En återkommande fråga vi får är hur länge en personuppgiftsansvarig får spara personuppgifter. Det korta svaret är ”så länge du kan motivera och rättfärdiga ditt behov av personuppgifter”. Det går alltså inte att ange en bestämd tidsgräns för all form av personuppgiftsbehandling, då tiden det är relevant att behandla personuppgifter skiljer sig åt mellan olika behandlingar. Därför kommer vi i detta blogginlägg gå igenom olika riktmärken och tips för att ni enklare ska kunna avgöra hur länge ni får spara personuppgifter. Vi kommer även gå igenom exempel som skildrar detta.
Vad är en personuppgiftsbehandling?
En av de viktigaste sakerna att lära sig med GDPR är hur man klassificerar och identifierar en personuppgiftsbehandling. Det är viktigt att veta innan vi går in på detaljerna i detta blogginlägg. GDPR definierar en behandling som allt vi gör med personuppgifter – alla åtgärder som vidtas med personuppgifter. Åtgärder som omfattas är exempelvis insamling, registerföring, strukturering, användning, överföring, lagring samt radering och förstöring. Med andra ord kan frågan ”är det lagligt att lagra dessa personuppgifter i X år” inte besvaras utan att först beskriva vad du tänker göra med uppgifterna (vilken/vilka personuppgiftsbehandling/ar).
”Allt vi gör med personuppgifter” är en bred definition och omfattar både laglig och olaglig behandling. För att göra det enklare att uppfylla kraven i GDPR definierar vi istället en laglig personuppgiftsbehandling som ”åtgärder (vad vi gör) som utförs för samma ändamål (varför vi gör det) och samma lagliga grund för ett antal personuppgifter”. Du kan läsa mer om lagliga grunder i GDPR här. Vad en olaglig personuppgiftsbehandling är hör inte till detta blogginlägg men enkelt uttryck är det när vi inte motiverar en eller flera behandlingar med ett specifikt syfte kopplat till en laglig grund (insamling, lagring, etc., utan att förklara varför).
Namn: Löneutbetalning Personuppgifter: Namn, personnummer, adress, anställningsnummer, lön, sjukfrånvaro, förmåner, kontonummer och tidsrapportering. Ändamål: Betala ut rätt lön till våra anställda och för att göra det behöver vi veta deras lön, andra förmåner och avspegla dem i tidsrapporteringen. Laglig grund: Avtal med den registrerade ska kunna fullgöras (Art. 6.1b GDPR) Tidsintervall: Tills dess att den korrekta lönen räknats ut och betalats.*
*OBS! Vissa (ibland alla) personuppgifter som används för ett specifikt ändamål lever vidare i organisationen med stöd i en annan personuppgiftsbehandling, förutsatt att du har ett annat specifikt ändamål med en matchande laglig grund (eftersom avtalet här inte längre är en giltig grund efter det att skyldigheten att betala lön i enlighet med anställningsavtalet har fullgjorts). Ett exempel på när vissa av uppgifterna lever vidare är när de utgör bevis för företagets bokföring, inte baserat på anställningsavtalet, utan på en rättslig förpliktelse i form av bokföringsskyldighet enligt lag (artikel 6.1c GDPR).
Kort sagt: När vi har identifierat olika personuppgifter som i vår organisation hanteras av samma anledning och baserat på samma lagliga grund har vi identifierat en personuppgiftsbehandling. Denna information kommer sedan att användas för att motivera hur länge vi kan (och ofta måste) behålla personuppgifterna.
Lagstöd och syfte
Inledningsvis är det bra att konstatera att det alltid krävs ett lagstöd och ett syfte för att behandla personuppgifter. Lagstöden kan ni läsa mer om här. ”Livslängden” på personuppgifterna styrs utifrån ändamålet och lagstödet med personuppgiftsbehandlingarna och utgör därför väsentliga faktorer för att avgöra hur länge ni får spara personuppgifterna. Det blir en bedömning i varje enskilt fall, som har två olika delar.
Bedömning i två steg
Viktigt att komma ihåg är att vi utgår från lagringsminimineringsprincipen i artikel 5.1.e GDPR, som stadgar att ni får endast spara personuppgifterna så länge som det är nödvändigt för ändamålet med personuppgiftsbehandlingen. När personuppgifterna inte behövs för ändamålet, d.v.s. ändamålet med personuppgiftsbehandlingen är uppfyllt, bör ni radera eller anonymisera dem. I vissa situationer har ni dock en skyldighet att fortsatt spara personuppgifterna. Sådan skyldighet föreligger enligt många lagar, exempelvis arkivlagen och bokföringslagen. Detta innebär att personuppgifterna även fortsättningsvis ska sparas, men med ett annat syfte och ett annat lagstöd än tidigare. Samma personuppgifter behandlas, men i en annan personuppgiftsbehandling än den ursprungliga.
Det finns alltså en skillnad mellan behandlingstiden för en personuppgiftsbehandling och en tid för personuppgifterna i sig. Det ska göras en bedömning i två steg.
Det första steget utgår från personuppgiftsbehandlingen. När förutsättningar för ett syfte inte längre föreligger, t.ex. ett avtal upphört eller ett samtycke blivit återkallat, ska behandlingen upphöra.
Det andra steget innebär att ni ska ta ställning till om personuppgifterna i den avslutade behandlingen kan eller ska fortsätta behandlas men med ett annat syfte och eventuellt lagstöd. Det kan vara att det finns en rättslig skyldighet för er att fortsätta behandla uppgifterna. Det är samma personuppgifter som behandlas men inom en annan personuppgiftsbehandling.
Kortfattat: En personuppgiftsbehandling kan upphöra men det innebär inte per automatik att personuppgifterna ska raderas. Personuppgifterna kan komma att behandlas i en annan personuppgiftsbehandling, med ett annat lagstöd och ändamål.
Exempel på hur länge personuppgifter kan sparas
Uppgifter om anställdas allergier: om uppgifter om eventuella allergier sparas med lagstödet samtycke är det viktigt att tänka på att uppgifterna måste raderas om den anställde tar tillbaka sitt samtycke. Lagringstiden påverkas därmed inte enbart av vad syftet med behandlingen är utan även av den enskildes vilja. För denna behandling finns det troligtvis inte någon annan rättslig grund för fortsatt behandling (efter att det ursprungliga syftet, exempelvis en middag, uppfyllts) och därmed ska uppgifterna raderas så länge inte den registrerade samtycker till att ni spara uppgifterna för framtida tillställningar.
Anställd som slutar: om en anställd slutat i er verksamhet är det inte lämpligt att radera alla personuppgifter om denne. Det finns vissa krav som är uppställda i lag att ta hänsyn till, vissa uppgifter kan behöva sparas enligt exempelvis lagen om anställningsskydd (LAS) eller för framtida pensionsutbetalningar. Det kan även finnas ett syfte med att spara uppgifter för att kunna utfärda ett arbetsgivarintyg en tid efter avslutad anställning. Det är viktigt att se till att enbart de personuppgifterna som är nödvändiga för respektive fortsatt behandling är kvar och att resterande tas bort eller anonymiseras.
Uppgifter om kunder (privatpersoner): om ni sparar uppgifterna med stöd av avtalet ni ingått med en kund har ni möjlighet att spara uppgifterna så länge individen är kund hos er. Även här kan vissa lagar bli aktuella och ställa upp vissa tidsgränser för fortsatt behandling. Det kan även vara så att ni erbjuder en kundgaranti under ett visst antal år och av den anledningen behöver spara kunddata för att kontrollera köp vid ett senare tillfälle och därför finns det ett syfte med att spara uppgifterna under hela garantitiden. Det är dock viktigt att inte spara fler uppgifter än vad som är nödvändigt för avtalet.
Elektroniska körjournaler: elektroniska körjournaler kan användas för att underlätta rapporteringen till Skatteverket. Dessa kan sparas med stöd av lagstödet rättslig förpliktelse. Uppgifterna som samlas in i körjournalerna får då inte användas längre än vad som är nödvändigt för att uppfylla redovisningsskyldigheten. Uppgifterna får inte heller sparas för andra syften än redovisning till Skatteverket om det specifikt är lagstödet rättslig förpliktelse i form av redovisningsskyldighet till Skatteverket som används.
Rekrytering: gällande rekrytering kan det finnas ett värde i att spara ansökningshandlingar i två år efter beslut om tillsatt tjänst. Syftet med det är att rekrytering omfattas av diskrimineringslagen och preskriptionstiden för att väcka talan är två år. För att en arbetsgivare ska kunna försvara eventuella anspråk som uppkommer i samband med en rekryteringsprocess kan det därför vara bra att spara de personuppgifter som kan behövas för att motivera att diskriminering inte skett vid tillsättning av tjänsten.
Viktigt att tänka på är att ovanstående gäller för personuppgiftsansvariga. Är ni ett personuppgiftsbiträde ska det framgå av ert personuppgiftsbiträdesavtal och dess instruktion hur länge ni får behandla uppgifterna. Läs mer i vårt tidigare blogginlägg om personuppgiftsbiträdesavtal.
Sammanfattning
Ibland får ni inte radera personuppgifterna för att ni har en skyldighet att spara dem – det är därför viktigt att ha en förståelse för, och en bedömning av, vilket eller vilka lagstöd och ändamål ni har för er personuppgiftshantering, eftersom det utgör grunden för hur länge ni får eller måste behandla personuppgifterna.
Hur går ni vidare?
Vi hoppas att du fick vägledning av detta blogginlägg! Om du har några frågor gällande behandlingstider för personuppgifter eller något annat GDPR-relaterat är du välkommen att kontakta oss på 046 – 273 17 17 eller via info@gdprhero.se.
GDPR Hero är ett verktyg för att dokumentera era personuppgiftsbehandlingar och ert arbete med GDPR. Boka gärna en demo av GDPR Hero idag här.