OBS: Detta är utgåva 2023.16. Visa senaste utgåvan.

EU:s dataskyddsförordning innehåller bestämmelser om hur länge personuppgifter får bevaras. I arkivlagen finns bestämmelser om hur myndigheter ska bevara och gallra allmänna handlingar. Särskilda bestämmelser gäller för att bevara och gallra uppgifter i Skatteverkets olika verksamhetsgrenar.

Nytt: 2023-02-06

I årsutgåva 2023 har information om brottsdatalagen och brottsdataförordningen flyttats till sidan Längsta tid som personuppgifter får behandlas.

Bevara personuppgifter

Att bevara personuppgifter innebär att spara uppgifterna i identifierbart skick, i sådan form att de direkt eller indirekt kan hänföras till en levande fysisk person. Att bevara personuppgifter är i sig en behandling.

Bestämmelser om bevarande av personuppgifter

Bestämmelser om hur länge personuppgifter får bevaras finns i olika författningar. I Skatteverkets verksamhet är det vanligtvis arkivlagen eller någon av de särskilda registerförfattningarna som anger hur länge personuppgifter får eller ska bevaras.

EU:s dataskyddsförordning

EU:s dataskyddsförordning innehåller en bestämmelse om lagringsminimering (artikel 5.1 e i EU:s dataskyddsförordning). Det innebär att personuppgifter inte får sparas, d.v.s. bevaras, under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. Bestämmelsen har undantag. Enligt ett av undantagen får personuppgifter bevaras under en längre tid i arkiv enligt allmänna intressen. Den behandling av personuppgifter som svenska myndigheter och andra organ utför när uppgifterna bevaras enligt kraven i arkivlagen och andra författningar får anses vara en sådan behandling för arkivändamål av allmänt intresse. En förutsättning för att personuppgifterna ska kunna bevaras i arkiv är dock att det finns en tillräcklig skyddsnivå för uppgifterna.

Arkivlagen

Arkivlagen innehåller bestämmelser om bevarande och gallring av allmänna handlingar. Lagens bestämmelser gäller för både pappershandlingar och handlingar i elektronisk form. Huvudregeln i arkivlagen är att alla allmänna handlingar hos statliga myndigheter ska bevaras. Syftet med arkivlagen är att upprätthålla handlingsoffentligheten till skillnad från dataskyddsregelringen som har till syfte att värna den enskildes integritet genom bl. a. principen om lagringsminimering. Allmänna handlingar får gallras, men man ska då ta hänsyn till att det arkivmaterial som återstår ska kunna tillgodose ändamålen med arkiven (10 § arkivlagen). Statliga myndigheter får bara gallra allmänna handlingar i enlighet med föreskrifter eller beslut av Riksarkivet eller enligt särskilda gallringsföreskrifter i lag eller förordning (14 § arkivförordningen). Gallring enligt Riksarkivets föreskrifter görs för att begränsa arkivens omfattning. Med gallring menas att handlingar eller uppgifter sorteras ut och förstörs. Gallring av elektroniska upptagningar innebär normalt att information raderas från databäraren. Läs mer om arkivlagens bestämmelser på sidan om att arkivera allmänna handlingar.

Särskilda registerförfattningar

Det finns ofta bestämmelser om bevarande av personuppgifter i de särskilda registerförfattningarna. Dessa bestämmelser gäller då i stället för bestämmelsen i EU:s dataskyddsförordning.

Särskilda bestämmelser gäller för bevarande av personuppgifter i Skatteverkets beskattningsverksamhet, id-kortsverksamhet, SPAR-verksamhet och äktenskapsregister- och bouppteckningsverksamheter.

Om det inte finns några bestämmelser om arkivering i de särskilda registerförfattningarna ska Skatteverket tillämpa arkivlagen.

Gallra personuppgifter

Att gallra personuppgifter kan t.ex. ske genom att avidentifiera eller förstöra uppgifterna.

Att avidentifiera personuppgifterna innebär att man tar bort alla identifieringsmöjligheter så att ingen kan hänföra uppgifterna till en fysisk person. Det räcker inte att kryptera uppgifterna. Om någon någonstans har en krypteringsnyckel och därmed kan identifiera en person är uppgifterna inte avidentifierade, och uppgifterna är därmed fortfarande personuppgifter. Det är endast om det inte finns någon krypteringsnyckel som gör att uppgifterna kan knytas till en person, som uppgifterna är avidentifierade.

Att förstöra personuppgifterna innebär att man ser till att uppgifterna inte går att återskapa. Att uppgifterna skrivs ut på papper innebär inte att man har gallrat dem även om de har förstörts i sin elektroniska form. Det är oftast inte heller tillräckligt att radera den fil i datorn som innehåller personuppgifterna för att uppgifterna ska vara förstörda, eftersom filen kan finnas kvar i datorn, t.ex. i papperskorgen. Alla normala sökvägar måste tas bort för att uppgifterna ska anses vara förstörda. Det kan krävas andra tekniska åtgärder för att uppgifterna verkligen ska förstöras, som att omformatera lagringsmediet eller skriva över uppgifterna.

Referenser på sidan

EU-författningar

  • Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) [1]