Ett företag ska utföra gallring av personuppgifter enligt GDPR. Enligt principen om lagringsminimering ska företag radera personuppgifter när de inte längre behövs. Med andra ord ska företaget radera personuppgifter när de inte längre är nödvändiga med hänsyn till syftet de blev insamlade för. Företag ska till exempel radera mejl regelbundet, då de oftast innehåller personuppgifter.
Gallring av personuppgifter i enlighet med dataskyddsförordningen
Enligt huvudregeln i GDPR, även kallad för dataskyddsförordningen, ska personuppgifter bli raderade när ändamålet inte längre är giltigt. Ett praktiskt exempel är om en kund säger upp sin tjänst, vilket innebär att förhållandet mellan kunden och företaget upphör. Vid sådana fall bör personuppgifterna bli raderade utan onödigt dröjsmål, såvida inte annat följer av tillämplig lag. Definitionen av onödigt dröjsmål varierar från fall till fall. I vissa fall kan det vara nödvändigt att lagra personuppgifter fram till dess att eventuell garantitid eller reklamationstid har löpt ut.
Om en person, vars personuppgifter blir behandlade av ett företag som exempelvis skickar nyhetsbrev ber företaget att radera uppgifterna, ska företaget göra det. Gallringen ska ske utan onödigt dröjsmål och senast en (1) månad efter begäran. Däremot finns det vid vissa särskilda undantag. Då kan företaget ha ytterligare två (2) månader på sig att genomföra begäran.
Företag har rätt att kontrollera att den person som begär att få sina personuppgifter raderade, är rätt person. Om personen till exempel skickar begäran via e-post, som inte är densamma som personen skapade sitt konto med, har företaget rätt att begära bevis på identiteten.