Allar spurningar og svör

Varðveisla og eyðing gagna

Varðveisla og eyðing gagna er vinnsla persónuupplýsinga og því taka persónuverndarlögin sérstaklega á þeim þáttum.  

Hversu lengi má almennt varðveita persónuupplýsingar?

Meginreglan er sú að ábyrgðaraðili (þ.e. fyrirtæki, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar) má ekki varðveita gögn sem innihalda persónuupplýsingar lengur en nauðsynlegt er vegna tilgangs vinnslunnar. Ábyrgðaraðili þarf að geta sýnt fram á að hann hafi eytt gögnum þegar við á.

Varðveisla gagna er vinnsla persónuupplýsinga. Því má ekki varðveita gögn ef sú heimild sem ábyrgðaraðili byggði vinnsluna á er ekki fyrir hendi lengur, t.d. ef hinn skráði dregur samþykki sitt til baka og ekki er annar lagagrundvöllur fyrir vinnslunni.

Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar.

Hvenær má varðveita upplýsingarnar lengur?

Persónuupplýsingar skulu almennt varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu. Þó er heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.

Hvaða reglur gilda um varðveislu efnis sem verður til við rafræna vöktun?

Óheimilt er að varðveita persónuupplýsingar sem verða til við rafræna vöktun (t.d. myndefni sem verður til við notkun eftirlitsmyndavéla) nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða því að ábyrgðaraðili vinni enn með þær í samræmi við upphaflegan tilgang með öflun þeirra. Upplýsingar sem verða til við rafræna vöktun má þó ekki varðveita lengur en í 30 daga nema lög heimili. Þetta á ekki við um persónuupplýsingar sem verða til við atburðaskráningu eða eru geymdar á öryggisafritum. Sama á við um upplýsingar sem nauðsynlegar eru til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

Hvenær ber ábyrgðaraðila að eyða gögnum á grundvelli beiðni einstaklings?

Umfjöllun um réttinn til að gleymast

Fáni EvrópusambandsinsVinnsla þessara spurninga og svara var styrkt af Evrópusambandinu - The European Union's Rights, Equality and Citizenship Programme (2014-2020)

Spurningarnar og svörin eru unnin af Persónuvernd sem ber fulla ábyrgð á þeim. Framkvæmdastjórn Evrópusambandsins ber enga ábyrgð á notkun þeirra upplýsinga sem svörin hafa að geyma.

Var efnið hjálplegt? Nei