Dataskydd

Lagringsminimering och gallring enligt GDPR

Gallring enligt GDPR: sätt gallringsfrister, hantera konflikten med bokföringslagens sju år och dokumentera radering i registret enligt artikel 5.1 e.

Also available in:English·Français·Deutsch·Español

Gallring enligt GDPR innebär att personuppgifter ska raderas eller anonymiseras när de inte längre behövs för det ändamål de samlades in för. Principen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen kräver att uppgifter “inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt”. I praktiken betyder det att varje behandling måste ha en definierad gallringsfrist – och en rutin som faktiskt genomför raderingen. Den vanligaste bristen svenska organisationer har är inte att fristerna är fel, utan att ingen gallring sker alls.

Viktigaste punkterna

  • Artikel 5.1 e kräver att personuppgifter gallras när ändamålet är uppfyllt – det finns ingen generell EU-frist, utan varje uppgiftskategori måste bedömas för sig.
  • Gallringsfristen ska dokumenteras i registerförteckningen och kunna motiveras vid en tillsyn från IMY.
  • Bokföringslagen kräver att räkenskapsinformation sparas i sju år – detta går före GDPR:s raderingskrav för just den informationen.
  • Både radering och anonymisering avslutar behandlingen lagligt, men har olika juridiska konsekvenser.
  • Utan en dokumenterad gallringsrutin per system betraktar IMY lagringsminimeringen som obruten – att ha en policy räcker inte om den inte tillämpas.

Vad artikel 5.1 e faktiskt kräver

Lagringsminimering är en av de sex grundprinciperna i artikel 5. Den säger att uppgifter får sparas endast så länge de behövs för ändamålet. När ändamålet är uppfyllt ska uppgifterna gallras – raderas eller anonymiseras. Undantag finns för arkivändamål av allmänt intresse, vetenskaplig eller historisk forskning och statistik, förutsatt att lämpliga skyddsåtgärder vidtas.

Det svåra är att “nödvändigt” inte är ett fast antal år. En kunds beställningshistorik behövs så länge kundrelationen pågår plus den tid en reklamation eller preskription kan aktualiseras. Ett CV från en avvisad kandidat behövs inte längre än den tid ett diskrimineringsanspråk kan väckas. Varje kategori kräver alltså en egen bedömning, kopplad till ändamålet och till eventuella rättsliga skyldigheter att bevara.

Konflikten med bokföringslagen och andra lagkrav

Den vanligaste frågan i praktiken är hur GDPR:s raderingskrav förhåller sig till andra svenska lagar som kräver bevarande. Svaret är att en rättslig skyldighet att spara uppgifter enligt artikel 6.1 c utgör en giltig grund för fortsatt lagring – GDPR tvingar inte fram radering av det som annan lag kräver att du behåller. Detsamma gäller branschregler som fastighetsmäklarlagens bevarandekrav.

Uppgiftskategori Bevarandekrav Rättslig grund
Räkenskapsinformation (fakturor, verifikat) 7 år Bokföringslagen (1999:1078)
Avvisade jobbansökningar ~2 år Diskrimineringslagen (preskription)
Anställningsavtal och löneunderlag Varierar Skattelagstiftning, arbetsrätt
Kunduppgifter utan lagkrav Så länge relationen behövs Berättigat intresse / avtal
Marknadsföringssamtycken Tills samtycket återkallas Samtycke

Poängen är att fakturan med kundens namn och adress ska sparas i sju år av bokföringsskäl – men det innebär inte att kundens hela profil, köpbeteende och marknadsföringsprofil får ligga kvar lika länge. Gallringen ska vara granulär: spara det lagen kräver, gallra resten.

Så sätter du gallringsfrister i praktiken

Utgå från registerförteckningen. För varje behandling som listas där ska en gallringsfrist och en gallringsrutin anges. Arbetsgången är:

  1. Identifiera ändamålet för varje behandling – gallringsfristen följer ändamålet, inte tvärtom.
  2. Kontrollera lagkrav som kräver bevarande (bokföring, skatt, arbetsrätt, sektorlagstiftning).
  3. Sätt en frist som är den kortaste tid som uppfyller både ändamålet och lagkraven.
  4. Bestäm åtgärd: radering eller anonymisering, och i vilket system.
  5. Dokumentera fristen i registerförteckningen och skapa en teknisk rutin som genomför gallringen.

Det femte steget är det som oftast saknas. En organisation kan ha en genomtänkt gallringsplan i ett dokument, men om inget system faktiskt raderar uppgifterna efter fristen så sker ingen gallring. IMY förväntar sig att varje behandling har en fungerande, återkommande gallringsrutin – inte bara en teoretisk frist. En färdig struktur finns i vår mall för gallringsplan.

Radering eller anonymisering?

Båda avslutar behandlingen enligt GDPR, men de är inte likvärdiga. Radering tar bort uppgifterna helt. Anonymisering bearbetar dem så att ingen person längre kan identifieras, direkt eller indirekt – och först då faller uppgifterna utanför GDPR helt. Pseudonymisering (att ersätta namn med ett id men behålla en nyckel) är däremot inte anonymisering; sådana uppgifter är fortfarande personuppgifter.

Anonymisering är attraktivt när du vill behålla statistiskt värde – till exempel aggregerad försäljningsstatistik – utan att spara identifierbara uppgifter. Men kravet är högt: om uppgifterna kan återidentifieras med rimliga medel är de inte anonyma. För de flesta löpande behandlingar är radering det enklare och säkrare valet.

Vanliga misstag vid gallring

Erfarenheten från tillsynsärenden visar att bristerna sällan handlar om att fel frister valts, utan om att gallringen inte fungerar i praktiken. De återkommande felen är:

  • Ingen gallring alls. Uppgifter ackumuleras i CRM, e-post och gamla databaser utan att någon rutin någonsin raderar dem. Detta är den vanligaste och allvarligaste bristen.
  • Gallring bara i huvudsystemet. Samma personuppgifter finns i backuper, exportfiler, kalkylark och integrerade tjänster som inte omfattas av raderingen. En frist gäller alla kopior, inte bara masterkällan.
  • Bevarandekrav som ursäkt för allt. Att bokföringslagen kräver sju års lagring av fakturor motiverar inte att hela kundprofilen sparas lika länge.
  • Odefinierade frister för “kan-vara-bra-att-ha”-data. Uppgifter som samlats in utan tydligt ändamål saknar också gallringsfrist och blir liggande på obestämd tid.
  • Ingen dokumentation. Även när gallring sker saknas ofta den skriftliga kopplingen till registerförteckningen som gör att organisationen kan visa att den har kontroll.

Ett hållbart arbetssätt är att för varje behandling i registret ange fristen, åtgärden (radering eller anonymisering) och i vilka system den ska ske – och sedan bygga en teknisk eller manuell rutin som faktiskt utför den. Att koppla ihop rätten till radering med de generella gallringsrutinerna gör dessutom att en enskild begäran kan hanteras inom ramen för ett system som redan är byggt för att radera.

Vad händer vid en tillsyn

Att sakna dokumenterade gallringsfrister behandlas av IMY som en överträdelse av artikel 5.1 e. Lagringsminimering hänger dessutom nära ihop med dataminimering enligt artikel 5.1 c: uppgifter du aldrig borde ha samlat in ska förstås inte heller ligga kvar. En organisation som samlar in för mycket och gallrar för lite exponerar sig dubbelt.

För att hantera gallring i skala för många system och behandlingar krävs överblick. Plattformar som Legiscope kopplar gallringsfristerna direkt till registerförteckningen och påminner när en behandlings frist närmar sig, vilket gör att gallringen faktiskt genomförs i stället för att förbli en policy på papper. För organisationer med många behandlingar är detta ofta skillnaden mellan dokumenterad efterlevnad och en lucka som en tillsyn hittar. Om ni är osäkra på hur mycket resurser dataskyddsarbetet kräver, väg in det i bedömningen av om ni behöver ett dataskyddsombud.

Vanliga frågor

Hur länge får man spara personuppgifter enligt GDPR?

Det finns ingen generell frist. Uppgifterna får sparas så länge de behövs för det ursprungliga ändamålet, plus den tid som lag kräver (till exempel bokföringslagens sju år) eller den tid ett rättsligt anspråk kan väckas. Fristen sätts per uppgiftskategori och ska dokumenteras.

Måste jag radera fakturor på begäran av kunden?

Nej. Räkenskapsinformation ska bevaras i sju år enligt bokföringslagen, och den rättsliga skyldigheten går före kundens raderingsbegäran för just den informationen. Uppgifter om kunden som inte omfattas av bokföringskravet ska däremot bedömas separat enligt reglerna om rätten att bli glömd.

Räcker det med en gallringspolicy?

Nej. IMY förväntar sig att gallringen faktiskt genomförs. En policy som inte omsätts i tekniska rutiner som raderar uppgifterna efter fristen uppfyller inte artikel 5.1 e. Varje behandling behöver en fungerande, återkommande gallringsrutin.

Slutsats

Gallring enligt GDPR handlar om att varje behandling har en motiverad frist och en rutin som genomför raderingen. Sätt fristen utifrån ändamålet, respektera bokföringslagens och andra lagars bevarandekrav, välj mellan radering och anonymisering, och – viktigast – dokumentera allt i registerförteckningen och se till att gallringen verkligen sker. Grunden finns i artikel 5 i dataskyddsförordningen, och IMY prövar i sin tillsyn just om lagringsminimeringen är operationaliserad eller bara nedtecknad.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →