Lagringsminimering

Personuppgifter ska lagras enbart så länge som det är nödvändigt för användningsändamålet för uppgifterna.

Den personuppgiftsansvarige ska planera och kunna motivera lagringstider för personuppgifter. Lagringstider för personuppgifter ska också dokumenteras.

Inga exakta lagringstider för personuppgifter har fastställts i dataskyddsförordningen. Den personuppgiftsansvarige ska uppskatta lagringstiden för personuppgifter och nödvändigheten för ändamålet i fråga. Personuppgifter får lagras enbart så länge som det är nödvändigt med tanke på användningsändamålet för personuppgifterna. Den personuppgiftsansvarige ska till exempel bedöma och kunna motivera hur länge det är nödvändigt att lagra kunduppgifter efter att kundrelationen upphört. Till exempel kan kundens reklamationsmöjlighet påverka lagringstiden. 

Lagringstiden för personuppgifter kan påverkas också av den nationella lagstiftningen, som innehåller bestämmelser om lagringstiden, till exempel bokföringslagen. Den personuppgiftsansvarige ska själv beakta de lagringstider som följer av lagstiftningen.

När personuppgifter inte längre behövs, ska de anonymiseras eller raderas. Den personuppgiftsansvarige ska säkerställa att de datasystem som är i dess användning och övriga behandlingsprocesser främjar iakttagandet av lagringstider och regelbunden bedömning. Också en registrerad kan begära att den personuppgiftsansvarige raderar personuppgifter då de inte längre behövs för de syften, för vilka de samlats in eller för vilka de behandlats.

Personuppgifter får lagras längre än det ursprungliga användningsändamålet enbart då personuppgifter behandlas för

  • arkivering enligt ett allmänt intresse
  • vetenskapliga eller historiska forskningsändamål eller
  • statistiska ändamål, om skyddsåtgärderna i dataskyddsförordningen följs på behörigt sätt.

Skyddsåtgärderna ska täcka såväl tekniska som organisatoriska åtgärder, med vilka i synnerhet principen om uppgiftsminimering efterlevs. Principen om minimering förutsätter också en maximalt kort lagringstid. Personuppgifter får inte behandlas, om användningsändamålen kan uppnås med anonyma uppgifter.

Läs mer:
Den registrerades rättigheter
Visa att du iakttar dataskyddsbestämmelserna