När personuppgifter inte längre är behövda ska de raderas. Du kan inte behålla uppgifter som inte längre fyller något syfte. Men vad menas egentligen med radering? Vilka raderingsfrister måste du hålla och vilka raderings-, backup- och andra rutiner du ska följa?
Vi tar en titt på policyer för datalagring och radering nedan och ger dig några konkreta råd om hur du kommer igång med att skapa en raderingspolicy.
Hur länge får du spara uppgifter?
I samband med GDRP och den allmänna dataskyddsförordningen (GDPR) är det bra att börja med att titta på vad personuppgifter är och vilka typer av personuppgifter som finns.
Begreppet "personuppgifter" definieras av Integritetsskyddmyndigheten följande:
"Personuppgifter är all slags information som direkt eller indirekt kan knytas till en person som är i livet."
I princip kan de delas in i tre kategorier:
- Personuppgifter (icke-känsliga uppgifter)
- Särskilda kategorier av personuppgifter (känsliga personuppgifter)
- Information om fällande domar i brottmål och överträdelser eller relaterade säkerhetsåtgärder.
Uppdelningen beror på att olika villkor och förfaranden gäller för behandlingen av personuppgifter beroende på uppgifternas känslighet. Oavsett vilken typ av personuppgifter du hanterar finns det dock krav på hur länge du får lagra uppgifterna. De är:
- Så länge som du har en rättslig grund för lagringen.
- Så länge du har ett berättigat syfte med lagringen.
Om du inte längre har vare sig en rättslig grund eller ett berättigat syfte måste personuppgifterna raderas.
LÄS OCKSÅ: Samverkan mellan GDPR och ISMS ger stora fördelar
När ska uppgifter raderas?
I artikel 5.1 e i GDPR anges följande:
“[Personuppgifter] får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. “
Som datahanterare är det upp till organisationen att bestämma när personuppgifterna ska raderas, det vill säga när de inte längre utgör ett berättigat ändamål eller uppfyller kravet på rättslig grund. Enligt artikel 5.2 måste organisationen dessutom dokumentera att raderingarna faktiskt sker.
Vad är radering av personuppgifter?
När det gäller radering av personuppgifter är det viktigt att skilja mellan om personuppgifterna faktiskt har raderats eller om de bara har gjorts otillgängliga för användarna.
Ett system som används för att behandla personuppgifter kan vanligtvis delas in i en databas, där alla uppgifter lagras, och en användardel, där uppgifterna kan hämtas och behandlas. För att personuppgifter ska kunna ses som raderade krävs att uppgifterna inte längre finns tillgängliga i databasen. Om t.ex. systemadministratören fortfarande kan komma åt uppgifterna är det inte en riktig radering och organisationen uppfyller inte kraven för radering av personuppgifter.
Som nämnts måste organisationer dokumentera att radering av personuppgifter sker, så det räcker inte att veta när man ska göra det - det måste skrivas ned och rutiner för processen måste upprättas.
Skapa ett förfarande för radering av uppgifter
Som dataansvarig är det viktigt att se till att raderingen av uppgifter går enligt planerna. Därför är det en god idé att skapa en raderingspolicy.
En raderingspolicy är en uppsättning riktlinjer och rutiner som måste följas varje gång personuppgifter samlas in. Redan när personuppgifterna görs tillgängliga bör organisationen ha en plan för när de ska raderas igen och hur detta ska göras och bekräftas i systemet.
Organisatoriska överväganden för raderingspolicyer kan innebära att man tar itu med följande frågor:
- Hur säkerställer man att systemen kontinuerligt kontrolleras för information som har nått sin raderingsdeadline?
- Vem är ansvarig för att initiera raderingen?
- Hur följer man upp att raderingen har genomförts enligt regelverket?
- Ska raderingen ske manuellt eller automatiskt?
- Hur mycket av uppgifterna ska raderas?
Den sista punkten - hur mycket av uppgifterna som ska raderas - är relevant eftersom det är möjligt att behålla uppgifter så länge de inte är personligt identifierbara.
Uppföljning och säkerhetskopiering
Det kan vara frestande att lita på att det system du har utvecklat för radering av uppgifter fungerar som det är tänkt och att personuppgifterna raderas som planerat utan fel. Det är dock rekommenderat att införe en rutin för att följa upp raderingen.
Uppföljningen kan t.ex. innebära en genomgång av tekniska loggar från raderingar, automatisk extrahering av data för manuell granskning, etc.
Samtidigt är det viktigt att vara medveten om att personuppgifter kan komma att lagras i en säkerhetskopia. Hela syftet med en säkerhetskopia är att kunna återställa uppgifter om uppgifter i ett verksamhetssystem går förlorade. Som personuppgiftsansvarig måste du därför överväga hur de uppgifter som lagras i en säkerhetskopia ska raderas om motsvarande uppgifter raderas från ett operativt system.
Om det är tekniskt möjligt bör personuppgifterna raderas från säkerhetskopian samtidigt som de raderas från det operativa systemet. Om detta inte är möjligt bör man föra en logg över raderingarna så att de kan tas bort om en säkerhetskopia återställs.
4 tips för att skapa en policy för radering
Radering av data är en viktig del av GDPR. Din organisation kan dra nytta av att skapa en raderingspolicy och rutiner för löpande radering av data. På så sätt säkerställer du att du inte oavsiktligt behåller data som borde ha raderats.
Nedan har vi samlat fyra konkreta tips på hur din organisation kan börja arbeta med raderingspolicyer.
- Fundera över syftet med att lagra respektive personuppgift så att du har en riktlinje för när den ska raderas.
- Kontrollera om det finns minimikrav för hur länge ni behöver spara specifika uppgifter.
- Upprätta ett tydligt förfarande för hur personuppgifter raderas och hur raderingen därefter dokumenteras.
- Överväg att inkludera ett uppföljningsförfarande i raderingspolicyn för att säkerställa att raderingen är fullständig och görs på rätt sätt.
LÄS OCKSÅ: Utnyttja affärsvärdet av GDPR