Underlåtenhet att följa lagringstiderna resulterade i en bot på 1,75 miljoner euro
Efter en tillsynsinspektion fann den franska dataskyddsmyndigheten att ett stort försäkringsbolag lagrade personuppgifter längre än de lagringsperioder som hade definierats. Även om företaget därefter antog en rad efterlevnadsåtgärder, ledde dess underlåtenhet att uppfylla de grundläggande skyldigheterna enligt dataskyddsreglerna till en avsevärd bot.
Enligt den så kallade lagringsbegränsningsprincipen får personuppgifter inte sparas längre än nödvändigt. Det betyder bland annat att det är nödvändigt att överväga vad syftet med att behålla uppgifterna är och att upprätta en lagringspolicy som beskriver de normala lagringsperioderna, så långt det är möjligt.
I detta fall fann den franska dataskyddsmyndigheten att ett stort försäkringsbolag, som ingick i en grupp med cirka 15 miljoner kunder, lagrade personuppgifter längre än de lagringsperioder det hade definierat. Även om företaget hade en policy hade den inte implementerats i företagets IT-system. För sina potentiella kunder hade företaget följaktligen sparat data i mer än den maximala lagringsperioden på tre år och i vissa fall sparat uppgifterna i upp till fem år. För mer än två miljoner av sina befintliga kunder hade företaget sparat data längre än de maximala lagringstiderna på fem år efter kontraktets slut. Uppgifterna som finns om befintliga kunder inkluderade bland annat känslig information om deras hälsa och hade för vissa kunder sparats i upp till 30 år.
Förutom att ha underlåtit att följa lagringsbegränsningsprincipen hade företaget också underlåtit att uppfylla sina informationsskyldigheter. Tillsammans ansågs de två överträdelserna vara sådana grundläggande kränkningar av gällande dataskyddsregler att det resulterade i en bot på 1,75 miljoner euro.
Hur definieras lämpliga lagringsperioder?
Även om data samlas lagligt och behandlas på rätt sätt, ska den inte lagras längre än nödvändigt. Genom att säkerställa effektiv radering eller anonymisering i enlighet med dess lagringspolicy kan företag därför minska risken för att det blir onödigt, föråldrat eller felaktigt.
Vid definitionen av lämpliga lagringsperioder bör tillämpliga regler om preskription eller bokföringsregler tillämpas för att definiera den lagliga maximala tidsperioden. Detta skulle i de flesta situationer göra det möjligt för företag att lagra data i tre till fem år, medan andra kategorier av data, till exempel kameraövervakningsbilder eller jobbansökningar, bara kan sparas under mycket kortare perioder. Följaktligen kommer lagringsperioderna också i stor utsträckning att bero på vilken laglig grund som tillämpades för behandling av uppgifterna i första hand.
IUNO menar
Vid utarbetande av datalagringspolicyer bör företag noga överväga syftet med att behålla sina data och balansera mer vaga formuleringar som definierar att data sparas så länge som nödvändigt och mer detaljerad information som systematiskt definierar tidsperioderna för radering eller anonymisering.
IUNO rekommenderar att företag också överväger i vilket syfte data samlades in i första hand, eftersom den tillämpade lagliga grunden i viss utsträckning kan hjälpa till att definiera effektiviserade lagringsperioder. Till exempel, om uppgifterna behandlades baserat på samtycke, bör de raderas när samtycket dras tillbaka – om inte en annan laglig grund kan tillämpas istället.
[Beslut av den franska dataskyddsmyndighetens begränsade kommitté i ärende nr. 2021-010 av den 20 juli 2021]
Enligt den så kallade lagringsbegränsningsprincipen får personuppgifter inte sparas längre än nödvändigt. Det betyder bland annat att det är nödvändigt att överväga vad syftet med att behålla uppgifterna är och att upprätta en lagringspolicy som beskriver de normala lagringsperioderna, så långt det är möjligt.
I detta fall fann den franska dataskyddsmyndigheten att ett stort försäkringsbolag, som ingick i en grupp med cirka 15 miljoner kunder, lagrade personuppgifter längre än de lagringsperioder det hade definierat. Även om företaget hade en policy hade den inte implementerats i företagets IT-system. För sina potentiella kunder hade företaget följaktligen sparat data i mer än den maximala lagringsperioden på tre år och i vissa fall sparat uppgifterna i upp till fem år. För mer än två miljoner av sina befintliga kunder hade företaget sparat data längre än de maximala lagringstiderna på fem år efter kontraktets slut. Uppgifterna som finns om befintliga kunder inkluderade bland annat känslig information om deras hälsa och hade för vissa kunder sparats i upp till 30 år.
Förutom att ha underlåtit att följa lagringsbegränsningsprincipen hade företaget också underlåtit att uppfylla sina informationsskyldigheter. Tillsammans ansågs de två överträdelserna vara sådana grundläggande kränkningar av gällande dataskyddsregler att det resulterade i en bot på 1,75 miljoner euro.
Hur definieras lämpliga lagringsperioder?
Även om data samlas lagligt och behandlas på rätt sätt, ska den inte lagras längre än nödvändigt. Genom att säkerställa effektiv radering eller anonymisering i enlighet med dess lagringspolicy kan företag därför minska risken för att det blir onödigt, föråldrat eller felaktigt.
Vid definitionen av lämpliga lagringsperioder bör tillämpliga regler om preskription eller bokföringsregler tillämpas för att definiera den lagliga maximala tidsperioden. Detta skulle i de flesta situationer göra det möjligt för företag att lagra data i tre till fem år, medan andra kategorier av data, till exempel kameraövervakningsbilder eller jobbansökningar, bara kan sparas under mycket kortare perioder. Följaktligen kommer lagringsperioderna också i stor utsträckning att bero på vilken laglig grund som tillämpades för behandling av uppgifterna i första hand.
IUNO menar
Vid utarbetande av datalagringspolicyer bör företag noga överväga syftet med att behålla sina data och balansera mer vaga formuleringar som definierar att data sparas så länge som nödvändigt och mer detaljerad information som systematiskt definierar tidsperioderna för radering eller anonymisering.
IUNO rekommenderar att företag också överväger i vilket syfte data samlades in i första hand, eftersom den tillämpade lagliga grunden i viss utsträckning kan hjälpa till att definiera effektiviserade lagringsperioder. Till exempel, om uppgifterna behandlades baserat på samtycke, bör de raderas när samtycket dras tillbaka – om inte en annan laglig grund kan tillämpas istället.
[Beslut av den franska dataskyddsmyndighetens begränsade kommitté i ärende nr. 2021-010 av den 20 juli 2021]
Liknande
Ny lag om skydd för visselblåsare på väg