NO
Teknologi

Manglende overholdelse av lagringsperioder resulterte i gebyr på EUR 1.75 millioner

logo
Jusnytt
calendar 9 september 2021
globus Norge, Sverige, Danmark

Etter en tilsynsinspeksjon fant det franske datatilsynet at en stor forsikringsbedrift hadde lagret personopplysninger i enn lengre periode enn de opplyste lagringsperiodene bedriften selv hadde definert. Selv om bedriften senere vedtok en rekke overholdelsestiltak, utløste bedriftens manglende overholdelse av de grunnleggende forpliktelsene etter personopplysningsreglene et betydelig gebyr.

Ifølge det såkalte lagringsbegrensningsprinsippet kan ikke personopplysninger lagres lengre enn nødvendig. Dette innebærer blant annet at det er nødvendig å vurdere hva begrunnelsen for lagringen av personopplysninger er, og å sette opp en lagringspolicy som fastsetter standard lagringsprosedyrer, så vidt mulig.

I denne saken fant det franske datatilsynet at en større forsikringsbedrift, som var del av et konsern med omtrent 15 millioner kunder, lagret personopplysninger lengre enn det som var definert i lagringsperiodene. Selv om bedriften hadde en policy, hadde ikke denne blitt implementert i IT-systemet. Som konsekvens hadde bedriften lagret personopplysninger over potensielle kunder lengre enn den maksimale lagringsperioden på tre år, og hadde i noen tilfeller lagret data i opp til fem år. For over to millioner eksisterende kunder hadde bedriften lagret personopplysninger lengre enn den maksimale lagringsperioden på fem år etter kontrakten var avsluttet. De lagrede personopplysningene over eksisterende kunder inneholdt blant annet særlige kategorier av personopplysninger om deres helse, og hadde for enkelte kunder blitt lagret i opp til 30 år.

I tillegg til manglende overholdelse av lagringsbegrensningsprinsippet hadde bedriften også unnlatt å overholde sine informasjonsforpliktelser. Til sammen ble de to bruddene ansett som så grunnleggende brudd på de gjeldende personopplysningsreglene at det resulterte i et gebyr på EUR 1.75 millioner.

Hvordan defineres passende lagringsperioder?

Selv om personopplysninger innsamles lovlig og behandles rettmessig kan de ikke lagres lengre enn nødvendig. Ved å sikre effektiv sletting eller anonymisering i samsvar med bedriftens lagringspolicy kan bedriften derfor redusere risikoen for at personopplysningene blir unødvendige, utdaterte eller unøyaktige.

Når passende lagringsperioder skal defineres bør de gjeldende reglene om foreldelse eller bokholderi brukes til å definere den maksimale lagringsperioden. Dette vil i de fleste tilfeller gjøre det mulig for bedrifter å lage personopplysninger i opp til tre eller fem år, mens andre kategorier av personopplysninger, slik som videoovervåkning eller jobbsøknader kun kan lagres i en mye kortere periode. Som en følge av dette vil lagringsperioden også i stor grad avhenge av hvilket behandlingsgrunnlag som ble gjort gjeldende.

IUNO mener

Når lagringspolicyer utarbeides bør bedriften vurdere formålet med å lagre personopplysninger og balansere mellom mer vage formuleringer som definerer at personopplysninger skal lagres så lenge som nødvendig og mer detaljert informasjon som systematisk definerer tidsperioder for sletting eller anonymisering.

IUNO anbefaler at bedrifter også vurderer formålet for hvorfor personopplysningene er innsamlet, ettersom det gjeldende behandlingsgrunnlaget til en viss grad kan hjelpe med å definere sammenhengende lagringsperioder. For eksempel, når personopplysningene ble behandlet basert på samtykke bør de slettes når samtykket trekkes tilbake – med mindre et annet behandlingsgrunnlag kan brukes i stedet.

[Det franske datatilsynets begrensningskomites vedtak av 20 juli 2021 i sak 2021-010]

Ifølge det såkalte lagringsbegrensningsprinsippet kan ikke personopplysninger lagres lengre enn nødvendig. Dette innebærer blant annet at det er nødvendig å vurdere hva begrunnelsen for lagringen av personopplysninger er, og å sette opp en lagringspolicy som fastsetter standard lagringsprosedyrer, så vidt mulig.

I denne saken fant det franske datatilsynet at en større forsikringsbedrift, som var del av et konsern med omtrent 15 millioner kunder, lagret personopplysninger lengre enn det som var definert i lagringsperiodene. Selv om bedriften hadde en policy, hadde ikke denne blitt implementert i IT-systemet. Som konsekvens hadde bedriften lagret personopplysninger over potensielle kunder lengre enn den maksimale lagringsperioden på tre år, og hadde i noen tilfeller lagret data i opp til fem år. For over to millioner eksisterende kunder hadde bedriften lagret personopplysninger lengre enn den maksimale lagringsperioden på fem år etter kontrakten var avsluttet. De lagrede personopplysningene over eksisterende kunder inneholdt blant annet særlige kategorier av personopplysninger om deres helse, og hadde for enkelte kunder blitt lagret i opp til 30 år.

I tillegg til manglende overholdelse av lagringsbegrensningsprinsippet hadde bedriften også unnlatt å overholde sine informasjonsforpliktelser. Til sammen ble de to bruddene ansett som så grunnleggende brudd på de gjeldende personopplysningsreglene at det resulterte i et gebyr på EUR 1.75 millioner.

Hvordan defineres passende lagringsperioder?

Selv om personopplysninger innsamles lovlig og behandles rettmessig kan de ikke lagres lengre enn nødvendig. Ved å sikre effektiv sletting eller anonymisering i samsvar med bedriftens lagringspolicy kan bedriften derfor redusere risikoen for at personopplysningene blir unødvendige, utdaterte eller unøyaktige.

Når passende lagringsperioder skal defineres bør de gjeldende reglene om foreldelse eller bokholderi brukes til å definere den maksimale lagringsperioden. Dette vil i de fleste tilfeller gjøre det mulig for bedrifter å lage personopplysninger i opp til tre eller fem år, mens andre kategorier av personopplysninger, slik som videoovervåkning eller jobbsøknader kun kan lagres i en mye kortere periode. Som en følge av dette vil lagringsperioden også i stor grad avhenge av hvilket behandlingsgrunnlag som ble gjort gjeldende.

IUNO mener

Når lagringspolicyer utarbeides bør bedriften vurdere formålet med å lagre personopplysninger og balansere mellom mer vage formuleringer som definerer at personopplysninger skal lagres så lenge som nødvendig og mer detaljert informasjon som systematisk definerer tidsperioder for sletting eller anonymisering.

IUNO anbefaler at bedrifter også vurderer formålet for hvorfor personopplysningene er innsamlet, ettersom det gjeldende behandlingsgrunnlaget til en viss grad kan hjelpe med å definere sammenhengende lagringsperioder. For eksempel, når personopplysningene ble behandlet basert på samtykke bør de slettes når samtykket trekkes tilbake – med mindre et annet behandlingsgrunnlag kan brukes i stedet.

[Det franske datatilsynets begrensningskomites vedtak av 20 juli 2021 i sak 2021-010]

Motta nyhetsbrevet vårt

Anders

Etgen Reitz

Partner

Lignende

logo
Teknologi

14 september 2023

Fristen for etablering av varslingsordning for mellomstore virksomheter nærmer seg

logo
Teknologi

15 juni 2023

Løfter blir gitt for å bli holdt

logo
Teknologi

13 april 2023

En dyr forsinkelse

logo
Teknologi

26 januar 2023

Personvernombud på tvers av Norden

logo
Teknologi

31 mai 2022

Manglende informasjon til aksjonærer var brudd på personvernsreglene

logo
Teknologi

31 mars 2022

24/7 kameraovervåkning på arbeidsplassen var et brudd på personvernreglene

Laget

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (permisjon)