Skyldur varðandi varðveislu og eyðingu persónuupplýsinga
Um heimilan varðveislutíma upplýsinga samkvæmt persónuverndarlögum
Meginreglan er sú að ábyrgðaraðili má ekki varðveita gögn sem innihalda persónuupplýsingar lengur en nauðsynlegt er.
Ábyrgðaraðili ætti að setja tímafresti varðandi eyðingu persónuupplýsinga eða reglulega endurskoðun þeirra.
Við mat á því hvort nauðsynlegt sé að varðveita gögnin, þarf að líta til þess hver sé tilgangur með varðveislunni.
Þegar sá tilgangur er ekki lengur fyrir hendi, er ekki lengur nauðsynlegt að varðveita gögnin og ber að eyða gögnunum.
Dæmi
Varðveisla upplýsinga um kennitölu einstaklings er talin nauðsynleg til að geta tryggt örugga persónugreiningu viðkomandi í tilteknu viðskiptasambandi.
Þegar því viðskiptasambandi líkur, er ekki hægt að líta svo á að varðveislan sé lengur nauðsynleg í þeim tiltekna tilgangi.
Persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar.
Persónuvernd getur jafnframt gefið fyrirmæli um eyðingu gagna og getur það valdið stjórnvaldssektum ef ekki er farið að slíkum fyrirmælum.
Heimild til að varðveita upplýsingar lengur
Persónuupplýsingar skulu almennt varðveittar í því formi að ekki sé unnt að bera kennsl á skráðan einstakling lengur en þörf krefur miðað við tilgang vinnslu.
Þó er heimilt að geyma persónuupplýsingar lengur ef varðveislan þjónar einungis:
skjalavistun í þágu almannahagsmuna,
rannsókna á sviði vísinda eða sagnfræði
eða ef hún er gerð í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.
