Opbevaringsbegrænsning betyder, at personoplysninger ikke må opbevares længere, end det er nødvendigt til de formål, hvortil de behandles. Princippet er fastslået i artikel 5, stk. 1, litra e, i databeskyttelsesforordningen (GDPR). Når formålet er opfyldt, skal oplysningerne slettes eller anonymiseres. I praksis betyder det, at du for hver kategori af oplysninger skal fastsætte en konkret slettefrist — og faktisk overholde den. Opbevaringsbegrænsning er et af de principper, som Datatilsynet oftest kontrollerer, og manglende sletning er blandt de hyppigste årsager til danske bødeindstillinger.
Denne guide gennemgår, hvad princippet kræver, hvordan du fastsætter holdbare slettefrister, forholdet til retlige opbevaringspligter, og de danske sager, der viser, hvad manglende sletning koster.
Hvad kræver princippet om opbevaringsbegrænsning?
Artikel 5, stk. 1, litra e, kræver, at oplysninger opbevares i en form, der gør det muligt at identificere de registrerede i ikke længere end nødvendigt til formålene. Der er ingen fast “GDPR-frist” — nødvendigheden afgøres af formålet. Praktisk indebærer princippet tre ting:
- En fastsat slettefrist for hver kategori af oplysninger, knyttet til et konkret formål.
- Faktisk sletning eller anonymisering, når fristen udløber — ikke bare en hensigt.
- Dokumentation for både fristerne og for, at sletningen sker.
Princippet hænger tæt sammen med formålsbegrænsning (art. 5, stk. 1, litra b) og dataminimering (litra c): du må kun indsamle det nødvendige og kun beholde det, så længe det er nødvendigt. Undtagelsen er opbevaring til arkiv-, forsknings- eller statistikformål, som kan ske i længere tid med passende garantier.
Sådan fastsætter du slettefrister
En holdbar slettefrist tager udgangspunkt i formålet og eventuelle retlige krav. En praktisk fremgangsmåde:
- Kortlæg formålene via din fortegnelse over behandlingsaktiviteter — hver behandling har et formål og dermed en naturlig slettefrist.
- Identificér retlige opbevaringskrav. Bogføringsloven kræver fx opbevaring af regnskabsmateriale i 5 år fra udgangen af regnskabsåret. Ansættelsesretlige og skatteretlige krav kan fastsætte andre perioder.
- Begrund frister uden lovkrav konkret. For fx ansøgninger fra afviste kandidater er en typisk frist 6 måneder efter afslag, medmindre kandidaten har samtykket til længere opbevaring.
- Skriv fristerne ned i en sletteplan og i fortegnelsen, og oplys om dem i din privatlivspolitik og over for de registrerede.
Slettefristerne er også det, du henviser til, når du besvarer en indsigtsanmodning (den registrerede har krav på at kende opbevaringsperioden) og når du vurderer en anmodning om sletning.
Typiske slettefrister i dansk praksis
Der findes ingen facitliste, fordi fristen afhænger af formålet — men nogle frister er gennemgående, fordi de følger af lovgivning eller fast praksis. Brug dem som udgangspunkt og tilpas til din egen situation:
Type oplysninger Typisk frist Kilde/begrundelse Regnskabs- og fakturamateriale 5 år efter regnskabsårets udgang Bogføringsloven Lønoplysninger 5 år (bogføring) Bogføringsloven/skattelovgivning Ansøgninger fra afviste kandidater 6 måneder efter afslag Fast praksis (klagefrist), længere kun ved samtykke Personalesag efter fratrædelse Ofte op til 5 år Dokumentation af ansættelsesretlige krav Videoovervågning 30 dage Fast praksis, medmindre konkret hændelse Kundeoplysninger (markedsføring) Indtil framelding / samtykke trækkes tilbage Samtykke Loginlog og tekniske logfiler Uger til få måneder Legitim interesse/it-sikkerhed
Fristerne er vejledende. Det afgørende er, at du begrunder din egen frist konkret, skriver den i fortegnelsen og faktisk overholder den. En frist uden en begrundelse — eller en frist, du ikke følger — holder ikke ved et tilsyn.
Retlige opbevaringspligter går forud — men kun for det nødvendige
En almindelig misforståelse er, at en retlig opbevaringspligt tillader at beholde alle oplysninger. Det gør den ikke. Opbevaringspligten gælder kun de oplysninger og det formål, loven omfatter. Skal du opbevare fakturaoplysninger i 5 år efter bogføringsloven, betyder det ikke, at du må beholde hele kundekartoteket eller markedsføringssamtykker lige så længe. Begræns opbevaringen til det, den retlige forpligtelse konkret kræver, og slet resten.
Når en frist udløber, kan du enten slette eller anonymisere oplysningerne. Ægte anonymisering — hvor de registrerede ikke længere kan identificeres, heller ikke indirekte — falder uden for GDPR og kan være et alternativ til sletning, fx til statistik. Pseudonymisering er derimod ikke nok: pseudonymiserede oplysninger er stadig personoplysninger.
Hvad koster manglende sletning i Danmark?
De mest kendte danske GDPR-sager handler netop om opbevaringsbegrænsning:
- Taxa 4x35 (2019): Datatilsynet indstillede selskabet til en bøde på 1,2 mio. kr., fordi kundernes telefonnumre blev opbevaret i 5 år, selv om navne og adresser blev slettet efter 2 år. Numrene var stadig knyttet til turhistorik og udgjorde dermed fortsat personoplysninger. Retten fastsatte bøden til 250.000 kr.
- IDdesign A/S (2019): Datatilsynet indstillede virksomheden til en bøde på 1,5 mio. kr. for ikke at have slettet oplysninger om ca. 385.000 kunder i et gammelt system. Retten fastsatte bøden til 100.000 kr.
- Danske Bank (2022): Datatilsynet indstillede banken til en bøde på 10 mio. kr. — den største indstilling til dato — fordi banken i over 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring.
Bemærk, at Datatilsynet i Danmark ikke selv udsteder bøder: tilsynet indstiller via politianmeldelse, og domstolene fastsætter bøden. Sagerne viser to ting: at fortsat opbevaring uden et gyldigt formål er ulovlig, og at manglende dokumentation for sletning i sig selv er et brud. En platform som Legiscope kan knytte slettefrister til hver behandling i fortegnelsen og dokumentere, at sletningen faktisk gennemføres.
Sådan operationaliserer du sletning
Fastsatte frister er kun halvdelen af opgaven — den anden halvdel er at få sletningen til rent faktisk at ske. Det var manglende gennemførelse og dokumentation, ikke manglende hensigt, der udløste de danske bøder. En praktisk tilgang:
- Skriv en sletteplan. For hver kategori af oplysninger: frist, ansvarlig og metode (automatisk eller manuel). Sletteplanen bør hænge sammen med din fortegnelse over behandlingsaktiviteter.
- Automatisér, hvor du kan. Indbyg slettefrister teknisk via databeskyttelse gennem design, så oplysninger udgår automatisk. Manuel sletning glemmes.
- Håndtér databehandlere og backups. Dine databehandleraftaler skal sikre, at også databehandleren sletter, og backups skal udgå ved næste rotation.
- Dokumentér, at sletningen sker. Før log over gennemførte sletninger, så du kan bevise det ved et tilsyn.
Princippet fremgår af artikel 5, stk. 1, litra e, i databeskyttelsesforordningen, suppleret i dansk ret af databeskyttelsesloven (lov nr. 502 af 23. maj 2018). Sletteplanen er samtidig grundlaget for at kunne besvare, hvor længe oplysninger opbevares, ved en indsigtsanmodning.
Ofte stillede spørgsmål
Findes der en fast maksimal opbevaringsperiode i GDPR?
Nej. GDPR fastsætter ingen konkret frist. Oplysninger må kun opbevares, så længe det er nødvendigt til formålet. Nogle frister følger af anden lovgivning (fx bogføringslovens 5 år), men for de fleste oplysninger skal du selv fastsætte og begrunde en slettefrist ud fra formålet.
Er anonymisering et alternativ til sletning?
Ja, hvis anonymiseringen er ægte. Kan de registrerede ikke længere identificeres, heller ikke indirekte ved sammenstilling, falder oplysningerne uden for GDPR. Pseudonymisering er derimod ikke tilstrækkeligt, da pseudonymiserede oplysninger fortsat er personoplysninger.
Må jeg beholde alle oplysninger, fordi bogføringsloven kræver 5 års opbevaring?
Nej. Opbevaringspligten omfatter kun det regnskabsmateriale, loven kræver — ikke hele kundekartoteket eller markedsføringssamtykker. Begræns opbevaringen til det nødvendige, og slet de øvrige oplysninger, når deres eget formål er opfyldt.
Hvad er forskellen på opbevaringsbegrænsning og formålsbegrænsning?
Formålsbegrænsning (art. 5, stk. 1, litra b) handler om, at oplysninger kun må indsamles til udtrykkeligt angivne formål og ikke må viderebehandles på en måde, der er uforenelig hermed. Opbevaringsbegrænsning (litra e) handler om tidsdimensionen: hvor længe oplysningerne må gemmes, når formålet er opfyldt. De to principper hænger sammen, fordi formålet både afgør, hvad du må gøre med oplysningerne, og hvornår de ikke længere er nødvendige og derfor skal slettes.
Konklusion
Opbevaringsbegrænsning kræver, at du fastsætter konkrete slettefrister, faktisk sletter, når fristerne udløber, og kan dokumentere det. Tag udgangspunkt i formålene i din fortegnelse, respektér retlige opbevaringspligter for netop det, de omfatter, og oplys om fristerne i din privatlivspolitik. De danske sager mod Taxa 4x35, IDdesign og Danske Bank viser, at manglende sletning — og manglende dokumentation for sletning — er blandt de dyreste fejl i dansk GDPR-praksis.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial