Logga in

Glömt ditt lösenord?

Hur länge är det tillåtet att lagra personuppgifter enligt GDPR?

Juristens svar

Det här är en fråga som ofta dyker upp, och det är ett vanligt missförstånd att GDPR skulle ange exakta tidsgränser för hur länge personuppgifter får sparas. Sådana tidsgränser finns inte i GDPR. 

Syftet med GDPR är att säkerställa skyddet för personuppgifter som behandlas. Behandlingen får bara pågå så länge det finns ett tydligt och berättigat ändamål. När ändamålet inte längre finns kvar ska uppgifterna tas bort eller hanteras enligt regler för bevarande.

I de grundläggande principerna i GDPR finns principen om lagringsminimering. Principen innebär att uppgifter inte får sparas längre än nödvändigt för det syfte de samlades in för. Det betyder att varje verksamhet behöver tänka igenom och dokumentera hur länge olika typer av uppgifter behövs. Man måste också på förhand ha bestämt vad som ska hända när tiden gått ut. 

För att avgöra hur länge en uppgift ska bevaras behöver man utgå från andra källor, i lag eller föreskrifter. Vissa handlingar måste bevaras för framtiden, medan andra ska gallras när de inte längre behövs. Det underlättar för verksamheten att ha en bra dokumenthanteringsplan som hjälper medarbetare att göra rätt.  

En annan viktig aspekt är var uppgifterna lagras. Personuppgifter som inte längre behövs i den löpande verksamheten ska avskiljas från verksamhetssystemet. Ett verksamhetssystem som inte är avsett för långtidslagring bör aldrig användas som e-arkiv. Konsekvenserna av en incident blir mycket större om material som borde ha gallrats finns kvar.

Slutsatsen är att principen om lagringsminimering innebär att uppgifter inte får sparas längre än nödvändigt och att de ska sparas på rätt plats, men frågan om exakt hur länge de får sparas regleras inte av GDPR utan av andra rättskällor.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 29 okt 2025

Beata Rosvall

Rådgivare och jurist

JP Infonet vill upplysa om att svaret som ges är övergripande och inte en rekommendation till beslut i något enskilt fall.

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Fördjupningskurs i GDPR
Fördjupningskurs i GDPR
AI och juridiken – en introduktion
AI och juridiken – en introduktion
Kamerabevakning, tillstånd och GDPR
Kamerabevakning, tillstånd och GDPR
Se alla kurser inom it och dataskydd

Tjänster

Se alla tjänster inom it och dataskydd

Nyheter

Reprimand för kameraövervakning av personal
IT och dataskydd

En anställd klagade på hur övervakningsbilder av personalen hade spridits. IMY finner att myndigheten har behandlat personuppgifter i strid med GDPR.

8 okt 2025

Kan en registrerad kräva att en personuppgiftsansvarig anmäler något som en personuppgiftsincident?
IT och dataskydd

Vår dataskyddsjurist Moa Lundgren reder ut vad som gäller.

8 okt 2025

Rätt att hämta in uppgifter om arbetssökandes sambo vid säkerhetsprövning
IT och dataskydd

Ett bolag gjorde en bakgrundskontroll på en person vars sambo sökt en säkerhetsklassad tjänst hos bolaget. Personen, som inte blivit informerad om bakgrundskontrollen, ansåg att den var olaglig och klagade till IMY.  

8 okt 2025

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor