3.6 Lagring och gallring

Det finns i princip bara en enda regel gällande lagring och gallring i Dataskyddsförordning, sett till lärosätet i stort. Detta är att personuppgifterna endast får behandlas så länge det behövs för att uppfylla det ändamål för vilka de samlades in. Så snart de avsedda personuppgifterna inte längre behövs för sitt ändamål ska de gallras. Det kan dock vara så att personuppgifterna finns på en allmän handling, vilket gör att reglerna om handlingars offentlighet tar företräde. Detta betyder att gallringsföreskrift som anger omständigheterna för gallring och arkivering gäller framför förordningens grundprincip. Om lagstiftning annars anger att behandlingen ska fortgå gäller även dessa framför denna princip. Vid tveksamhet bör universitetets arkivarier rådfrågas.

Bevarande och gallring av personuppgifter sker efter lärosätets dokumenthanteringsplan och följer de föreskrifter som Riksarkivet ålagt oss. Vad gäller själva lagringen av personuppgifter så ska dessa lagras på ett säkert sätt på universitetet, i enlighet med reglerna för Informations- och IT-säkerhet. Om en molntjänst ska användas, får endast molntjänster godkända av universitetet användas. Under alla omständigheter får endast en molntjänst användas, för att öka möjligheterna att kontrollera spridningen av personuppgifterna.

Slutligen vad gäller vem som har tillgång till uppgifterna, ska denna skara människor minimeras. Om en person inte behöver personuppgifterna för att utföra sina arbetsuppgifter, bör denne heller inte ha tillgång till dem.