rättsliga grunden “rättslig förpliktelse”.

Gallra personuppgifter regelbundet 

Företag ska gallra personuppgifter regelbundet och därför är det bra att ha rutiner avseende när och hur det ska ske. Exempelvis innehåller mejlkonversationer oftast personuppgifter och därför ska de bli gallrade när de inte längre är nödvändiga. Dessutom är det många av dessa mejl som inte innehåller personuppgifter som företaget behöver eller har grund till att spara. Ett tips är därför att ha fasta dagar då gallring av personuppgifter sker, för att inte glömma bort att göra det. Det är också viktigt att notera när gällringar blir utförda, för att kunna styrka att gallring har blivit genomförd och att man följer GDPR i praktiken.

Personsöktjänster är undantagna från GDPR enligt grundlagsskydd 

I Sverige är det många som lämnar in klagomål till IMY (Integritetsskyddsmyndigheten), som avser personsöktjänster som publicerar information på internet. Grundlagar står alltid över övriga lagar och i Sverige har söktjänster för personuppgifter ett så kallat frivilligt utgivningsbevis. De är därmed skyddade enligt yttrandefrihetsgrundlagen, som är en grundlag i Sverige. Därför har de tillåtelse att publicera sådan information och är i stora delar undantagna från GDPR. Däremot har de inte tillåtelse längre att publicera känsliga personuppgifter, sedan lagändringen 2019. 

Mer information 

Här kan du läsa mer om:

Inhämta samtycke från anställd som arbetsgivare.

Inte tillåtet med muntliga personuppgiftsbiträdesavtal.

Ge ut information till en registrerad som begär det.

Varför kreditkortsnummer inte är känslig personuppgift.

Två vanliga rättsliga grunder företag använder.

Grundläggande principer vid behandling av personuppgifter enligt GDPR.

5 viktiga saker att tänka på gällande GDPR.

Skribent: Företagsforumet 

Fler inlägg om juridik

Forumet kan du som medlem ställa frågor, kommentera och diskutera företagande med andra medlemmar. Forumet är en digital plattform där medlemmar kan lära sig av varandra och dela med sig av erfarenheter.

Besök Forumet – klicka här!

Dela detta inlägg: