Manglende overholdelse av lagringsperioder resulterte i gebyr på EUR 1.75 millioner
Etter en tilsynsinspeksjon fant det franske datatilsynet at en stor forsikringsbedrift hadde lagret personopplysninger i enn lengre periode enn de opplyste lagringsperiodene bedriften selv hadde definert. Selv om bedriften senere vedtok en rekke overholdelsestiltak, utløste bedriftens manglende overholdelse av de grunnleggende forpliktelsene etter personopplysningsreglene et betydelig gebyr.
Ifølge det såkalte lagringsbegrensningsprinsippet kan ikke personopplysninger lagres lengre enn nødvendig. Dette innebærer blant annet at det er nødvendig å vurdere hva begrunnelsen for lagringen av personopplysninger er, og å sette opp en lagringspolicy som fastsetter standard lagringsprosedyrer, så vidt mulig.
I denne saken fant det franske datatilsynet at en større forsikringsbedrift, som var del av et konsern med omtrent 15 millioner kunder, lagret personopplysninger lengre enn det som var definert i lagringsperiodene. Selv om bedriften hadde en policy, hadde ikke denne blitt implementert i IT-systemet. Som konsekvens hadde bedriften lagret personopplysninger over potensielle kunder lengre enn den maksimale lagringsperioden på tre år, og hadde i noen tilfeller lagret data i opp til fem år. For over to millioner eksisterende kunder hadde bedriften lagret personopplysninger lengre enn den maksimale lagringsperioden på fem år etter kontrakten var avsluttet. De lagrede personopplysningene over eksisterende kunder inneholdt blant annet særlige kategorier av personopplysninger om deres helse, og hadde for enkelte kunder blitt lagret i opp til 30 år.
I tillegg til manglende overholdelse av lagringsbegrensningsprinsippet hadde bedriften også unnlatt å overholde sine informasjonsforpliktelser. Til sammen ble de to bruddene ansett som så grunnleggende brudd på de gjeldende personopplysningsreglene at det resulterte i et gebyr på EUR 1.75 millioner.
Hvordan defineres passende lagringsperioder?
Selv om personopplysninger innsamles lovlig og behandles rettmessig kan de ikke lagres lengre enn nødvendig. Ved å sikre effektiv sletting eller anonymisering i samsvar med bedriftens lagringspolicy kan bedriften derfor redusere risikoen for at personopplysningene blir unødvendige, utdaterte eller unøyaktige.
Når passende lagringsperioder skal defineres bør de gjeldende reglene om foreldelse eller bokholderi brukes til å definere den maksimale lagringsperioden. Dette vil i de fleste tilfeller gjøre det mulig for bedrifter å lage personopplysninger i opp til tre eller fem år, mens andre kategorier av personopplysninger, slik som videoovervåkning eller jobbsøknader kun kan lagres i en mye kortere periode. Som en følge av dette vil lagringsperioden også i stor grad avhenge av hvilket behandlingsgrunnlag som ble gjort gjeldende.
IUNO mener
Når lagringspolicyer utarbeides bør bedriften vurdere formålet med å lagre personopplysninger og balansere mellom mer vage formuleringer som definerer at personopplysninger skal lagres så lenge som nødvendig og mer detaljert informasjon som systematisk definerer tidsperioder for sletting eller anonymisering.
IUNO anbefaler at bedrifter også vurderer formålet for hvorfor personopplysningene er innsamlet, ettersom det gjeldende behandlingsgrunnlaget til en viss grad kan hjelpe med å definere sammenhengende lagringsperioder. For eksempel, når personopplysningene ble behandlet basert på samtykke bør de slettes når samtykket trekkes tilbake – med mindre et annet behandlingsgrunnlag kan brukes i stedet.
[Det franske datatilsynets begrensningskomites vedtak av 20 juli 2021 i sak 2021-010]
Ifølge det såkalte lagringsbegrensningsprinsippet kan ikke personopplysninger lagres lengre enn nødvendig. Dette innebærer blant annet at det er nødvendig å vurdere hva begrunnelsen for lagringen av personopplysninger er, og å sette opp en lagringspolicy som fastsetter standard lagringsprosedyrer, så vidt mulig.
I denne saken fant det franske datatilsynet at en større forsikringsbedrift, som var del av et konsern med omtrent 15 millioner kunder, lagret personopplysninger lengre enn det som var definert i lagringsperiodene. Selv om bedriften hadde en policy, hadde ikke denne blitt implementert i IT-systemet. Som konsekvens hadde bedriften lagret personopplysninger over potensielle kunder lengre enn den maksimale lagringsperioden på tre år, og hadde i noen tilfeller lagret data i opp til fem år. For over to millioner eksisterende kunder hadde bedriften lagret personopplysninger lengre enn den maksimale lagringsperioden på fem år etter kontrakten var avsluttet. De lagrede personopplysningene over eksisterende kunder inneholdt blant annet særlige kategorier av personopplysninger om deres helse, og hadde for enkelte kunder blitt lagret i opp til 30 år.
I tillegg til manglende overholdelse av lagringsbegrensningsprinsippet hadde bedriften også unnlatt å overholde sine informasjonsforpliktelser. Til sammen ble de to bruddene ansett som så grunnleggende brudd på de gjeldende personopplysningsreglene at det resulterte i et gebyr på EUR 1.75 millioner.
Hvordan defineres passende lagringsperioder?
Selv om personopplysninger innsamles lovlig og behandles rettmessig kan de ikke lagres lengre enn nødvendig. Ved å sikre effektiv sletting eller anonymisering i samsvar med bedriftens lagringspolicy kan bedriften derfor redusere risikoen for at personopplysningene blir unødvendige, utdaterte eller unøyaktige.
Når passende lagringsperioder skal defineres bør de gjeldende reglene om foreldelse eller bokholderi brukes til å definere den maksimale lagringsperioden. Dette vil i de fleste tilfeller gjøre det mulig for bedrifter å lage personopplysninger i opp til tre eller fem år, mens andre kategorier av personopplysninger, slik som videoovervåkning eller jobbsøknader kun kan lagres i en mye kortere periode. Som en følge av dette vil lagringsperioden også i stor grad avhenge av hvilket behandlingsgrunnlag som ble gjort gjeldende.
IUNO mener
Når lagringspolicyer utarbeides bør bedriften vurdere formålet med å lagre personopplysninger og balansere mellom mer vage formuleringer som definerer at personopplysninger skal lagres så lenge som nødvendig og mer detaljert informasjon som systematisk definerer tidsperioder for sletting eller anonymisering.
IUNO anbefaler at bedrifter også vurderer formålet for hvorfor personopplysningene er innsamlet, ettersom det gjeldende behandlingsgrunnlaget til en viss grad kan hjelpe med å definere sammenhengende lagringsperioder. For eksempel, når personopplysningene ble behandlet basert på samtykke bør de slettes når samtykket trekkes tilbake – med mindre et annet behandlingsgrunnlag kan brukes i stedet.
[Det franske datatilsynets begrensningskomites vedtak av 20 juli 2021 i sak 2021-010]
Motta nyhetsbrevet vårt
