Datalagring för företag: hur länge får ni spara data?
Det finns ingen magisk siffra i GDPR. Det finns en princip: spara bara så länge ändamålet kräver, och kunna visa varför. Här är vad det betyder i praktiken, med vanliga lagringstider per datatyp och en enkel policy ni kan skriva på en timme.
Det korta svaret
GDPR sätter ingen fast tidsgräns för hur länge företag får lagra personuppgifter. Principen om lagringsminimering (artikel 5.1 e) säger att uppgifter får sparas i identifierbar form bara så länge de behövs för sitt ändamål. Ni bestämmer alltså tiderna själva, men ni måste kunna motivera dem, och radera när tiden löpt ut. I vissa fall kräver annan lag en minsta lagringstid, som bokföringslagens sju år för räkenskapsinformation. Då gäller den.
Vanliga lagringstider per datatyp
Riktvärden som många svenska företag landar i. Kontrollera mot er egen situation, och hos IMY om ni är osäkra:
| Datatyp | Vanlig lagringstid | Varför |
|---|---|---|
| Räkenskapsinformation (fakturor, kvitton) | 7 år | Krav i bokföringslagen |
| Avtal med kunder och leverantörer | Avtalstiden + upp till 10 år | Allmän preskriptionstid för fordringar |
| Kunduppgifter i register | Så länge kundrelationen är aktiv | Ändamålet: leverera och ge support |
| Nyhetsbrevsprenumeranter | Tills avregistrering | Samtycket är grunden, radera när det dras tillbaka |
| Jobbansökningar (ej anställda) | Vanlig praxis cirka 2 år | Möjlighet att bemöta diskrimineringsanspråk |
| Besöksdata / webbanalys | 30 till 365 dagar | Rapporteringsbehovet avgör, kortare är bättre |
| Serverloggar | Veckor till några månader | Felsökning och säkerhet, sedan gallring |
Skriv policyn på en timme
- Lista datatyperna. Gå igenom vilka personuppgifter ni faktiskt har: kundregister, e-post, analys, loggar, ansökningar.
- Sätt ändamål och tid per rad. En tabell med fyra kolumner räcker: datatyp, ändamål, lagringstid, var den ligger. Det uppfyller i praktiken det mesta av dokumentationskravet i artikel 30.
- Bestäm hur raderingen sker. Vem gör den, när, och hur bekräftas den? Det här är punkten som oftast fallerar.
- Se över årligen. Nya system, nya datatyper, nya tider.
Låt tekniken följa policyn åt er
En lagringstid på papper som ingen verkställer är värre än ingen alls, den visar svart på vitt att ni vet vad som borde raderas. De system som sköter gallringen automatiskt tar bort hela problemet. Vår webbanalys är byggd så: datalagringen är 7 dagar, 90 dagar eller 12 månader beroende på plan (gratisplanen visar de senaste 7 dagarna medan datan sparas i 90), raderingen sker på databasnivå när tiden löper ut och backuper följer samma tid. Policyn efterlever sig själv.
Behandlar en leverantör uppgifter åt er ska lagringstiderna dessutom regleras i ett databehandlaravtal (DPA). Vårt ingår för alla kunder, på svenska och under svensk lag.
Vanliga frågor
Hur länge får ett företag lagra personuppgifter?
Så länge uppgifterna behövs för det ändamål de samlades in för, inte längre. GDPR sätter ingen fast tidsgräns utan kräver att ni själva bestämmer och kan motivera lagringstiden per ändamål. Annan lag kan dock kräva viss lagring, till exempel bokföringslagens sju år för räkenskapsinformation.
Vad är lagringsminimering?
En av GDPR:s grundprinciper (artikel 5.1 e): personuppgifter får inte sparas i identifierbar form längre än nödvändigt. I praktiken betyder det bestämda lagringstider, och radering eller anonymisering när tiden löpt ut.
Måste vi ha en datalagringspolicy?
GDPR kräver inte ett dokument med just det namnet, men ansvarsskyldigheten (artikel 5.2) och registerförteckningen (artikel 30) kräver att ni kan visa vilka uppgifter ni har, varför, och när de gallras. En enkel tabell med datatyp, ändamål, lagringstid och plats räcker långt.
Hur länge bör besöksdata från webbplatsen sparas?
För vanlig trafikanalys räcker oftast 30 till 365 dagar. Välj kortast möjliga tid som täcker ert rapporteringsbehov: månadsrapporter klarar sig på 90 dagar, jämförelser år mot år behöver 12 månader. Bäst är när verktyget raderar automatiskt när tiden löpt ut.
Vad händer om vi sparar uppgifter för länge?
Lagring utan giltigt ändamål är en överträdelse av GDPR och kan ge sanktionsavgift vid tillsyn. Gamla uppgifter är dessutom en ren riskpost vid dataintrång: det som inte finns kvar kan inte läcka.
Vi är inte jurister, men vi har byggt en produkt där lagringsminimering är default. Behöver ni gå på djupet i er egen gallring, prata med en GDPR-jurist eller läs IMY:s vägledning.
Vidare läsning: Datalagring i Spårlös · Du äger din data · Är Google Analytics lagligt i Sverige 2026?.