En vanlig fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det går inte att ange en bestämd tidsgräns för all form av personuppgiftsbehandling. Därför kommer vi i detta blogginlägg gå igenom olika riktmärken och tips för att ni ska kunna avgöra hur länge ni har möjlighet att spara en viss typ av personuppgifter.
Lagstöd och syfte
Inledningsvis är det bra att konstatera att det alltid krävs ett lagstöd och ett syfte för att behandla personuppgifter. Lagstöden kan ni läsa mer om här. ”Livslängden” på personuppgifterna styrs utifrån ändamålet och lagstödet med personuppgiftsbehandlingarna och utgör därför väsentliga faktorer för att avgöra hur länge ni får spara personuppgifterna. Det blir en bedömning i varje enskilt fall, som har två olika delar.
Bedömning i två steg
Viktigt att komma ihåg är att vi utgår från lagringsminimineringsprincipen i artikel 5.1.e GDPR, som stadgar att ni får endast spara personuppgifterna så länge som det är nödvändigt för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte behövs för ändamålet, d.v.s. ändamålet med personuppgiftsbehandlingen är uppfyllt, bör ni radera eller anonymisera dem. I vissa situationer har ni dock en skyldighet att fortsatt spara personuppgifterna. Sådan skyldighet föreligger enligt många lagar, exempelvis arkivlagen och bokföringslagen. Detta innebär att personuppgifterna även fortsättningsvis ska sparas, men med ett annat syfte och ett annat lagstöd än tidigare. Samma personuppgifter behandlas, men i en annan personuppgiftsbehandling än den ursprungliga.
Det finns alltså en skillnad mellan behandlingstiden för en personuppgiftsbehandling och en tid för personuppgifterna i sig. Det ska göras en bedömning i två steg.
Det första steget utgår från personuppgiftsbehandlingen. När förutsättningar för ett syfte inte längre föreligger, t.ex. ett avtal upphört eller ett samtycke blivit återkallat, ska behandlingen upphöra.
Det andra steget innebär att ni ska ta ställning till om personuppgifterna i den avslutade behandlingen kan eller ska fortsätta behandlas men med ett annat syfte och eventuellt lagstöd. Det kan vara att det finns en rättslig skyldighet för er att fortsätta behandla uppgifterna. Det är samma personuppgifter som behandlas men inom en annan personuppgiftsbehandling.
Kortfattat: En personuppgiftsbehandling kan upphöra men det innebär inte per automatik att personuppgifterna ska raderas. Personuppgifterna kan komma att behandlas i en annan personuppgiftsbehandling, med ett annat lagstöd och ändamål.
Exempel på hur länge personuppgifter kan sparas
Uppgifter om anställdas allergier: om uppgifter om eventuella allergier sparas med lagstödet samtycke är det viktigt att tänka på att uppgifterna måste raderas om den anställde tar tillbaka sitt samtycke. Lagringstiden påverkas därmed inte enbart av vad syftet med behandlingen är utan även av den enskildes vilja. För denna behandling finns det troligtvis inte någon annan rättslig grund för fortsatt behandling (efter att det ursprungliga syftet, exempelvis en middag, uppfyllts) och därmed ska uppgifterna raderas så länge inte den registrerade samtycker till att ni spara uppgifterna för framtida tillställningar.
Anställd som slutar: om en anställd slutat i er verksamhet är det inte lämpligt att radera alla personuppgifter om denne. Det finns vissa krav som är uppställda i lag att ta hänsyn till, vissa uppgifter kan behöva sparas enligt exempelvis lagen om anställningsskydd (LAS) eller för framtida pensionsutbetalningar. Det kan även finnas ett syfte med att spara uppgifter för att kunna utfärda ett arbetsgivarintyg en tid efter avslutad anställning. Det är viktigt att se till att enbart de personuppgifterna som är nödvändiga för respektive fortsatt behandling är kvar och att resterande tas bort eller anonymiseras.
Uppgifter om kunder (privatpersoner): om ni sparar uppgifterna med stöd av avtalet ni ingått med en kund har ni möjlighet att spara uppgifterna så länge individen är kund hos er. Även här kan vissa lagar bli aktuella och ställa upp vissa tidsgränser för fortsatt behandling. Det kan även vara så att ni erbjuder en kundgaranti under ett visst antal år och av den anledningen behöver spara kunddata för att kontrollera köp vid ett senare tillfälle och därför finns det ett syfte med att spara uppgifterna under hela garantitiden. Det är dock viktigt att inte spara fler uppgifter än vad som är nödvändigt för avtalet.
Elektroniska körjournaler: elektroniska körjournaler kan användas för att underlätta rapporteringen till Skatteverket. Dessa kan 
sparas med stöd av lagstödet rättslig förpliktelse. Uppgifterna som samlas in i körjournalerna får då inte användas längre än vad som är nödvändigt för att uppfylla redovisningsskyldigheten. Uppgifterna får inte heller sparas för andra syften än redovisning till Skatteverket om det specifikt är lagstödet rättslig förpliktelse i form av redovisningsskyldighet till Skatteverket som används.
Rekrytering: gällande rekrytering kan det finnas ett värde i att spara ansökningshandlingar i två år efter beslut om tillsatt tjänst. Syftet med det är att rekrytering omfattas av diskrimineringslagen och preskriptionstiden för att väcka talan är två år. För att en arbetsgivare ska kunna försvara eventuella anspråk som uppkommer i samband med en rekryteringsprocess kan det därför vara bra att spara de personuppgifter som kan behövas för att motivera att diskriminering inte skett vid tillsättning av tjänsten.
Viktigt att tänka på är att ovanstående gäller för personuppgiftsansvariga. Är ni ett personuppgiftsbiträde ska det framgå av ert personuppgiftsbiträdesavtal och dess instruktion hur länge ni får behandla uppgifterna. Läs mer i vårt tidigare blogginlägg om personuppgiftsbiträdesavtal.
Sammanfattning
Ibland får ni inte radera personuppgifterna för att ni har en skyldighet att spara dem – det är därför viktigt att ha en förståelse för, och en bedömning av, vilket eller vilka lagstöd och ändamål ni har för er personuppgiftshantering, eftersom det utgör grunden för hur länge ni får eller måste behandla personuppgifterna.
Hur går ni vidare?
Vi hoppas att du fick vägledning av detta blogginlägg! Om du har några frågor gällande behandlingstider för personuppgifter eller något annat GDPR-relaterat är du välkommen att kontakta oss på 046 – 273 17 17 eller via .
GDPR Hero är ett verktyg för att dokumentera era personuppgiftsbehandlingar och ert arbete med GDPR. Boka gärna en demo av GDPR Hero idag här.
