Många företag undrar hur länge de får spara personuppgifter enligt GDPR. Svaret är enkelt: det finns ingen universell tidsgräns. Istället beror lagringstiden på varför ni samlar in uppgifterna och vilken rättslig grund ni använder. Utan klara regler riskerar ni böter och förlorat kundförtroende (och det vill ni inte).
Grundreglerna för lagring enligt GDPR
GDPR säger att ni bara får spara personuppgifter så länge det är nödvändigt för ändamålet. Det kallas lagringsminimering. Ni måste dokumentera hur länge ni sparar varje typ av uppgift, helt enkelt.
Lagringstiden beror på er rättslig grund:
- Avtalsuppfyllelse: Spara kunduppgifter så länge garantin gäller eller avtalet pågår
- Rättslig förpliktelse: Bokföringslagen kräver 7 år, penningtvättslagen 5 år
- Berättigat intresse: Radera när ni inte längre behöver uppgifterna
- Samtycke: Ange tidsperiod redan när ni frågar om tillåtelse
Er GDPR-policy måste innehålla konkreta tider, inte bara "så länge nödvändigt". Det är viktig.
Praktiska steg för er organisation
Börja med två enkla frågor: Varför samlar vi in dessa uppgifter? Vad säger lagen? Svaren ger er lagringstiden. Enkelt som det.
För kunduppgifter sparar ni dem under kundrelationen plus några år för garantin. Anställningsdata kan ni behöva i många år om en arbetstagare senare behöver ett intyg. Bokföring sparas minst 7 år enligt lag, utan undantag.
Skapa enkla rutiner:
- Gör årliga kontroller och radera gamla uppgifter
- Använd automatisk radering när det är möjligt
- Logga vad ni gör med uppgifterna
- Dokumentera allt i er GDPR-policy
Vanliga misstag är att spara uppgifter "för säkerhets skull" eller glömma att radera helt. Böter kan bli mycket höga, särskilt i lönehantering där många företag sparar för länge utan att tänka på det.
Om ni är osäkra på lagringstiden för era uppgifter, kontakta Integritetsskyddsmyndigheten (IMY) eller en GDPR-expert. Det är billigare än böterna senare, helt säkert.
Innehållet har skapats med AI-teknik. Vi uppskattar om du meddelar oss om felaktigheter.