När ska ett företag radera personuppgifter?

Fråga: Hej, när ska ett företag radera personuppgifter? I min företagsmejl har jag exempelvis mejlkonversationer med både kunder och anställda där det framgår personuppgifter. Däremot är det inga viktiga mejl som jag egentligen behöver spara och därför undrar jag när ett företag ska radera personuppgifter? 

När ska ett företag radera personuppgifter? 

Svar: Ett företag ska enligt GDPR (dataskyddsförordningen) radera personuppgifter så fort de inte längre är nödvändiga att behandla för det syfte de blev insamlade för. Företag ska därför gallra personuppgifter regelbundet. Exempelvis ska man radera sina mejl regelbundet eftersom det är personuppgifter som int behöver bli sparade under en längre tid. Däremot finns det undantag. 

Enligt vissa lagar, måste företag behandla personuppgifter under en viss tid. Exempelvis måste företag spara sina fakturor och lönespecifikationer som oftast innehåller personuppgifter i ett bestämt antal år enligt bokföringslagen

Identifiera personer som begär ut ett registerutdrag eller radering av personuppgifter 

Ett företag får identifiera personer som begär ut ett registerutdrag eller radering av personuppgifter. Begäran om utdrag eller radering av personuppgifter är några rättigheter som registrerade har enligt GDPR. Däremot står det inte reglerat hur en identifikation ska ske. Ett företag kan exempelvis neka en person som begär att få ett registerutdrag, om företaget inte kan styrka dennes identitet.

Företaget måste försäkra sig om att begäran har blivit lämnad från den registrerade personen ifråga, och inte någon annan tredje part som utger sig för att vara den registrerade. Personuppgifter ska vara skyddade från obehörig tillgång till uppgifterna.

Svar på en begäran måste bli skickad på ett sätt som företaget tidigare har haft kontakt med den registrerade. Det vill säga en känd kommunikationsväg, som företaget har kunnat fastställa är kopplad till den registrerade. Detta innebär att företaget inte ska skicka information till en e-postadress som är okänd och tidigare inte kopplad till den registrerade. Företaget har rätt att begära att den registrerade bevisar sin identitet. Exempelvis kan det ske genom att styrka identiteten med en giltig ID-handling eller liknande.