GDPR kräver som sagt trygg hantering av personuppgifter från start till slut, vilket betyder att det även finns krav på själva raderingen.
Alla personuppgifter som organisationen hanterar ska vara relevanta och ha ett rättsligt skäl till att de hanteras. Det är alltså inte okej att be om personuppgifter bara för att de ”kan vara bra att ha” utan det ska finnas ett tydligt syfte.
Skulle detta syfte ändras eller att det finns annan anledning till att personaluppgifterna inte längre behövs ska dessa raderas omgående
(om det inte finns rättsliga krav på att de ska behållas, t.ex. vid redovisning).
Alla uppgifter ska då raderas på ett skyddat sätt vilket innebär att de ska förstöras på ett sådant sätt så att obehöriga ej kan få tillgång till dem – papper från pärmar ska därför förstöras i en dokumentförstörare eller slängas i en speciell soptunna med lås.
Är det istället digitala kopior ska dessa raderas på ett sådant sätt så att det ej går att återställa dem, desamma gäller t.ex. USB-minnen eller andra enheter. Kan de inte digitalt tömmas på ett säkert sätt ska hela enheten förstöras för att sedan slängas.