Hur länge får personuppgifter bevaras? Datainspektionen informerar
FAKTA Ordlista Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering och bevarande. Personuppgift Med personuppgift menar man all slags information som direkt eller indirekt kan kopplas till en fysisk person som är i livet. Exempel på sådan information är namn, personnummer och kundnummer. Krypterade uppgifter är också personuppgifter så länge någon kan göra uppgifterna läsbara och därmed identifiera individer. Även bild- och ljuduppgifter som kan kopplas till fysiska personer är personuppgifter. Personuppgiftsansvarig Den som ansvarar för att personuppgifter behandlas på ett lagligt sätt kallas personuppgiftsansvarig. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen det vill säga syftena med och medlen för behandlingen av personuppgifter. Den registrerade Den registrerade är den som personuppgifterna handlar om. Personuppgiftsombud Personuppgiftsombud är en fysisk person som efter förordnande från den personuppgiftsansvarige självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Hur länge får personuppgifter bevaras? Illustrationer Oscar Alarik. Reviderad i juni 2015. Det kan finnas en senare version av den här broschyren i pdf-format på www.datainspektionen.se. Tryckt hos Ineko, juni 2015 på Arctic Volume White. Miljömärkt trycksak 341 077. IISSN 1100-3308. 2 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Innehåll Inledning.... 4 Om personuppgiftslagen....5 Vad står det i lagen?... 6 Strukturerat eller ostrukturerat material?.... 7 Hur länge får man bevara personuppgifter?... 8 Hur vet man när man ska ta bort personuppgifter?.... 9 Hur tar man bort personuppgifter?... 11 Hur ska man se till att personuppgifter inte bevaras för länge?. 13 Om du behöver mer information...18 Datainspektionen informerar Hur länge får personuppgifter bevaras? 3
Inledning I den här broschyren får du veta mer om hur länge personuppgifter får bevaras enligt personuppgiftslagen. Här hittar du synpunkter från Datainspektionen som kan vara till stöd och hjälp för ditt arbete samt mer allmän information om personuppgiftslagen. De så kallade hanteringsreglerna i personuppgiftslagen (bland annat regeln om bevarande) behöver enbart tillämpas om man behandlar personuppgifter i så kallat strukturerat material. Strukturerat material är till exempel traditionella dataregister, databaser och system för ärendeoch dokumenthantering. Se vidare sidan 7. Det finns särskilda regler om bevarande av de allmänna handlingar som finns hos myndigheter. Det som sägs i denna broschyr gäller därför inte alltid när personuppgifter behandlas hos myndigheter, även när det handlar om ett strukturerat material. Den här broschyren, som i första hand riktar sig i till personuppgiftsansvariga, handlar alltså om hur länge personuppgifter får bevaras enligt personuppgiftslagen i situationer där hanteringsreglerna gäller och där inte särskilda regler tar över. 4 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Om personuppgiftslagen Syftet med personuppgiftslagen är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. När gäller lagen? Personuppgiftslagens bestämmelser gäller när behandlingen av personuppgifter är helt eller delvis automatiserad. De gäller även för manuell behandling av personuppgifter om de ingår i eller är avsedda att ingå i en strukturerad samling som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagen gäller inte om det skulle strida mot tryck- eller yttrandefriheten. Undantag finns också för journalistiska ändamål eller konstnärligt och litterärt skapande. Om det i en annan lag eller förordning finns bestämmelser som avviker från personuppgiftslagen är det de bestämmelserna som gäller. Om behandlingen av personuppgifter görs uteslutande för privata ändamål gäller inte heller personuppgiftslagen. FAKTA Personuppgiftslagen Personuppgiftslagen (PuL, 1998:204) trädde i kraft 1998 och har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet. Övriga EU-länder har alltså liknande skyddslagar. Datainspektionen informerar Hur länge får personuppgifter bevaras? 5
Vad står det i lagen? I personuppgiftslagen hittar man vilka grundläggande krav som gäller när man ska behandla personuppgifter. Där anges bland annat att personuppgifter endast får samlas in för ändamål som är särskilda, uttryckligt angivna och berättigade. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt med de ändamål som de ursprungligen samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet och ska också se till att uppgifterna är riktiga och relevanta. Huvudregeln är att behandling av personuppgifter är tillåten endast om den registrerade har lämnat sitt samtycke, det vill säga godkänt behandlingen. Från den regeln finns det omfattande undantag. Exempel på undantag är om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras, för att vitala intressen för den registrerade ska kunna skyddas, om behandlingen är nödvändig i samband med myndighetsutövning eller efter en intresseavvägning. Det finns också undantag när det gäller myndigheters register, till exempel inom polisen eller sjukvården. Om behandlingen avser känsliga uppgifter, personnummer, uppgifter om lagöverträdelser eller överföring av personuppgifter till tredjeland finns ytterligare begränsningar. Det är viktigt att den personuppgiftsansvarige redan innan en personuppgiftsbehandling påbörjas gör klart om behandlingen ska grundas på samtycke från de registrerade eller på någon annan bestämmelse. En viktig del i integritetsskyddet är att den registrerade informeras om att hans eller hennes personuppgifter behandlas. Personuppgiftslagen innehåller utförliga regler om kravet på information till den registrerade. Datainspektionen har också gett ut allmänna råd där man kan läsa mer om dessa regler. 6 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Strukturerat eller ostrukturerat material? De nu beskrivna reglerna, de så kallade hanteringsreglerna, gäller för behandling av personuppgifter i strukturerat material, som exempelvis dataregister, databaser och ärende- och dokumenthanteringssystem. För behandling av personuppgifter i ostrukturerat material gäller en förenklad reglering. Exempel på ostrukturerat material är löpande text i ordbehandlingsprogram och på Internet, ljud- och bildupptagningar och e-postbrev. Undantaget kan också omfatta enkla strukturer som klasslistor och listor över anställda, om inte materialet ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur, till exempel ett ärendehanteringssystem. Anledningen till att hanteringsreglerna inte gäller ostrukturerat material är att man velat underlätta för sådan vardaglig hantering av personuppgifter som inte medför integritetsrisker. Det innebär att ostrukturerad behandling i princip får utföras fritt så länge man inte kränker den som uppgifterna gäller. Kränkande behandling är alltså fortfarande otillåten. Men vad är kränkande? För att svara på den frågan måste man göra en samlad bedömning av hur känsliga uppgifterna är, i vilket sammanhang de förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Den registrerades intresse av en fredad, privat sfär måste vägas mot andra motstående intressen. På www.datainspektionen.se, under Frågor & svar, kan du läsa mer om hanteringsreglerna och skillnaderna mellan strukturerat och ostrukturerat material. Datainspektionen informerar Hur länge får personuppgifter bevaras? 7
Hur länge får man bevara personuppgifter? Ett grundläggande krav i personuppgiftslagen är att personuppgifter inte ska bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Denna bestämmelse hindrar dock inte att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en myndighet. Om det finns andra bestämmelser om bevarande av personuppgifter i en annan lag eller förordning, till exempel i registerlagstiftning, är det de bestämmelserna som gäller. Sedan är det dessutom så att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än som anges ovan. Uppgifterna får dock inte bevaras längre än vad som behövs för dessa ändamål. 8 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Hur vet man när man ska ta bort personuppgifter? Kortfattat kan man säga att det är ändamålet, det vill säga anledningen till att personuppgifterna behandlas, som avgör hur länge uppgifterna får bevaras i identifierbart skick. Men hur ska den personuppgiftsansvarige i praktiken veta när personuppgifter inte längre får bevaras? Enligt personuppgiftslagen får den personuppgiftsansvarige samla in personuppgifter bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste bestämmas redan när uppgifterna samlas in och kunna anges uttryckligen. Helst bör ändamålen därför skrivas ned. Det är den personuppgiftsansvarige som bestämmer ändamålen med behandlingen. När ändamålen förändras Personuppgifterna får i viss utsträckning användas även för andra ändamål än de för vilka de samlades in så länge de nya ändamålen inte är oförenliga med de ursprungliga ändamålen. Senare inträffade faktorer kan alltså medföra att uppgifter får bevaras längre tid än vad som varit fallet från början. Vad som är förenligt med de ursprungliga ändamålen framgår inte av personuppgiftslagen utan en bedömning måste göras i det enskilda fallet. Vid en sådan bedömning kan man utgå från hur en registrerad person typiskt sett skulle se på saken, om det exempelvis var uppenbart från början att uppgifterna skulle behandlas för andra ändamål. Kommer man då fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet kan det inte anses oförenligt med de ursprungliga ändamålen (se även Socialdatautredningens betänkande, SOU 1999:109 s. 160). Det är också tillåtet att i efterhand behandla uppgifter för historiska, statistiska eller vetenskapliga ändamål. Uppgifterna får inte bevaras om de av någon anledning inte längre kan anses vara riktiga och relevanta, det vill säga blivit ovidkommande i Datainspektionen informerar Hur länge får personuppgifter bevaras? 9
förhållande till ändamålet. Finns det till exempel i en sporthandlares kundregister antecknat att en kund har golf som intresse, och uppgiften är relevant därför att sporthandlaren säljer golfartiklar och därför har ett intresse av att veta vilka kunder han ska rikta sina reklamerbjudanden mot, är uppgiften inte längre relevant om handlaren slutar att sälja just golfartiklar. Uppgiften bör då tas bort. Uppgifter får alltså inte samlas in bara för att de eventuellt kan komma till användning vid ett senare tillfälle och därför kan vara bra att ha. Om en personuppgift av någon anledning blir överflödig får den inte längre bevaras. Det räcker dock inte med att den personuppgiftsansvarige uttryckligen har angett ett särskilt och berättigat ändamål för att uppgifterna ska få behandlas (och därmed bevaras). Behandlingen måste dessutom vara tillåten. Vad som är tillåten behandling framgår av 10 22 i personuppgiftslagen. Skulle någon av förutsättningarna som anges i dessa bestämmelser för att behandling av personuppgifter ska vara tillåten inte längre föreligga får uppgifterna inte längre bevaras, eftersom det då inte längre är fråga om en tillåten behandling. Det är särskilt viktigt att den personuppgiftsansvarige funderar över hur länge personuppgifter ska bevaras då integritetskänslig information ska behandlas. 10 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Hur tar man bort personuppgifter? Det finns två olika sätt att ta bort personuppgifter. Man kan antingen avidentifiera eller förstöra dem. Avidentifiera Att avidentifiera personuppgifterna innebär att man avlägsnar alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre går att koppla samman med en fysisk person. Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera personen. Förstöra Att förstöra personuppgifterna innebär att se till att de inte går att återskapa. Det är viktigt att känna till vad som krävs rent tekniskt för att uppgifterna verkligen ska förstöras. Det är till exempel inte tillräckligt att radera den fil som innehåller personuppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns papperskorg. I stället krävs säker omformatering av lagringsmediet eller total överskrivning så att personuppgifterna inte kan tolkas i efterhand. Det är dock inte heller säkert att vanlig formatering raderar alla uppgifter utan det kan krävas särskild utrustning eller specialprogramvaror. Hur långtgående tekniska åtgärder som bör vidtas är bland annat beroende av informationens känslighet. Utskrifter Hur gör man då om man skrivit ut personuppgifterna på papper? Måste man då förstöra papperet? Personuppgifter i pappersform omfattas normalt inte av personuppgiftslagen, om de inte utgör ett sådant manuellt register som avses i 5 andra stycket i personuppgiftslagen. Svaret på frågan är därför nej. Datainspektionen informerar Hur länge får personuppgifter bevaras? 11
När man ska förstöra personuppgifter ur exempelvis en databas i Microsoft Access räcker det inte att radera den fil som innehåller uppgifterna. Det är nämligen inte säkert att ett sådant kommando verkligen raderar all information, filen kan exempelvis ligga kvar i datorns papperskorg. Eftersom själva utskriften av personuppgifterna i sig är en behandling måste man dock fundera över om utskriften är tillåten enligt personuppgiftslagens bestämmelser. Om man skriver ut uppgifterna i samband med att de inte längre behövs för det ändamål som de samlades in för och utskriften görs enbart för att de ändå ska bevaras är utskriften inte tillåten enligt personuppgiftslagen. Om utskriften görs därför att uppgifterna kan behövas i pappersform för andra ändamål, till exempel för bokföringsändamål, är utskriften däremot tillåten. 12 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Hur ska man se till att personuppgifter inte bevaras för länge? Vilka rutiner ska då den personuppgiftsansvarige ha för att se till att personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålet? Det är lämpligt att man redan i samband med att behandlingen av personuppgifter påbörjas tar ställning till hur länge uppgifterna i normalfallet ska bevaras och när de ska tas bort, det vill säga avidentifieras eller förstöras. För att underlätta arbetet kan man upprätta en gallringspolicy där man anger vilka uppgifter som kommer att behandlas, för vilket ändamål man behandlar dem och när de ska tas bort. Vidare kan en sådan policy innehålla en beskrivning av vilka rutiner man ska ha för att avidentifiera eller för att på ett säkert sätt förstöra uppgifterna. Har den personuppgiftsansvarige utsett ett personuppgiftsombud kan det vara lämpligt att ombudet tillsammans med den personuppgiftsansvarige ser till att en sådan policy upprättas. Några praktiska exempel Här följer några praktiska exempel på situationer då det inte längre kan anses nödvändigt att bevara uppgifterna med hänsyn till ändamålet med behandlingen. Kom dock ihåg att nya ändamål som inte är oförenliga med de ändamål för vilka uppgifterna från början samlades in kan medföra att uppgifterna får bevaras längre än vad som sägs nedan. Dessutom kan avvikande bestämmelser i annan lagstiftning, till exempel arkivlagen, bokföringslagen eller arbetsrättslig lagstiftning, medföra att person uppgifterna måste bevaras under en längre tid än vad som sägs nedan. Datainspektionen informerar Hur länge får personuppgifter bevaras? 13
Kunder I ett förhållande mellan säljare och kund bör personuppgifterna inte längre bevaras om mellanhavandet mellan säljaren och kunden har avslutats, till exempel då en vara har levererats och är helt betald. Om säljaren ska kunna fullgöra eventuella garantiåtaganden kan det motivera att vissa personuppgifter bevaras tills garantin har gått ut. Att kunden har möjlighet att reklamera varan innebär inte med automatik att uppgifter om kunden får bevaras under den tid som reklamationsfristen löper. Om varan är en sällanköpsvara eller en förbrukningsvara kan ha betydelse för bedömningen av hur länge uppgifterna får bevaras för reklamationsändamål. Direktmarknadsföring Om det finns ett kundförhållande mellan kunden och den personuppgiftsansvarige får den personuppgiftsansvarige skicka reklam till kunden, om nu inte kunden har motsatt sig det. I normala fall får personuppgifter om en tidigare kund användas för marknadsföringsändamål under ett års tid efter det att kundförhållandet har upphört, det vill säga efter det att varan eller tjänsten är levererad och betald samt att eventuell garantitid har löpt ut. Om han eller hon dessförinnan begär att bli struken ur registret ska personuppgifterna dock tas bort snarast möjligt. Om en marknadsförare samlar in uppgifter om personer som det inte finns någon kundrelation till för att använda dem till marknadsföring bör uppgifterna tas bort snarast efter det att de använts. Eftersom adressuppgifter ofta ändras och därför inte kan betraktas som aktuella under någon längre period bör de inte bevaras längre än tre månader från det datum då de samlades in. 14 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Vid sidan av personuppgiftslagen finns det även en branschöverenskommelse med regler för användning av personuppgifter vid direktmarknadsföring (läs mer på www.swedma.se). Dessutom så regleras användningen av e-post i reklamsyfte till konsumenter i marknadsföringslagen (2008:486). Kreditbedömningar Kreditbedömningar av kunder eller potentiella kunder ska göras på aktuell information. Uppgifter som inte längre kan anses vara relevanta för en kreditprövning och som därför inte ska användas vid en framtida kreditprövning ska raderas om det inte ska sparas av något annat skäl, till exempel skyldigheter enligt penningtvättslagstiftningen eller konsumentkreditlagen. Kreditgivare gör ofta kreditbedömningar av sina kunder med stöd av uppgifter som inhämtas från kreditupplysningsföretag. Datainspektionen Datainspektionen informerar Hur länge får personuppgifter bevaras? 15
Foto: www.fotoakuten.se Personuppgifter om tidigare medlemmar i ideella föreningar får normalt bevaras under ett år för att föreningen ska kunna värva tillbaka den som tidigare har varit medlem. anser att uppgifter som hämtats in från ett kreditupplysningsregister inte är adekvata och relevanta att använda vid en kreditprövning om uppgifterna är äldre än tre månader. Vid en kreditprövning kan även uppgifter om hur kunden har skött sina tidigare åtaganden till kreditgivaren vara adekvata och relevanta. En uppgift om att kunden har betalat försent kan ha betydelse för en förnyad kreditprövning om försummelsen inträffade relativt nyligen. Datainspektionen anser att uppgifter om försent betalda fordringar ska gallras åtminstone tre år efter det att fordringarna har betalats. Om fordran överlåtits och borgenären saknar information om när fordran har betalats bör tiden räknas från tidpunkten för överlåtelsen. 16 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Uppgifter om fordringar som inte är betalda och inte heller preskriberade är självfallet adekvata och relevanta vid en ny kreditprövning av samma kreditgivare. Uppgifter om obetalda fodringar som omfattas av en skuldsanering är dock inte adekvata och relevanta för kreditprövning efter det att skuldsaneringen är avslutad. Medlemmar i ideella föreningar När en medlem i en förening avslutar sitt medlemskap bör uppgifterna i medlemsregistret tas bort. Inget hindrar att uppgifter om medlemmen får finnas kvar tills dess att denne exempelvis har betalat utestående medlemsavgifter och lämnat tillbaka lånad utrustning. Dessutom får personuppgifter om tidigare medlemmar normalt bevaras under ett år för att föreningen ska kunna värva tillbaka den som tidigare har varit medlem. Grunden för detta ställningstagande är att en sådan behandling har stöd i en intresseavvägning. Men om den tidigare medlemmen dessförinnan tackar nej till att återigen bli medlem ska dennes personuppgifter tas bort snarast möjligt. När det gäller föreningar som behandlar känsliga personuppgifter, till exempel medlemskap i en fackförening, kan uppgifter om tidigare medlemmar inte behandlas för återvärvningsändamål. Det beror på att känsliga personuppgifter inte kan behandlas med stöd av en intresseavvägning. För att få behandla sådana uppgifter för återvärvning krävs därför att den registrerade har samtyckt. Elevadministration i friskolor Personuppgifter om elever i friskolor (skolor med så kallad enskild huvudman) bör tas bort senast då eleven har slutat sin skolgång. Detta gäller uppgifter som behövs för att administrera till exempel klass- och gruppindelningar av skolelever, skolelevers skolskjuts, praktik, skolmåltider, lärares minnesanteckningar eller underlag för utvecklingssamtal Datainspektionen informerar Hur länge får personuppgifter bevaras? 17
med elever och deras vårdnadshavare eller kuratorers och psykologers anteckningar i deras elevvårdande verksamhet. Arbetstagare Personuppgifter om en anställd bör inte bevaras efter det att denne har slutat. Men ibland måste vissa uppgifter bevaras under en längre tid, till exempel om andra lagar kräver det. Arbetsgivaren får också behålla uppgifter under den tid som en tvist med en tidigare anställd kan bli aktuell. Det kan också vara nödvändigt att bevara vissa uppgifter för administrativa ändamål, till exempel utbetalning av pension från arbetsgivaren eller om man ska lämna referenser till andra arbetsgivare. Arbetsgivaren får bevara rena faktauppgifter som uppsägning på grund av arbetsbrist, avsked och uppsägning på grund av personliga skäl samt betyg och tjänstgöringsintyg med omdömen som arbetsgivaren har gett till arbetstagaren efter det att anställningsförhållandet har upphört. När en anställning upphör finns det i regel ingen grund för att spara e-postkontot och uppgifterna om en anställd på företagets webbplats och de ska då tas bort inom en rimlig tid, i normala fall inom en månad. Arbetssökande Personuppgifter i en ansökan, intervjuanteckningar och uppgifter från referenser bör normalt gallras bort när anställningsförfarandet har avslutats. Arbetsgivaren får dock bevara uppgifterna så länge den sökande till exempel har möjlighet att överklaga beslutet om att denne inte fick jobbet. Vill arbetsgivaren använda uppgifterna längre, till exempel för framtida rekrytering, måste den arbetssökande informeras och samtycka till fortsatt registrering. Vad som menas med samtycke finns att läsa mer om på Datainspektionens webbplats www.datainspektionen.se/samtycke. 18 Datainspektionen informerar Hur länge får personuppgifter bevaras?
Om du behöver mer information På Datainspektionens webbplats www.datainspektionen.se kan du läsa mer om personuppgiftslagen och ladda ner eller beställa informationsmaterial. Där kan du också beställa en prenumeration på Datainspektionens tidning Integritet i fokus och vårt nyhetsbrev. Datainspektionen informerar Hur länge får personuppgifter bevaras? 19
Datainspektionen Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter i samhället inte ska medföra otillbörliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, kameraövervakningslagen, kreditupplysningslagen, inkassolagen och patientdatalagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud. Datainspektionen informerar Datainspektionen informerar är en skriftserie som vänder sig till dig som är personuppgiftsansvarig eller personuppgiftsombud samt till dig som vill veta mer om integritetsfrågor. Broschyrerna beställer du på vår webbplats www.datainspektionen.se. Kontakta Datainspektionen E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm. 20 Datainspektionen informerar Hur länge får personuppgifter bevaras?