Hvor længe må man opbevare persondata? Få svaret HER!
Hvor længe må man opbevare persondata? I forbindelse med GDPR og Persondataforordningen er der mange, der spørger til, hvor længe man må opbevare personoplysninger. For eksempel omkring opbevaring af ansættelseskontrakter og ansøgninger. I denne artikel kan du læse om reglerne i forordningen og GDPR.
Læs herunder mere om, hvor længe man må opbevare persondata.
Hvor længe må man opbevare persondata?
I forbindelse med GDPR, Persondataforordningen, persondataloven osv. spørger mange: "Hvor længe må man opbevare persondata? Hvordan er reglerne for opbevaring af persondata?"
Det korte svar er, at du må opbevare persondata så længe, at du:
- har en "lovhjemmel" (har fået lov til det fx med samtykke, eller fordi det står i loven), og
- du har et "legitimt formål" med opbevaringen
Hvis du ikke længere har en lovhjemmel eller legitimt formål, skal du slette persondataen. Hvis du har en e-mail fra en tidligere kunde, som du ikke har haft kontakt med i de sidste 10 år, og kunden heller ikke har købt noget i denne periode, vil du i princippet skulle slette e-mailen.
Lad os se lidt nærmere på, hvad der menes med "lovhjemmel" og "legitimt formål".
1. Lovhjemmel
Du må kun 'behandle' persondata, hvis du har lovhjemmel til det.
Du må derfor kun opbevare personoplysninger, hvis du har en lovhjemmel. Lovhjemlen kaldes også for et 'behandlingsgrundlag'. Lovhjemmel er normalt ét af følgende 4:
- Samtykke (har fået lov fra personen til at opbevare det)
- Det står i loven (du er nødt til at opbevare data for at kunne overholde en lov)
- Det er nødvendigt for at kunne overholde en kontrakt/aftale (du er nødt til at opbevare data for at kunne overholde en aftale fx med en kunde) eller
- Du har en legitim interesse (din interesse i at opbevare oplysningerne vægter tungere end personens interesse i, at oplysningerne bliver slettet)
Du skal have én af ovenstående 'lovhjemler' for at få lov til at opbevare persondataerne.
Hvis du har fået samtykke, er det vigtigt, at samtykket lever op til GDPRs krav til et samtykke. Det betyder, at samtykket skal være frivilligt, specifikt, informeret og utvetydigt. Hvis du har brug for nærmere rådgivning omkring, om dit samtykke lever op til kravene i GDPR, er du altid velkommen til at kontakte os.
I nogle tilfælde vil det stå i loven, at du skal opbevare persondata. Det er for eksempel tilfældet med bogføringsloven, hvor du skal opbevare en række oplysninger såsom navn og adresse på kunder i 5 år. I dette tilfælde kan du lovligt efter reglerne i GDPR gemme oplysningerne i 5 år.
Det kan også være, at det er nødvendigt for dig at behandle oplysningerne for at kunne overholde en kontrakt eller en aftale. Hvis en kunder køber noget hos dig, kan det være nødvendigt med en e-mailkorrespondance med kunden for at kunne finde ud af, hvad kunden vil købe, hvor kunden vil have det leveret til eller lignende. I så fald må du gerne behandle disse oplysninger (have personoplysninger i mailkorrespondancen osv.).
En del bliver lidt forvirret over 'den legitime interesse'. Helt konkret betyder det, at du skal kunne redegøre for, at du har en større interesse i at opbevare oplysningerne, end personens interesse i at få dem slettet. Det er også dette, man kalder for en interesseafvejning. Hvis du benytter denne lovhjemmel, skal du være sikker på, at du i din dokumentation til Datatilsynet (også kaldet artikel 30 fortegnelse) argumenterer for din interesseafvejning.
2. Legitimt formål
Udover at du skal have lov til at opbevare dataerne, så står der også i GDPR, at du skal have et 'legitimt formål'.
Det betyder, at udover at have en lovhjemmel til at opbevare oplysninger - altså have fået lov - skal du også have et formål med at blive ved med at opbevare dataerne. Du kan godt have et legitimt formål, når du indsamler dataerne, men måske har du ikke et legitimt formål længere efter 3 år?
Eksempel: Hvis din virksomhed modtager uopfordrede jobansøgninger, vil du højst have et legitimt formål med at opbevare ansøgningerne i ca. 1 år. Efter 1 år er sandsynligheden for, at ansøgeren stadig er ledig lav, og derfor vil du have svært ved at have et legitimt formål med at opbevare jobansøgningen.
Det er derfor altid en konkret vurdering.
Hvis det vurderes, at du ikke længere har et legitimt formål med at opbevare oplysningerne, skal oplysningerne slettes.
Helt konkret skal du skrive slettefristerne ned i din artikel 30-fortegnelse eller lignende dokumentation til Datatilsynet og derefter overholde disse frister.
Læs mere om sletning af persondata herunder.
Sletning af persondata
Som nævnt er det vigtigt, at virksomheden får indført procedurer sletning af persondata og får skrevet dette ind i dokumentationen til Datatilsynet.
Der står i artikel 30, stk. 1, litra f, at fortegnelsen til Datatilsynet skal indeholde:
"hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger"
Du skal derfor sørge for at skrive en slettefrist ned.
Men en ting er at skrive ned, hvornår der skal ske sletning af persondata i et dokument til Datatilsynet, noget andet er, om det så rent faktisk bliver gjort.
Det er nødvendigt at oplyse medarbejdere om, at personoplysningerne skal slettes inden for fristen. Derfor vil det oftest være nødvendigt at oprette en politik for sletning. Hvis det drejer sig om sletning af e-mails, skal der for eksempel laves en e-mailpolitik, der beskriver, hvornår e-mails skal slettes.
Dermed kan ledelsen bedre sikre sig, at medarbejderne rent faktisk også overholder slettefristerne.
Hvor lang tid må man gemme ansøgninger?
Som nævnt tidligere må du kun opbevare personoplysninger, når du:
- har en "lovhjemmel" (har fået lov til det fx med samtykke, eller fordi det står i loven), og
- du har et "legitimt formål" med opbevaringen
Hvis du modtager ansøgninger, må du opbevare dem, fordi du har en legitim interesse i at opbevare dem.
Her bruges altså den såkaldte 'interesseafvejningsregel'. Ud fra en interesseafvejning vægtes din interesse i at behandle personoplysningerne tungere end den registreredes interesse i, at du ikke behandler personoplysningerne.
Hvis du modtager en ansøgning, har du en interesse i at kunne vurdere, om ansøgeren kunne være den rette til en potentielt stilling.
Ansøgerens interesse i at I ikke opbevarer ansøgerens personoplysninger er meget lille, fordi ansøgeren har sendt ansøgningen med det formål at kunne blive vurderet til en stilling.
Derfor vejer jeres interesse i at opbevare personoplysninger tungere end ansøgerens interesse i at blive slettet, og I kan derfor bruge "legitim interesse" som lovhjemmel.
Derudover skal I have et legitimt formål. Jeres legitime formål er at kunne vurdere, om ansøgeren er egnet til en stilling hos jer.
Dog vil nok ikke have det samme legitime formål efter over 1 år. På dette tidspunkt har ansøgeren højst sandsynlig fundet et andet job eller lignende. Derfor har I ikke samme legitime interesse, som lige da I havde modtaget ansøgningen.
Så for lige at opsummere på besvarelsen af spørgsmålet om, hvor lang tid I må gemme ansøgninger:
- I må gemme ansøgningerne, så længe I har lovhjemmel og legitimt formål
- I vil have lovhjemmel i form af 'legitim interesse'
- I vil have et legitimt formål i 6-12 måneder efter modtagelsen af ansøgningen
- Ansøgningen skal derfor slettes efter maksimalt 12 måneder
Vær desuden opmærksom på reglerne om følsomme personoplysninger. Udgangspunktet er, at det er forbudt af behandle sådanne oplysninger.
Hvis der for eksempel står, at en ansøger er homoseksuel, vil det være ulovlig behandling af personoplysninger, og I skal derfor slette, medmindre I for eksempel har fået samtykke til at behandle følsomme oplysninger fra ansøgeren.
Følsomme personoplysninger er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
Hvor længe skal man gemme ansættelseskontrakter?
Hvor længe skal man gemme ansættelseskontrakter?
Mange spørger: "Hvor længe skal man gemme ansættelseskontrakter?"
Efter GDPR fik virkning 25. maj 2018, var der mange, der tænkte, at det var bedst at slette så meget som muligt.
Men faktisk er ansættelseskontrakter et godt eksempel på, at man lige skal tænke sig om en ekstra gang og ikke uberettiget slette personoplysninger.
Hvis der opstår en sag om et retskrav eller lignende fra en ansat eller tidligere ansat, skal I kunne imødekomme tvisten. I skal kunne imødekomme sager, indtil de forælder. Når en sag forælder betyder det, at der er gået for lang tid efter hændelsen til, at for eksempel en medarbejder kan starte en retssag eller lignende.
Der står i forældelseslovens § 5:
"§ 4. Forældelsesfristen er 5 år ved fordringer, som støttes på aftale om udførelse af arbejde som led i et ansættelsesforhold."
Normalt skal I derfor gemme ansættelseskontrakten i op til 5 år efter fratrædelse.
Brug for mere hjælp til hvor længe må man opbevare persondata og GDPR?
Har du brug for mere hjælp til spørgsmål: "Hvor længe må man opbevare persondata?"
Eller bare spørgsmål generelt til GDPR?
Så kan vi her på Persondatakonsulenterne.dk hjælpe dig. Vi kan hjælpe dig med alt inden for GDPR og Persondataforordningen. Både i forhold til rådgivning om, hvor længe du må opbevare persondata, men også compliance-forløb, workshops, foredrag eller hjælpe til som ekstern DPO.
Du kan kontakte os herunder for at høre nærmere om, hvordan vi kan hjælpe dig:
Kontakt os her for at høre nærmere
DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.
Skrevet af: Lars Due Nielsen
Sådan registrerer du lovligt information om gæster på din restaurant under Corona