Lagringstid og GDPR

Publisert 14. januar 2022
This post thumbnail

GDPR har veldig enkle regler knyttet til lagring og sletting av personopplysninger: det er kort og godt ulovlig å lagre personopplysninger lengre enn det som er nødvendig med formålet for behandlingen. Jaha, det betyr vel at man kan lagre data så lenge man føler det er nødvendig, og det kan man jo aldri bli tatt for, eller?

Nødvendig lagringstid

Det er riktig at du selv definerer hva som er nødvendig lagringstid for personopplysningene du behandler. Men du må også spesifisere lagringstid i behandlingsoversikten. Det vil si at for alle behandlinger du har må du oppgi hvor lang tid du skal lagre dataene. Dette må være et konkret tidsintervall i uker/måneder/år, noe som betyr at du ikke kan skrive "så lenge som nødvendig". Dette er fordi du skal alltid ta stilling til hvor lenge det er nødvendig å lagre alle personopplysninger du behandler. Du må også kunne dokumentere at behovet for å lagre dataene så lenge du ønsker er reelt. Du kan ikke skrive at du lagrer data i 10 år dersom du ikke kan dokumentere et reelt behov. Her må du også balansere din virksomhets behov opp mot brukeren/kundens behov for personvern. I de aller fleste tilfeller er det slik at jo eldre dataen er jo mindre relevant er den for virksomheten, og på et tidspunkt er det klart at behovet til virksomheten er mindre enn hensynet til personvernet til den registrerte kunden/brukeren.

Sletterutiner og kontroll

Du bør også kunne vise til kontroll- og sletterutiner som sikrer at personopplysninger blir slettet når du skal i henhold til virksomhetens behandlingsoversikt. Den beste rutinen er selvsagt å implementere automatiserte sletterutiner, men det er ikke et krav, sletterutiner kan også være manuelle.

© 2022 GDPRControl. Av Anders Svensson og Jan Ove Skogheim.