Hvor længe kan man opbevare personoplysninger?

En sikker opbevaring af personoplysninger er en del af en ansvarlig databehandling. Korrekt opbevaring er afgørende for at overholde databeskyttelsesregler som GDPR og i at undgå risikoen for databrud og misbrug af følsomme oplysninger. Implementering af sikkerhedstiltag og hensigtsmæssige arbejdsrutiner er med til at sikre, at personoplysninger er beskyttet. Bloggen her handler om, hvordan man som virksomhed opbevarer personoplysninger i tråd med GDPR.

Der er ingen faste tidsrammer i GDPR for, hvor længe man kan opbevare persondata. Følgende GDPR-principper er dog rettet mod jeres politik for dataopbevaring:

• Begrænsninger for dataopbevaring
• Dataminimering
• Ansvarlighed

Princippet om begrænsninger for dataopbevaring ligger i navnet. Det er beregnet til at begrænse, hvor længe virksomheder opbevarer data. Princippet omhandler, at man kun bør opbevare personoplysninger, så længe man har brug for dem til de formål, man angav på det tidspunkt, Iman indsamlede dem. Derefter skal data slettes eller anonymiseres.

Princippet om dataminimering omhandler vigtigheden af at behandle så lidt data som muligt til jeres formål. For at overholde dette princip bør man derfor med jævne mellemrum gennemgå de data, man har, og slette alt, hvad man ikke har brug for.

Ansvarlighed betyder, at man er ansvarlig for at holde styr på og beskytte alle de personlige data, man gemmer, så længe man har dem. Dokumentation, overvågning og beskyttelse af personlige data, man ikke længere har brug for, kræver tid og ressourcer. Grundlæggende er det dyrt at opbevare unødvendige data. Yderligere øger det jeres GDPR-risiko og potentielle ansvar, hvis der sker et databrud.

Opbevaringsperioden for GDPR-data kan variere afhængigt af typen af data, og hvorfor man indsamlede dem. Med de principper, der allerede er blevet nævnt, bør man stille sig selv følgende spørgsmål:

• Bruger vi stadig data til de formål, vi oprindeligt oplyste? Hvorfor indsamlede I data? Bruger I det stadig til det formål? Når dette formål er opfyldt, skal man slette data eller anonymisere dem.
• Har vi virkelig brug for alle de oplysninger, vi har indsamlet om denne person? Identificer den minimumsmængde af personlige data, I har brug for for at opfylde jeres formål. I bør beholde så meget information, men ikke mere. Vær særlig opmærksom på følsomme personoplysninger.
• Fik vi samtykke til at bruge data? Er samtykket stadig gyldigt? Har I bedt om samtykke til at bruge data? Hvis behandlingen er baseret på individuelt samtykke, opbevares kun data, så længe samtykket er gyldigt. Hvis nogen trækker sit samtykke tilbage, skal man slette data.
• Har vi brug for data for at opfylde en kontrakt? Hvis I behandler personoplysninger som en del af en kontrakt, skal I opbevare oplysningerne i kontraktens varighed. Normalt vil I også beholde den i en rimelig periode efter kontraktens udløb.
• Er vi juridisk forpligtet til at opbevare data? For eksempel kan det være nødvendigt at opbevare økonomiske optegnelser i et bestemt antal år af skattemæssige eller andre lovgivningsmæssige årsager.
• Har personen bedt os om at slette deres data? Vær klar til at slette eller anonymisere data, når nogen beder om det. Dette kaldes retten til at blive glemt, en af GDPRs 8 registrerede rettigheder.
• Er data sikre? Øger det jeres ansvar at beholde det? Husk, I er ansvarlig for at opbevare data sikkert, så længe I opbevarer dem. At holde på data længere end nødvendigt øger risikoen for databrud eller misbrug.

Her er et par mindre almindelige grunde til at retfærdiggøre opbevaring af personlige data:

• Bruger vi data til historiske, statistiske eller forskningsmæssige formål? Data, der behandles til disse formål, kan have længere opbevaringsperioder, fordi det er i offentlighedens interesse. Identificer tydeligt sådanne data, og forklar, hvorfor I beholder dem i jeres datapolitikker.
• Er det nødvendigt at opbevare data for at beskytte en persons liv? Hvis det er tilfældet, kan det være i personens vitale interesse at opbevare personoplysningerne. Dette er i sjældne tilfælde, hvor en persons helbred eller fysiske velbefindende er i umiddelbar risiko.

Sørg for at overveje alle ovenstående faktorer for at kunne vurdere, hvor længe I skal opbevare data. Vælg en passende opbevaringsperiode og angiv den i jeres datapolitik. Tjek derefter jer selv og jeres medarbejdere regelmæssigt for at sikre, at alle holder sig til det.

Man bør huske, at GDPR kun giver konteksten om opbevaring af data. Individuelle EU-medlemslande kan udfærdige deres egne dataopbevaringsregler. Man bør derfor overveje at spørge en juridisk professionel eller finde regler for dataopbevaring i det land jeres virksomhed opererer i.

Mange virksomheder er ikke klar over, hvor længe de opbevare personoplysninger. Hvis I opbevarer data for længe, efter at I ikke længere har brug for dem, risikerer I databrud og bøder. Vil I gerne finde ud af, hvor mange personlige data I gemmer, hvor I gemmer dem, og hvor længe I har haft dem?

I Safe Online har vi udviklet DataMapper til hurtigt at lave en opgørelse over en virksomheds data. Med DataMapper får I statistik for hvor gamle jeres dokumenter, mails og billeder er. Det gør jer i stand til at fokusere på data, I muligvis har opbevaret for længe.