GDPR – Opbevaring af data

GDPR blev indført den 25. maj i 2018. GDPR, som står for General Data Protection Regulation, er EU's persondataforordning, der fastsætter regler for virksomheders opbevaring af data om bl.a. kunder og ansatte.

Så længe må data gemmes

Mange stiller spørgsmålet: ”Med GDPR, hvor længe må man gemme data?” Lovgivningen fra persondataforordningen har dog ikke fastsat et konkret tidsrum. Hvor længe GDPR tillader opbevaring af data, afhænger nemlig af den konkrete situation. De gældende regler for, hvor længe data må gemmes, er nemlig, at opbevaring af data er tilladt, så længe den angivne data er nødvendig for, at virksomheden kan udføre ej job. Når dette ikke længere er tilfældet, skal dataene enten slettes eller anonymiseres. Det er dertil heller ej tilladt at lagre data på kunder, ansatte eller andre med henblik på at bruge det i fremtiden, hvis ikke det er relevant på det gældende tidspunkt.

Håndter jeres data korrekt, og beskyt jeres brugere

Ifølge GDPR må data lagres så længe, I har et udtrykkeligt samtykke fra jeres subscribers, kunder, ansatte mv., og så længe dataene er nødvendige for udførelsen af et job. Der er mange grunde til, at det er vigtigt, at I som virksomhed har styr på, hvor længe I må gemme data. Dels fordi, at I som organisation, der ikke opfylder GDPR kan risikere bøder på op til 4% af jeres årlige omsætning, men særligt også for at beskytte personoplysninger. Derfor pålægger GDPR også data-behandlere ansvaret for at udbyde dataansvarlige, som skal sikre korrekt opbevaring af data, og at dataene opfylder de gældende regler i GDPR.

Når jeres lagrede persondata ikke længere kan opbevares lovligt efter retningslinjerne, skal de, som sagt, anonymiseres. For at data er korrekt anonymiseret, skal det være uigenkendeligt, hvem de pågældende data tilhører eller kommer fra. Kan dataene føres tilbage til den fysiske person, betragtes de ikke som anonymiserede og vil derfor ikke leve op til GDPR, hvis virksomheden ikke længere har noget konkret at bruge dataene til.

Disse regler skal du kende om GDPR

Indførelsen af GDPR medførte en lang række nye regler for opbevaring af data, som kan være svære for mange virksomheder at holde styr på. Nogle af de vigtigste regler, som I skal kende fra GDPR er blandt andet:

  • Individer har ret til at blive glemt. Det betyder også, at selvom en person har givet samtykke til opbevaring af deres data, har de ret til at få denne data slettet eller anonymiseret på et senere tidspunkt. Der er dog enkelte undtagelser til denne regel, herunder at der skal tages hensyn til ytringsfrihed, videnskabelig og historisk forskning, offentlighedens sundhedsinteresse og juridiske anmeldelser.
  • For at en virksomhed har tilladelse til at lagre persondata, skal personen have givet udtrykkeligt samtykke. Udtrykkeligt samtykke betyder, at samtykket skal gives frivilligt, specifikt, informeret og utvetydigt - med andre ord, skal personen være bevidst om, hvad vedkommende har givet samtykke til. Derfor efterlever fravalgsmodeller, hvor en person aktivt skal fjerne samtykket ikke GDPR-lovgivningen.
  • Sker der et databrud i forretningen, har organisationer ansvaret for at orientere tilsynsmyndighederne inden for de første 72 timer.

Organisationer, der ikke opfylder GDPR, risikerer bøder på op til 4 % af den årlige omsætning eller maksimalt EUR 20 mio.

 

Arbejder du med Compliance?

Overhold lovgivningen og undgå dårlig omtale