Gallring

Personuppgifter är en resurs som behövs i vissa processer i er verksamhet – kanske till och med i de flesta processerna. Men uppgifter som inte behövs finns det heller ingen anledning att spara: de utgör överskottsinformation som inte ska hanteras i verksamheten.

Det här är det synsätt som GDPR har på lagring och gallring av personuppgifter. Att ha kvar uppgifter för att de kan vara ”bra att ha” någon gång i framtiden är inte tillåtet enligt dataskyddsförordningen, och inte heller särskilt effektivt ur ett verksamhetsperspektiv. Därför är det viktigt att implementera principer och rutiner för gallring av personuppgifter.

Lagringsminimering

Att personuppgifter behöver gallras hänger ihop med den grundläggande principen om lagringsminimering. Den innebär att personuppgifter bara ska sparas så länge som de behövs för ändamålet med personuppgiftsbehandlingen. För alla personuppgiftsbehandlingar är det därför viktigt att bestämma en lagringstid, det vill säga hur länge uppgifterna behöver lagras för att uppnå det aktuella ändamålet. I vissa fall finns det lagar som bestämmer hur länge uppgifter ska sparas (t.ex. bokföringslagen) men i övrigt får ni avgöra och motivera det själva.

Gallring i praktiken

När personuppgifterna inte längre behövs ska de raderas eller anonymiseras på ett permanent sätt. Gallring måste ske av alla kopior av personuppgifter, även säkerhetskopior. För att vara säkra på att personuppgifterna verkligen raderas på ett korrekt och regelbundet sätt behöver ni ha bestämda rutiner för gallring. Om gallring ska ske automatiskt i system behöver ni kontrollera att rätt tidsfrister är inställda och att gallringen genomförs som den ska.