Hvor lang tid må man opbevare data?

Data: Kort Levetid, Langvarig Overvejelse – Hvor Længe Er For Længe?

I en tid, hvor data flyder frit og digitaliseringen buldrer fremad, er spørgsmålet om dataopbevaring mere relevant end nogensinde. Hvor længe må vi egentlig gemme data? Svaret er ikke enkelt, og en universel slettefrist eksisterer desværre ikke. I stedet bør organisationer og virksomheder anlægge en risikobaseret tilgang, hvor de nøje overvejer behovet for dataopbevaring fra sag til sag.

Udgangspunktet: Minimal Opbevaring

Den gyldne regel er, at data kun bør opbevares så længe, der er et legitimt og sagligt behov for det. Dette princip kaldes dataminimering, og det er et centralt element i både dansk og europæisk databeskyttelseslovgivning (GDPR). Det betyder, at data skal slettes, når det ikke længere er nødvendigt for at opfylde det formål, det oprindeligt blev indsamlet til.

Hvorfor Ikke Bare Gemme Alt?

Frustrationen over sletning er forståelig. “Tænk nu, hvis vi får brug for det senere?” er en tanke, der ofte opstår. Men risikoen ved at gemme data unødvendigt overstiger langt de potentielle fordele. Unødvendig dataopbevaring øger risikoen for:

• Sikkerhedsbrud: Jo mere data der gemmes, jo større er fristelsen for hackere og jo større er skaden, hvis data kommer i de forkerte hænder.
• Manglende Overblik: Store datamængder kan gøre det svært at finde og administrere den data, der faktisk er relevant.
• Juridisk Risiko: Opbevaring af data udover den tilladte periode kan medføre bøder og andre sanktioner i henhold til GDPR.
• Omkostninger: Lagring af store mængder data, især over længere tid, er dyrt i både hardware og vedligeholdelse.

Undtagelser og Sagligt Grundlag

Selvom minimal opbevaring er idealet, findes der legitime grunde til at opbevare data i længere tid. Disse grunde skal dog altid kunne dokumenteres og begrundes:

• Lovkrav: Visse love kræver, at specifikke data opbevares i et bestemt antal år (f.eks. regnskabsdata).
• Retlige Krav: Data kan være nødvendig for at kunne forsvare sig mod retlige krav eller for at retsforfølge krænkelser.
• Dokumentation og Historik: I visse tilfælde, f.eks. i personalesager, kan det være sagligt begrundet at opbevare data for at dokumentere historik og for at sikre en fair og korrekt behandling af medarbejdere. Det er dog vigtigt at nøje overveje, hvilke data der er nødvendige for at dokumentere historikken, og hvor længe opbevaring er nødvendig.

Konkrete Eksempler:

• Kundeoplysninger i en webshop: Oplysninger om gennemførte køb skal sandsynligvis opbevares i minimum 5 år i henhold til bogføringsloven. Marketingdata bør derimod kun opbevares så længe kunden er aktiv eller har givet samtykke.
• Ansøgninger: Ansøgninger fra afviste kandidater bør som udgangspunkt slettes efter rekrutteringsprocessen er afsluttet, medmindre kandidaten har givet samtykke til at blive opbevaret i en talentpool.
• Overvågningsvideo: Optagelser fra overvågningskameraer bør som udgangspunkt slettes efter kort tid (f.eks. 30 dage), medmindre der er mistanke om en strafbar handling.

Konklusion: En Dynamisk Proces

Spørgsmålet om, hvor længe data må opbevares, er ikke et statisk spørgsmål. Det kræver en løbende vurdering af virksomhedens eller organisationens behov, de relevante love og regler samt de risici, der er forbundet med dataopbevaring. Det er vigtigt at have klare politikker og procedurer for dataopbevaring og -sletning, og at disse politikker er implementeret i hele organisationen. Overvej løbende at revidere disse politikker i takt med ændringer i lovgivningen eller virksomhedens behov. Ved at anlægge en databeskyttelsesbevidst tilgang til dataopbevaring kan man minimere risikoen, spare omkostninger og opretholde tilliden hos kunder og medarbejdere.