Arkivering och gallring
Arkivering
Att spara handlingar som innehåller personuppgifter är en sorts behandling. Därför är det bra att sätta sig in i reglerna om arkivering och gallring.
GDPR ger vissa lättnader för två sorters arkiv:
- Arkiv för allmänna intressen;
- Forskningsarkiv.
För alla övriga arkiv som inte omfattas av dessa undantag gäller alla de grundläggande principerna fullt ut. Detta ställer stora krav på gallring ( en annan sorts behandling av personuppgifter) som vi återkommer till nedan.
Arkiv för allmänna intressen
Begreppet “allmänna intressen” är inte helt klarlagt. Begreppet omfattar dock något som rör många människor på ett bredare plan och kan ses som en motsats till särintresse. Exempelvis faller arkivering av bokföringsmaterial utanför begreppet.
Behandling av personuppgifter för arkivändamål av allmänt intresse ska i tillämpliga delar även gälla andra organ än myndigheter, i den mån organets verksamhet omfattas av offentlighet- och sekretesslagstiftningen. Riksarkivet får meddela föreskrifter för en enskilda arkiv som förvarar handlingar av allmänt intresse.
Om ett arkiv anses vara av allmänt intresse gäller viss lättnadsregler i förhållande till de grundläggande principerna och de registrerades rättigheter. Dessutom tillkommer vissa skyddsregler för de registrerade. Vi har i tidigare artikel beskrivit regelverket avseende känsliga personuppgifter och arkiv.
Gallring
De personuppgifter som behandlas av en organisation får inte bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med att samla in personuppgifterna.
Om ändamålet inte längre är giltigt, exempelvis om uppgifterna avser en kund och kundförhållandet upphör, ska uppgifterna enligt huvudregeln i GDPR raderas “utan onödigt dröjsmål”.
Exakt vad som avses med “utan onödigt dröjsmål” är något som måste bedömas i varje enskilt fall. Principiellt gäller uppgiftsminimering av behandling, innebärande att organisationen bör sträva mot att lagra så få personuppgifter som möjligt.
Det är viktigt för den personuppgiftsansvarige att känna till att GDPR medger att annan lagstiftning uppställer krav som gör behandlingen tillåten enligt grunden “rättslig förpliktelse”. Sådan lagstiftning förpliktar i vissa fall organisationen att utföra behandling. Detta innebär i praktiken att en organisation ibland ska spara personuppgifter längre än “utan onödigt dröjsmål”. Sådan lagstiftning är penningtvättslagen, bokföringslagen och konsumentkreditlagen.
Det sagda innebär exempelvis att om en av organisationens konsumenter inte längre vill ha organisationens nyhetsbrev ska organisationen göra en gallring avseende detta ändamål,samtidigt som organisationen måste spara vissa av konsumentens personuppgifter för andra ändamål som för bokföring. Detta visar hur viktigt det är att förstå hur organisationen använder personuppgifterna eftersom flera lagliga grunder kan föreligga samtidigt.
Den som inhämtar personuppgifter är ansvarig dels för att de uppgifter är relevanta och korrekta, dels att aktuell behandling av dessa personuppgifter är tillåten. Det är alltså ändamålet med inhämtningen av personuppgifterna som avgöra hur länge personuppgifterna får bevaras. Om ändamålet blir inaktuellt utan att annat ändamål för fortsatt behandling finns ska personuppgifterna i regel raderas.
Liknande artiklar
- Behandling av känsliga personuppgifter
- Behandling av personuppgifter
- Behandling på grund av allmänt intresse
- Behandling på grund av avtal
- Behandling på grund av berättigat intresse
- Behandling på grund av en rättslig förpliktelse
- Behandling vid myndighetsutövning
- Dataskyddsombud
- Den personuppgiftsansvarige
- Den registrerades rättigheter
- Inhämtande av samtycke
- Personlig integritet
- Personuppgifter
- Personuppgiftsbiträde
- Personuppgiftsbiträdesavtal
- Sanktionsavgifter enligt GDPR