Företag ska inte behandla fler personuppgifter än nödvändigt för ändamålet de blev insamlade för. Dessutom ska företaget radera eller anonymisera personuppgifterna när de inte längre är nödvändiga för ändamålet de blev insamlade för. Detta är även kallat för gallring av personuppgifter. Däremot finns det några undantag från denna huvudregel. Till exempel kan det vara tillåtet för företag att behandla personuppgifter under en längre tid, om det sker för statistiska ändamål eller arkivändamål av allmänt intresse.
Enligt GDPR ska företag inte behandla fler personuppgifter än nödvändigt
Enligt principen om uppgiftsminimering ska man inte behandla fler personuppgifter än nödvändigt. Detta utgör en av de sju grundläggande dataskyddsprinciperna som alla företag ska följa vid behandling av personuppgifter. Det är exempelvis otillåtet att samla in personuppgifter för att de kan vara “bra att ha i framtiden”, när behovet inte är bestämt vid tidpunkten för insamlingen. Kort sagt innebär principen att företag inte ska samla in några onödiga personuppgifter. Företag ska alltså sträva efter att minimera mängden personuppgifter som blir insamlade.
Principen om lagringsminimering är ytterligare en grundläggande dataskyddsprincip som företag ska följa. Den innebär kort sagt att företag ska radera personuppgifter när de inte längre är nödvändiga att behandla för det ursprungliga ändamålet. Personuppgifter får med andra ord inte bli lagrade hur länge som helst. Däremot är det tillåtet att anonymisera personuppgifterna istället för att radera dem, om företaget vill spara annan data än personuppgifterna i fråga.
För att följa principen om lagringsminimericg, bör företag ha dokumenterade interna rutiner för gallring av personuppgifter. Till exempel att företaget säkerställer att personuppgifter blir raderade ett visst datum varje år. Observera att företag måste spara vissa dokument som innehåller personuppgifter enligt lag, såsom fakturor enligt bokföringslagen. Vid sådana fall ska företaget spara fakturorna under den tid som lagen kräver, för att inte bryta mot lagen.
Fler dataskyddsprinciper enligt GDPR som företag ska följa
De andra grundläggande dataskyddsprinciperna som företag behöver följa är principerna om:
– Laglighet, korrekthet och öppenhet.
– Ändamålsbegränsning.
– Riktighet.
– Integritet och konfidentialitet.
– Ansvarsskyldighet.
Dataskyddsprinciperna genomsyrar hela dataskyddsförordningen och framgår i artikel 5 GDPR.
