Migrationsverket fick två varningar för att bland annat sakna rutin för gallring av användarloggar. Därför ansåg IMY (Integritetsskyddsmyndigheten) att risken för att personuppgifterna blir behandlade för länge förelåg. Myndigheten blev granskade av IMY gällande huruvida användningen av ett system för att utbyta personuppgifter bröt mot GDPR. IT-systemet hade otydlig dokumentation gällande bland annat gallringen enligt beslutet från IMY.
Varningar för att bland annat sakna rutin för gallring
Företag, organisationer och offentliga organ måste gallra personuppgifter när de inte längre är nödvändiga för det syfte de blev inhämtade för. Det ska ske utan onödigt dröjsmål. Det ska framgå i informationen till de registrerade när personuppgifterna ska bli gallrade, vilket är ett annat ord för ”raderade”. I detta fall gjorde IMY flera inspektioner hos Migrationsverket på plats där de ställde olika frågor gällande behandlingen. Exempelvis om ansvar gällande behandlingen av personuppgifter, biträden och om de överför personuppgifter till ett tredje land (land utan för EU/EES—länderna) m.m. Inspektionerna har bland annat innehållit stickprovkontroller av avslutade ärenden, då IT-systemet handlar om visum-ärenden där personuppgifter blir överförda mellan olika länder.
Livscykeln för personuppgifter
Det finns tre faser i livscykeln för personuppgifter. Om det går att koppla en uppgift till en fysisk levande person, är det en personuppgift. Dessutom är det skillnad på vanliga och integritetskänsliga personuppgifter samt tydliga och mindre tydliga personuppgifter. Stockholms stad fick en sanktionsavgift för att de läckt känsliga personuppgifter.
Livscykeln för personuppgifter börjar med att företaget samlar in personuppgifterna. Företaget behöver bland annat bestämma ett ändamål med behandlingen och informera den registrerade om denna. Därefter behandlar företaget personuppgifterna. Då måste företaget ha tillräckliga tekniska och organisatoriska säkerhetsåtgärder som behövs för att klara av det. I den sista fasen ska personuppgifterna bli gallrade, vilket ska ske när de inte längre är nödvändiga för det ändamål de blev inhämtade för.
