Hvor længe må jeg opbevare kundedata?

Du må opbevare kundedata, så længe behandlingen af data er nødvendig for udførelsen af jobbet, herefter skal data slettes eller anonymiseres.

  • Opdateret 30. juli 2019

Data om kunder vil ofte være persondata. Persondata er enhver form for information, der gør det muligt at identificere en fysisk person – enten ud fra den enkelte information eller i kombination med anden information.

Hvis du opbevarer persondata, må du ikke opbevare flere oplysninger, end hvad der er nødvendigt for dit arbejde. Det kan fx være, at du har brug for navn og adresse for at kunne opfylde en kontrakt eller sende et produkt.

Du må ikke opbevare persondata, hvis du ikke har noget at bruge dem til nu, men blot forventer at de kan bruges senere.

Oplysninger der er gjort anonyme, så ingen fysiske personer kan identificeres ud fra oplysningerne, er ikke persondata. Du skal dog være opmærksom på, at der stadig er tale om persondata, hvis dataene kan føres tilbage til den oprindelige information om personen. Anonymiseringen skal med andre ord være uigenkaldelig.

Persondata skal slettes eller anonymiseres, når det ikke længere er nødvendigt for udførelsen af arbejdet eller når formålet med opbevaringen er opfyldt.

Du kan læse mere om opbevaring af data i pkt. 5.5 i Datatilsynets informationspjece om databeskyttelsesforordningen.

Regnskabsmateriale

Som bogføringspligtig skal du opbevare dit regnskabsmateriale i 5 år fra udløbet af det regnskabsår, som regnskabsmaterialet vedrører.

I enkelte tilfælde skal bestemte dele af regnskabsmaterialet opbevares i en længere periode end 5 år. Det gælder fx for dokumentation for køb af aktier m.m. (aktieavancebeskatningsloven) og for dokumentation for anskaffelser af investeringsgoder (lov om merværdiafgift).

Du kan læse mere i Erhvervsstyrelsens bogføringsvejledning (pdf).

Assets / Icons / General / Paragrapgh Created with Sketch. Love og regler

 

Afgørelse: Manglende overholdelse af interne sletteregler

Datatilsynet var på tilsynsbesøg hos en møbelkæde for at se, om virksomheden havde fastsat regler for sletning af kunders oplysninger, og om disse blev efterlevet.

Møbelkæden havde inden besøget sendt en oversigt over de systemer, de bruger i forbindelse med behandling af personoplysninger, og oplyste her, at få butikker endnu brugte et gammelt system.

Møbelkæden oplyste, at de ikke havde forholdt sig til, hvornår personoplysninger i det gamle system ikke længere var nødvendige i forhold til arbejdet, og der var derfor ikke fastlagt slettefrister for personoplysninger, der behandles i systemet.

Datatilsynet fandt derfor, at møbelkæden ikke overholdte databeskyttelsesforordningens krav om sletning, idet personoplysninger er blevet behandlet længere end nødvendigt.

Læs mere om afgørelsen hos Datatilsynet