Skillnaden mellan uppgiftsminimering och lagringsminimering
Dataskyddsförordningen (GDPR) ställer tydliga krav på hur personuppgifter får hanteras. Två av de centrala principerna är uppgiftsminimering och lagringsminimering. Även om begreppen ofta blandas ihop, reglerar de olika delar av personuppgiftsbehandlingen.
Uppgiftsminimera rätt – redan vid insamling
Uppgiftsminimering innebär att ett företag bara får samla in personuppgifter som är adekvata, relevanta och nödvändiga i förhållande till det specifika syftet. Det är inte tillåtet att samla in uppgifter ”för säkerhets skull” eller för potentiell framtida användning. Principen gäller vid alla typer av insamling – via formulär, e-post, kundregister eller HR-processer.
Exempel: Om syftet är att skicka orderbekräftelser behöver man e-postadress, men inte personnummer. Verksamheter bör därför gå igenom de personuppgifter som behandlas och kontrollera att de uppfyller principen om uppgiftsminimering.
Lagringsminimering – radera i tid
Lagringsminimering innebär att personuppgifter inte får sparas längre än vad som krävs för det ändamål de samlades in för. Så snart uppgifterna inte längre är nödvändiga ska de raderas, avidentifieras eller anonymiseras. Det gäller även säkerhetskopior.
Exempel: Ett företag som tar emot jobbansökningar via e-post bör ha en fastställd lagringstid efter avslutad rekryteringsprocess. Därefter ska ansökningarna raderas.
Verksamheter behöver ha tydliga gallringsrutiner och kunna motivera lagringstider. Det är inte tillräckligt att bara hänvisa till ”administrativa skäl” – det ska finnas en konkret koppling till det ursprungliga syftet. Dokumenterade gallringsrutiner och registerförteckningar underlättar regelefterlevnad och revision.
Behöver ni hjälp med GDPR-frågor i verksamheten? Morling Consulting erbjuder konkret stöd från erfarna GDPR-jurister – vi hjälper er att granska, utveckla och implementera rutiner som uppfyller lagens krav.