Den här guiden täcker de tre huvudsakliga regelverken där skyldigheter kring lagringstid uppstår: EU/EES enligt GDPR, Storbritannien enligt UK GDPR och USA enligt sina sektorsspecifika federala lagar och delstatlig integritetslagstiftning. Den går igenom hur varje ramverk hanterar lagringsperioder per datakategori, när lagstiftning fastställer dessa perioder, hur du bygger en regelefterlevande policy för datalagring och vilka specifika skyldigheter som gäller för avtal.
Principen om lagringsminimering i GDPR
Den principen om lagringsminimering, som anges i artikel 5(1)(e) i GDPR, kräver att företag bara sparar personuppgifter så länge som det behövs för det angivna ändamålet med behandlingen. Därefter måste uppgifterna raderas eller anonymiseras. Den hänger ihop med dataminimering: mindre data, sparad kortare tid, är utgångspunkten i GDPR.
Företag får inte lagra personuppgifter på obestämd tid. Fortsatt lagring kräver ett löpande giltigt behandlingsändamål eller en lagstadgad skyldighet som upprätthåller den rättsliga grunden. Om inget av detta finns måste uppgifterna tas bort. Samtycke gäller inte för alltid: en personuppgiftsansvarig måste regelbundet bedöma om den ursprungliga rättsliga grunden fortfarande gäller.
Att spara personuppgifter längre än den fastställda perioden utsätter organisationer för tillsyn enligt artikel 83 i GDPR, med böter på upp till 20 miljoner euro eller 4 % av den globala årsomsättningen. Enskilda har rätt till radering enligt artikel 17 när behandlingsändamålet upphör. God praxis för avtalsefterlevnad behandlar lagringstid som en löpande skyldighet, inte som en periodisk genomgång.
Datalagring enligt GDPR (EU/EES)
GDPR gäller för alla organisationer som är etablerade i EU/EES och för alla organisationer, oavsett var i världen de finns, som behandlar personuppgifter om personer bosatta i EU/EES. Förordningen anger inget fast lagringsschema. Branschpraxis och lagstiftning har lett till brett accepterade intervall för lagringstid per datakategori. Perioderna nedan är typisk vägledning för företag etablerade i EU; enskilda omständigheter och nationella genomföranden i medlemsstaterna kan kräva justeringar.
Anställnings- och HR-uppgifter
Anställdas personuppgifter bör sparas under anställningstiden plus tillämplig lagstadgad preskriptionstid: tre till sex år i de flesta EU-medlemsstater, beroende på nationell arbetsrätt och avtalsrätt. Löne- och skatteuppgifter sparas normalt i sex till sju år enligt nationella skatteregler. Anställningsavtal och tillhörande HR-dokument följer samma ramverk.
Disciplinära uppgifter motiverar i allmänhet ett till fem års lagring beroende på allvarlighetsgrad. Uppgifter om kandidater som inte fick jobbet ska sparas under en betydligt kortare period: sex till tolv månader, därefter krävs snabb radering. Varje integritetsmeddelande för anställda bör ange de specifika lagringsperioder som gäller för varje datakategori arbetsgivaren har.
Kund- och avtalsdata
Kunddata kan sparas under avtalets löptid plus tillämplig preskriptionstid för avtalsrättsliga krav: sex år i de flesta common law-jurisdiktioner, tre år i många civilrättsliga system. Efter den perioden motiverar den rättsliga grunden fullgörande av avtal enligt artikel 6(1)(b) i GDPR inte längre fortsatt lagring. Personuppgifter i avtal bör då raderas eller anonymiseras.
Avtalsdokumentet och personuppgifterna i det följer olika logik för lagringstid. Ett arkiverings- eller revisionskrav för avtalet motiverar inte automatiskt att alla tillhörande personuppgifter sparas. Organisationer som bygger ett ramverk för digital avtalslagring bör uttryckligen hantera denna skillnad i sin policy för datalagring.
Finansiella uppgifter och skattedata
Skatteuppgifter som innehåller personuppgifter måste i allmänhet sparas i sex till sju år enligt skattelagstiftningen i de flesta EU-medlemsstater, ett lagstadgat minimum som går före GDPR:s princip om lagringsminimering. Många EU-länder kräver sju till tio år enligt moms- och bolagsskatteregler. Finansiella tjänster har ytterligare krav genom AML- och KYC-skyldigheter: fem till sju år för transaktionsuppgifter i de flesta jurisdiktioner.
Dessa lagstadgade perioder är en hård lägstanivå. Ett företag får inte radera finansiella uppgifter som innehåller personuppgifter innan den lagstadgade minimitiden har löpt ut, även om den registrerade begär radering. Rätten till radering enligt artikel 17(3)(b) i GDPR innehåller ett uttryckligt undantag för rättsliga förpliktelser. Lagstadgade lagringskrav faller direkt inom det undantaget.
Särskilda kategorier av personuppgifter
Särskilda kategorier av personuppgifter enligt artikel 9 i GDPR, inklusive hälsouppgifter, biometriska uppgifter, ras eller etniskt ursprung, religiös övertygelse, politiska åsikter, sexuell läggning och fackligt medlemskap, omfattas av striktare villkor för behandling. De bör i de flesta sammanhang ha kortare lagringsperioder. Företagshälsovårdsuppgifter är ett undantag: vissa EU-medlemsstater kräver förlängda lagringsperioder för arbetstagare som exponerats för farliga ämnen, och nationella regler i vissa länder kräver att uppgifter sparas i upp till 40 år.
När samtycke är den rättsliga grunden för behandling av särskilda kategorier av personuppgifter måste det ses över regelbundet. Återkallat samtycke utlöser en omedelbar skyldighet att radera, om inte en annan rättslig grund gäller. Organisationer bör granska sina särskilda kategorier av personuppgifter minst en gång per år och bekräfta att varje post fortfarande har en aktiv rättslig grund för lagring.
Datalagring enligt UK GDPR
Storbritannien behöll EU:s GDPR som nationell rätt genom Data Protection Act 2018, som ändrades efter Brexit för att skapa ett fristående brittiskt ramverk. Detta kallas UK GDPR och administreras av Information Commissioner’s Office. Principen om lagringsminimering gäller på samma sätt som i EU-ramverket: personuppgifter får inte sparas längre än nödvändigt för det angivna behandlingsändamålet.
Brittiska lagstadgade lagringsperioder ligger nära EU-praxis i de flesta kategorier. Anställningsuppgifter sparas i sex år efter att anställningen upphört enligt Limitation Act 1980 för avtalsrättsliga krav; löne- och skatteuppgifter i sex år enligt Taxes Management Act 1970; och bokföringsuppgifter i sex år för privata bolag och tio år för publika bolag enligt Companies Act 2006. Företag inom finansiella tjänster följer FCA:s regler för dokumentation, som varierar beroende på produkttyp men ofta kräver fem till sju år.
Företagshälsovårdsuppgifter i Storbritannien följer COSHH-reglerna: arbetsgivare måste spara uppgifter om arbetstagare som exponerats för vissa farliga ämnen i upp till 40 år. Rätten till radering finns enligt artikel 17 i UK GDPR på samma villkor som i EU:s GDPR, med samma undantag för rättsliga förpliktelser: lagstadgade lagringsskyldigheter går före enskildas begäran om radering under den obligatoriska perioden.
Skillnader mot EU:s GDPR sedan Brexit
Storbritannien har avvikit från EU:s GDPR på vissa områden sedan 2021, även om lagringsskyldigheter inte är det främsta området där skillnaderna finns. De mest betydande skillnaderna gäller mekanismer för dataöverföring: Storbritannien fattar egna adekvansbeslut och använder International Data Transfer Agreements i stället för EU:s standardavtalsklausuler. Tillsynen ligger hos ICO, inte hos EU:s tillsynsmyndigheter eller Europeiska dataskyddsstyrelsen.
ICO:s tillsynsbefogenheter motsvarar i stort sett EU-ramverket. Böter kan uppgå till 17,5 miljoner pund eller 4 % av global årsomsättning vid de allvarligaste överträdelserna. Företag som verkar både i EU och Storbritannien har parallella skyldigheter kring regelefterlevnad: samma behandling måste uppfylla kraven från både ICO och relevant EU-tillsynsmyndighet, och de två tillsynsmyndigheterna arbetar under helt separata sanktionsregimer.
Datalagring enligt amerikansk lag
USA har inget enhetligt federalt ramverk för datalagring som motsvarar GDPR eller UK GDPR. Skyldigheter kring lagringstid uppstår genom ett lapptäcke av federala sektorsspecifika lagar och, på senare tid, integritetslagstiftning på delstatsnivå. Ett företags skyldigheter beror på vilka uppgifter det har, vilken bransch det verkar i och i vilka delstater dess kunder bor.
Viktiga federala lagringskrav gäller specifika sektorer. HIPAA kräver att omfattade enheter och affärspartner sparar skyddade hälsouppgifter i sex år från skapandet eller senaste giltighetsdatum. Sarbanes-Oxley Act kräver sju år för revisionsarbetsdokument och finansiella uppgifter i publika bolag. Fair Labor Standards Act kräver att löneuppgifter sparas i tre år. SEC Rule 17a-4 kräver att broker-dealers sparar vissa uppgifter i sex år.
Fair Credit Reporting Act kräver att kreditupplysningsföretag sparar de flesta negativa konsumentuppgifter i sju år. Dessa skyldigheter är sektorsspecifika: ett företag utan hälsodata, utan noterade värdepapper och utan verksamhet inom konsumentkrediter kan sakna federala minimikrav för lagringstid. I USA innebär frånvaron av sektorsspecifik lag att inget lagstadgat minimum gäller.
Integritetslagar på delstatsnivå: Kalifornien och vidare
Kaliforniens CPRA (den ändrade CCPA) anger inga fasta lagringsperioder. Den kräver att företag upplyser om lagringsperioder i sitt integritetsmeddelande, bara behandlar data så länge som det rimligen behövs för det angivna ändamålet och respekterar konsumenters begäran om radering med vissa definierade undantag. Det speglar logiken bakom GDPR:s princip om lagringsminimering utan att ange specifika perioder.
Mer än ett dussin amerikanska delstater har infört heltäckande integritetslagar sedan 2023, inklusive Virginia, Colorado, Connecticut, Texas och Florida. De flesta följer CCPA/CPRA-modellen: ändamålsbaserad lagring, upplysningsskyldigheter och konsumenters rätt till radering. Ingen av dem anger fasta minimiperioder. Företag som verkar nationellt behöver en genomgång delstat för delstat av vilka skyldigheter som gäller, eftersom omfattningen av rätten till radering och undantagen varierar mellan regelverk.
Den viktigaste skillnaden mot GDPR
Enligt GDPR och UK GDPR är principen om lagringsminimering en universell grundnivå: den gäller alla personuppgifter, oavsett kategori eller bransch. I USA finns ingen motsvarande standard. Skyldigheter kring lagringstid uppstår bara när en specifik federal eller delstatlig lag gäller för datatypen och företagets verksamhet. Ett företag utan sektorsspecifik skyldighet kan enligt federal lag lagra personuppgifter på obestämd tid.
Den här skillnaden minskar. Delstatliga integritetslagar utvidgar ändamålsbaserade begränsningar till fler företag, och federal integritetslagstiftning diskuteras fortfarande aktivt. Företag med verksamhet i USA bör följa utvecklingen på delstatsnivå: gapet mellan amerikanska krav och GDPR-liknande krav på lagringstid minskar i delstater med heltäckande integritetsramverk, även när den federala grundnivån fortfarande är sektorsspecifik.
Lagringsperioder per jurisdiktion: jämförelse
Tabellen nedan sammanfattar allmänt accepterade intervall för lagringsperioder i de tre ramverken för de vanligaste datakategorierna. Lagstadgade minimiperioder gäller där det anges; alla andra perioder speglar standardpraxis baserad på preskriptionstider och tillsynsvägledning.
Datakategori | EU GDPR | UK GDPR | USA (federalt) |
Anställningsuppgifter | Anställningstid + 3–6 år (varierar per medlemsstat) | Anställningstid + 6 år (Limitation Act 1980) | 3 år för löneuppgifter (FLSA); varierar beroende på uppgiftstyp |
Finansiella uppgifter / skatteuppgifter | 6–10 år (varierar per medlemsstat; lagstadgat minimum) | 6 år (Taxes Management Act 1970; Companies Act 2006) | 7 år för publika bolag (SOX); annars sektorsspecifikt |
Kund- / avtalsdata | Avtalstid + 3–6 år (preskriptionstid varierar per medlemsstat) | Avtalstid + 6 år (Limitation Act 1980) | Ingen federal standard; rätt till radering gäller enligt CCPA i Kalifornien |
Hälsodata | Ingen fast period; villkor för särskilda kategorier gäller | Ingen fast period; villkor för särskilda kategorier gäller; COSHH för arbetsrelaterade uppgifter | 6 år från skapandet eller senaste giltighetsdatum (HIPAA) |
Marknadsförings- / samtyckesdata | Tills samtycket återkallas eller syftet upphör | Tills samtycket återkallas eller syftet upphör | Ingen federal standard; rätt till radering enligt CCPA/CPRA gäller i Kalifornien |
När lagstiftning fastställer lagringsperioder
Lagstiftning fastställer minimiperioder för lagring som företag måste följa oavsett GDPR:s princip om lagringsminimering. Dessa krav faller under den rättsliga grunden rättslig förpliktelse, artikel 6(1)(c), vilket går före enskildas begäran om radering under den obligatoriska perioden. Arbetsrätt, skattelagstiftning, finansreglering samt arbetsmiljö- och säkerhetslagstiftning är de främsta områden som påverkas.
Den praktiska konsekvensen är tydlig. Under en lagstadgad lagringsperiod kan en personuppgiftsansvarig lagenligt avslå en enskilds begäran om radering. Undantaget i artikel 17(3)(b) i GDPR bevarar denna rätt: personuppgifter som hålls med stöd av en rättslig förpliktelse faller utanför rätten till radering så länge den förpliktelsen gäller.
Företag som verkar i flera jurisdiktioner möter ytterligare komplexitet. Ett företag som är verksamt i hela EU kan inte använda en enda lagringsperiod för varje datakategori, eftersom medlemsstaternas genomförande av EU-direktiv varierar. Den striktaste tillämpliga nationella lagen styr i varje land. Jurisdiktionsspecifika lagringsscheman är det enda tillförlitliga sättet för organisationer med gränsöverskridande datainnehav.
I Storbritannien gäller samma princip enligt UK GDPR. Lagstadgade skyldigheter enligt Limitation Act 1980, Taxes Management Act 1970, Companies Act 2006 och FCA-regler utgör rättsliga förpliktelser som går före enskildas begäran om radering under den obligatoriska perioden. ICO:s vägledning bekräftar att data som hålls enligt lagkrav faller utanför rätten till radering enligt artikel 17(3)(b) i UK GDPR.
I USA fungerar federala lagringskrav enligt HIPAA, SOX, FLSA, FCRA och SEC-regler som obligatoriska minimikrav som inte kan förkortas genom en konsuments begäran om radering. Delstatliga integritetslagar, inklusive CCPA/CPRA, undantar uttryckligen uppgifter som omfattas av rättsliga förpliktelser från konsumenters rätt till radering. Där det finns en lagstadgad lägstanivå i någon jurisdiktion kan den inte sänkas genom en enskilds begäran.
Så bygger du en policy för datalagring
En policy för datalagring är ett internt styrdokument som anger hur länge varje kategori av personuppgifter sparas, den rättsliga grunden för den perioden och vilken åtgärd som vidtas när perioden löper ut. Utan en sådan kan en personuppgiftsansvarig inte visa regelefterlevnad enligt ansvarsskyldigheten i artikel 5(2) i GDPR. De tre stegen nedan beskriver den minsta struktur som krävs.
Steg 1 — Genomför en datainventering
Innan lagringsperioder kan fastställas måste organisationen veta vilka personuppgifter den har, var de lagras, för vilket ändamål och på vilken rättslig grund. En datainventering kartlägger detta i varje system: CRM, HRIS, e-postplattformar, delade lagringsytor och verktyg för avtalshantering. Resultatet är en dataförteckning som blir grunden för lagringsschemat.
Många organisationer upptäcker sina högst riskfyllda data i det här steget: ostrukturerade uppgifter i e-posttrådar, delade lagringsytor och äldre filer som saknar definierad lagringsperiod och automatiserade kontroller. Avtal som lagras utanför en centraliserad plattform är en vanlig källa till okartlagda personuppgifter. Data utan definierad period och tydligt ägarskap är den mest sannolika källan till en överträdelse av lagringskraven.
Steg 2 — Knyt ändamål till rättsliga grunder
För varje datakategori i inventeringen ska du dokumentera behandlingsändamålet och den rättsliga grunden. Den rättsliga grunden avgör den längsta tillåtna lagringsperioden. Fullgörande av avtal upphör när avtalet och dess preskriptionstid löper ut. Rättslig förpliktelse fastställs i lag. Berättigat intresse kräver regelbunden omprövning och ger ingen öppen rätt till lagring på obestämd tid.
När flera ändamål gäller för samma data styr den längsta tillämpliga perioden för de dataelement som omfattas av det ändamålet. Ett anställningsavtal tjänar både ett avtalsrättsligt och ett lagstadgat skatteändamål; perioderna skiljer sig beroende på uppgiftstyp. Varje personuppgiftsbiträde från tredje part som hanterar dessa data måste arbeta enligt ett personuppgiftsbiträdesavtal som speglar den personuppgiftsansvariges fastställda lagringsperioder.
Steg 3 — Fastställ perioder, automatisera och utse ansvariga
Resultatet av processen är ett lagringsschema som kopplar varje datakategori till en definierad period, en åtgärd när lagringstiden upphör och en namngiven ansvarig. En policy utan operativ tillämpning har inget värde: manuella raderingsscheman fungerar inte i stor skala. Lagringstid måste byggas in i kontroller på systemnivå, inklusive automatiserade arbetsflöden för radering, varningar inför utgångsdatum och regler för rensning av CRM-data.
Policyn för datalagring måste ses över minst årligen och uppdateras när behandlingsändamål ändras, nya datatyper införs eller lagstiftningen ändras. Ansvarsskyldigheten i artikel 5(2) i GDPR kräver dokumenterade bevis på denna genomgång. En policy utan datum eller utan revideringar är svår att försvara vid en tillsynsutredning.
Vad händer när lagringsperioden löper ut
Personuppgifter måste raderas säkert eller anonymiseras när lagringsperioden löper ut. Att behålla data efter den tidpunkten utan förnyad motivering bryter mot GDPR:s princip om lagringsminimering och utgör en rapporterbar efterlevnadsbrist. Den personuppgiftsansvarige måste agera snabbt: fortsatt lagring utan giltigt ändamål är i sig en överträdelse.
Säker radering
Säker radering innebär mer än att flytta data till papperskorgen eller begränsa åtkomst. Det kräver kryptografisk radering, överskrivning eller fysisk förstöring av lagringsmedia, beroende på datats känslighet. Varje raderingshändelse bör loggas: datum, datakategori och systemet som uppgifterna togs bort från. Den loggen är den efterlevnadsbevisning som ansvarsskyldigheten kräver.
Det är vid radering i distribuerade system som de flesta organisationer brister. Att ta bort data från en primär databas men lämna kvar dem i säkerhetskopior, katastrofåterställningskopior eller arkiverade e-postmappar är inte förenligt med GDPR. Scheman för säkerhetskopior måste vara i linje med scheman för datalagring. Om en säkerhetskopia innehåller data som borde ha raderats är den säkerhetskopian i sig en överträdelse av lagringskraven.
Anonymisering som alternativ till radering
Skillnaden mellan att radera och att anonymisera personuppgifter är att radering tar bort dem helt, medan anonymisering tar bort alla identifierande element. När verklig anonymisering är genomförd faller de återstående uppgifterna utanför GDPR:s tillämpningsområde och kan sparas på obestämd tid för analys, forskning eller rapportering. Den identifierande informationen är borta; det som återstår är inte personuppgifter enligt förordningen.
Anonymisering måste skiljas från pseudonymisering. Anonymisering är irreversibel: när identifierande element har tagits bort och ingen nyckel för återidentifiering finns kvar är uppgifterna inte längre personuppgifter enligt GDPR. Pseudonymisering ersätter identifierare med pseudonymer, men uppgifterna är fortfarande personuppgifter om återidentifiering är möjlig. Endast verklig anonymisering tar helt bort information från GDPR:s krav.
Avtal innehåller personuppgifter — lagringsreglerna gäller
Avtal innehåller stora mängder personuppgifter: namn på undertecknare, uppgifter om anställda, kunduppgifter och uppgifter om personliga borgensmän i leverantörsavtal. Dessa uppgifter omfattas av samma skyldigheter enligt GDPR kring lagringstid som andra personuppgifter företaget har. De flesta ramverk för regelefterlevnad behandlar avtal som juridiska dokument och missar personuppgiftsdimensionen.
Ett företag måste spara avtalsdokumentet under den lagstadgade preskriptionstiden. Den skyldigheten motiverar inte automatiskt att alla tillhörande personuppgifter sparas längre än behandlingsändamålet. Avtalet och personuppgifterna i det följer olika logik för lagringstid enligt GDPR. Var och en måste bedömas separat när ett lagringsschema byggs.
När ett företag använder en tredjepartsplattform för avtalslagring måste ett personuppgiftsbiträdesavtal med det biträdet ange lagringsperioder och rutiner för radering eller anonymisering av personuppgifter i avtal. Den personuppgiftsansvarige kan inte delegera detta ansvar till biträdet. Ansvaret ligger kvar hos den personuppgiftsansvarige oavsett vilket system som lagrar uppgifterna.
Hur en plattform för avtalshantering stödjer efterlevnad av GDPR:s lagringskrav
För de flesta organisationer ligger avtal som innehåller personuppgifter i e-posttrådar, delade lagringsytor och frånkopplade system. Att manuellt följa lagringsperioder i dessa innehav är inte realistiskt i stor skala. För att genomföra radering måste du veta vad som finns, var det finns och när lagringsperioden för varje avtal löper ut. Utan ett centraliserat system går inget av detta att göra revisionsbart.
Miramis är en plattform för avtalshantering byggd för GDPR. Dess avtalsarkiv stödjer automatisk spårning av lagringsperioder, metadatataggning och lagring redo för revision för varje avtal i organisationens portfölj. Juridik- och compliance-team kan tillämpa lagringsscheman på avtalsnivå och starta granskningsflöden när utgångsdatum närmar sig.
PLAI, Miramis AI-agent för avtal, extraherar och taggar metadata från uppladdade avtal automatiskt. Det inkluderar uppgifter om avtalsparter: de personuppgifter som oftast missas i granskningar av lagringsperioder. Plattformens CLM som uppfyller ISO 27001-arkitektur och SOC 2-certifiering möter säkerhetskraven för organisationer som hanterar personuppgifter i avtal.
Hantera datalagring utan att tappa kontrollen över dina avtal
De flesta företag vet att de har skyldigheter kring datalagring men saknar system för att tillämpa dem konsekvent i hela sitt avtalsarkiv. Om din organisation hanterar avtal för kunder, anställda eller leverantörer, boka en demo och se hur Miramis hanterar spårning av lagringsperioder, varningar inför utgångsdatum och GDPR-anpassad avtalslagring i praktiken.
Ansvarsfriskrivning:
Observera: Miramis ersätter inte en advokat eller advokatbyrå. Om du har juridiska frågor om innehållet på den här sidan, kontakta en kvalificerad jurist.
Relaterade artiklar
Ange och följ avtalets löptid
Avtalets löptid är den överenskomna period då ett avtal gäller. Lär dig att sätta tydliga villkor, hålla koll på viktiga datum och undvika missade förlängningar.
Konkurrensklausuler i anställningsavtal
Konkurrensklausuler i anställningsavtal: vad de omfattar, hur deras giltighet bedöms och hur du hanterar dem i stor skala.
Styrelsen: roller och ansvar – förklarat
Vad är en styrelse och vad gör den? En tydlig guide till styrelsens roller, förtroendeansvar, utskott och beslutsmandat – inklusive godkännande av avtal.