Under GDPR (General Data Protection Regulation), er der ikke fastsat specifikke perioder for, hvornår lang tid man må opbevare personoplysninger. I stedet kræver GDPR, at organisationer opbevarer personoplysninger i en begrænset tid og kun så længe det er nødvendigt og til de formål, de er blev indsamlet til eller behandlet efter.
Her er nogle vigtige punkter at tage højde for:
- Begrænsningsprincippet: Personoplysninger skal opbevares i en begrænset tid og kun så længe det er nødvendigt til de formål, de er blevet indsamlet ind eller behandlet efter.
- Ret til sletning (“retten til at blive glemt”): Individer har ret til at få deres personoplysninger slettet under visse omstændigheder, hvis der ikke længere er en gyldig grund til at opbevare dem.
- Dokumentation og transparens: Organisationer skal dokumentere, hvorfor de opbevarer data og hvornår de vil slette dem. Dette skal være tydeligt og forståeligt for de pågældende personer.
- Sikkerhedsforanstaltninger: Data skal opbevares på en sikker måde for at undgå uberettiget adgang, tab eller ødelæggelse.
Det er derfor vigtigt at have en klar og dokumenteret politik for dataopbevaring og -sletning, der overholder GDPR’s krav.
Det anbefales altid at man udfærdiger slettepolitikken med virksomhedens juridiske ekspert eller en databeskyttelsesekspert for at sikre, at organisationen overholder reglerne.
