Hur länge får man lagra personuppgifter enligt GDPR?

7 minuter läsning • Vilgot Sahlholm • 16 juni 2025
  1. Vad säger GDPR om lagringstid?
  2. Den rättsliga grunden för lagring – vad krävs?
  3. ”Nödvändigt för ändamålet” – hur bedömer man det?
  4. Interna policys och dokumentation av lagringstider
  5. Gallring, radering och rätten att bli bortglömd
  6. Hur påverkar andra lagar lagringstiden?
  7. Praktiska rekommendationer för företag
  8. Morling Consultings stöd i dataskyddsarbete

Hur länge får man egentligen spara personuppgifter? Det är en av de vanligaste frågorna svenska företag ställer sig vid tillämpningen av GDPR. Svaret är inte alltid enkelt, men utgångspunkten är tydlig: så länge det är nödvändigt för ändamålet och inte längre. I detta inlägg går vi igenom vad lagen säger, hur man bedömer rimlig lagringstid och hur skillnaden mellan att radera och att avsluta en behandling för visst ändamål påverkar juridiken.

Vad säger GDPR om lagringstid?

Dataskyddsförordningen (GDPR) anger att personuppgifter inte får lagras längre än vad som är nödvändigt för det syfte för vilket uppgifterna samlades in (artikel 5.1 e). Detta är en direkt tillämpning av principen om lagringsminimering, som syftar till att skydda individens integritet.
Den praktiska innebörden av detta krav är att varje personuppgiftsbehandling måste ha en definierad och dokumenterad lagringstid – eller principer för hur lagringstiden fastställs. Det är alltså inte tillåtet att lagra personuppgifter ”för säkerhets skull” eller ”ifall de behövs senare.”

Den rättsliga grunden för lagring – vad krävs?

Alla behandlingar av personuppgifter måste vila på en laglig grund enligt artikel 6 i GDPR. Det kan exempelvis vara samtycke, avtal, rättslig förpliktelse eller berättigat intresse. Denna rättsliga grund påverkar hur länge en uppgift får lagras. Exempelvis:

  • Avtal: Uppgifter får sparas så länge de behövs för att fullgöra avtalet – men inte längre.
  • Rättslig förpliktelse: Om annan lag kräver viss lagring, exempelvis bokföringslagen eller penningtvättslagen, får uppgifter sparas enligt dessa krav.
  • Berättigat intresse: Så snart intresseavvägningen inte längre håller, ska uppgifterna raderas.

Den rättsliga grunden i kombination med ändamålet påverkar alltså vilken lagringstid som kan motiveras i det enskilda fallet.

”Nödvändigt för ändamålet” – hur bedömer man det?

Att bedöma vad som är ”nödvändigt” är en juridisk och praktisk avvägning som måste göras i varje enskilt fall. Viktiga faktorer att väga in är:

  • Vilket ändamål uppgifterna samlats in för.
  • Hur länge detta ändamål är relevant.
  • Om ändamålet upphör för vissa delar av informationen.
  • Om det finns annan lag som kräver fortsatt lagring.

Det är också viktigt att skilja på att en behandling avslutas för ett visst ändamål och att personuppgifterna faktiskt raderas. Ibland räcker det att uppgifterna inte längre behandlas för ett visst ändamål, exempelvis att de flyttas till ett separat arkiv med begränsad åtkomst eller att andra åtgärder vidtas för att begränsa behandlingen.

Interna policys och dokumentation av lagringstider

Enligt GDPR ska den personuppgiftsansvarige ha dokumentation som visar vilka lagringstider som gäller, eller hur dessa tider fastställs. Detta bör göras genom:

  • Registerförteckningar enligt artikel 30 GDPR.
  • Beskrivningar i integritetspolicy för registrerade.

En policy kan vara till hjälp för att genomföra begränsning, radering eller gallring av personuppgifter på det sätt som företaget fastställt. Den kan i så fall fokusera på hur åtgärderna ska genomföras, när och av fem – det vill säga hur detta sker tekniskt och organisatoriskt.

Gallring, radering och rätten att bli bortglömd

Det är viktigt att skilja på gallring av personuppgifter och radering, två närbesläktade men juridiskt olika begrepp:

  • Gallring är ett begrepp som ofta används inom offentlig sektor och innebär att uppgifter tas bort eller görs oåtkomliga enligt förutbestämda regler när de inte längre behövs.
  • Radering innebär att enskilda utövar sin rätt att få uppgifter borttagna, exempelvis enligt artikel 17 i GDPR – ”rätten att bli bortglömd”.

Viktigt är också att förstå att en personuppgift inte alltid måste raderas så snart ändamålet upphör – om det exempelvis finns ett annat ändamål och en rättslig grund (exempelvis rättslig förpliktelse) som kräver fortsatt lagring. Då måste dock behandlingen begränsas till det återstående syftet. Även om registrerade har rätt att begära radering, gäller detta endast om det inte finns rättsliga skyldigheter på motsatsen.

Hur påverkar andra lagar lagringstiden?

Dataskyddsförordningen innehåller inga absoluta lagringstider utan hänvisar till vad som är nödvändigt i förhållande till syftet. Det innebär att om en annan lag stadgar att personuppgifter bevaras under en viss tid, så utgör det en rättslig förpliktelse enligt artikel 6.1 c i GDPR och därmed ett giltigt skäl för fortsatt lagring.
Det är alltså tillåtet och ibland till och med obligatoriskt, att lagra uppgifter längre än vad som annars skulle anses vara proportionerligt enligt GDPR – förutsatt att det finns stöd i annan lag. I Sverige finns flera sådana lagar, bland annat:

  • Bokföringslagen (1999:1078) – kräver att räkenskapsinformation, som kan innehålla personuppgifter sparas i minst sju år efter räkenskapsårets slut.
  • Penningtvättslagen (2017:630) – ställer krav på att kundkännedomsinformation och dokumentation om affärsförbindelser bevaras i fem år efter att kundrelationen upphört.
  • Arbetsmiljölagen och arbetsrättslig reglering – kan medföra krav på att uppgifter om arbetsskador, anställningsförhållanden och liknande bevaras under längre tid, ibland upp till tio år eller ännu längre.

Det är viktigt att dessa externa krav identifieras och tydligt dokumenteras i företagets interna dokumentation avseende efterlevande av GDPR. I praktiken kan en och samma personuppgift omfattas av flera syften och rättsliga grunder, med olika lagringstider som följd. Då måste varje behandling isoleras och bedömas utifrån respektive rättslig grund.
Företag som misslyckas med att följa andra lagars krav på datalagring – i tron att GDPR kräver omedelbar radering – riskerar därför bristande regelefterlevnad utanför dataskyddsområdet. På motsvarande sätt kan företag som fortsätter lagra uppgifter utan att ha kvar ett giltigt syfte enligt annan lagstiftning bryta mot GDPR:s krav på dataminimering och integritet.

Praktiska rekommendationer för företag

Att etablera en rättslig grund för behandlingen räcker inte – företag måste också visa att de faktiskt följer principerna om lagringsminimering i praktiken. För att säkerställa att lagring av personuppgifter sker enligt GDPR rekommenderas företag att:

  1. Kartlägga alla personuppgiftskategorier och deras ändamål.
  2. Fastställa lagringstider eller kriterier för hur dessa bestäms.
  3. Implementera tekniska lösningar för automatiserad gallring där det är motiverat.
  4. Utbilda personalen i lagringsprinciper, radering och gallring.
  5. Informera registrerade om lagringstider via företagets integritetspolicy.
  6. Överväga behovet av arkivering där radering inte omedelbart är lämplig.
  7. Säkerställ att rätten till radering kan verkställas utan onödiga dröjsmål.

Det är också klokt att regelbundet revidera dessa rutiner, särskilt när ändamål, teknik eller lagkrav förändras. Nya behandlingsändamål kan kräva att befintliga lagringstider omprövas och förändringar i lagstiftning kan innebära skyldighet att lagra eller radera uppgifter snabbare än tidigare. En proaktiv översyn hjälper inte bara till att uppfylla rättsliga krav, utan stärker också förtroendet hos registrerade och andra intressenter.

Morling Consultings stöd i dataskyddsarbete

På Morling Consulting hjälper våra GDPR-jurister företag att förstå och tillämpa GDPR:s krav på lagring av personuppgifter – från analys av rättsliga grunder till etablering av lagringstider och implementering av gallringsrutiner.

Vill du säkerställa att ditt företags personuppgiftsbehandling sker i överensstämmelse med GDPR utan onödiga risker? Kontakta oss för juridisk rådgivning som lever upp till lagens krav och är praktiskt genomförbar.

 

Senaste inlägg

En man som håller i en dator och en kamerasymbol, bredvid en kvinna och ett streck som symboliserar den nya gränsdragningen som inlägget beskriver

11 juli 2025

Publicering av brottmålsdomar online – ska GDPR eller yttrandefriheten styra?
Läs mer

10 juli 2025

Mallar räcker inte – därför måste biträdesavtalet anpassas
Läs mer
Tre personer sitter vid ett bord och diskuterar gdpr-revision.

9 juli 2025

Kunders krav på GDPR – revision som konkurrensfördel
Läs mer