Tillbaka till bloggen
GDPR 7 min läsning

Datalagring för företag: hur länge får ni spara data?

Det finns ingen magisk siffra i GDPR. Det finns en princip: spara bara så länge ändamålet kräver, och kunna visa varför. Här är vad det betyder i praktiken, med vanliga lagringstider per datatyp och en enkel policy ni kan skriva på en timme.

Det korta svaret

GDPR sätter ingen fast tidsgräns för hur länge företag får lagra personuppgifter. Principen om lagringsminimering (artikel 5.1 e) säger att uppgifter får sparas i identifierbar form bara så länge de behövs för sitt ändamål. Ni bestämmer alltså tiderna själva, men ni måste kunna motivera dem, och radera när tiden löpt ut. I vissa fall kräver annan lag en minsta lagringstid, som bokföringslagens sju år för räkenskapsinformation. Då gäller den.

Vanliga lagringstider per datatyp

Riktvärden som många svenska företag landar i. Kontrollera mot er egen situation, och hos IMY om ni är osäkra:

DatatypVanlig lagringstidVarför
Räkenskapsinformation (fakturor, kvitton)7 årKrav i bokföringslagen
Avtal med kunder och leverantörerAvtalstiden + upp till 10 årAllmän preskriptionstid för fordringar
Kunduppgifter i registerSå länge kundrelationen är aktivÄndamålet: leverera och ge support
NyhetsbrevsprenumeranterTills avregistreringSamtycket är grunden, radera när det dras tillbaka
Jobbansökningar (ej anställda)Vanlig praxis cirka 2 årMöjlighet att bemöta diskrimineringsanspråk
Besöksdata / webbanalys30 till 365 dagarRapporteringsbehovet avgör, kortare är bättre
ServerloggarVeckor till några månaderFelsökning och säkerhet, sedan gallring

Skriv policyn på en timme

  1. Lista datatyperna. Gå igenom vilka personuppgifter ni faktiskt har: kundregister, e-post, analys, loggar, ansökningar.
  2. Sätt ändamål och tid per rad. En tabell med fyra kolumner räcker: datatyp, ändamål, lagringstid, var den ligger. Det uppfyller i praktiken det mesta av dokumentationskravet i artikel 30.
  3. Bestäm hur raderingen sker. Vem gör den, när, och hur bekräftas den? Det här är punkten som oftast fallerar.
  4. Se över årligen. Nya system, nya datatyper, nya tider.

Låt tekniken följa policyn åt er

En lagringstid på papper som ingen verkställer är värre än ingen alls, den visar svart på vitt att ni vet vad som borde raderas. De system som sköter gallringen automatiskt tar bort hela problemet. Vår webbanalys är byggd så: datalagringen är 7 dagar, 90 dagar eller 12 månader beroende på plan (gratisplanen visar de senaste 7 dagarna medan datan sparas i 90), raderingen sker på databasnivå när tiden löper ut och backuper följer samma tid. Policyn efterlever sig själv.

Behandlar en leverantör uppgifter åt er ska lagringstiderna dessutom regleras i ett databehandlaravtal (DPA). Vårt ingår för alla kunder, på svenska och under svensk lag.

Vanliga frågor

Hur länge får ett företag lagra personuppgifter?

Så länge uppgifterna behövs för det ändamål de samlades in för, inte längre. GDPR sätter ingen fast tidsgräns utan kräver att ni själva bestämmer och kan motivera lagringstiden per ändamål. Annan lag kan dock kräva viss lagring, till exempel bokföringslagens sju år för räkenskapsinformation.

Vad är lagringsminimering?

En av GDPR:s grundprinciper (artikel 5.1 e): personuppgifter får inte sparas i identifierbar form längre än nödvändigt. I praktiken betyder det bestämda lagringstider, och radering eller anonymisering när tiden löpt ut.

Måste vi ha en datalagringspolicy?

GDPR kräver inte ett dokument med just det namnet, men ansvarsskyldigheten (artikel 5.2) och registerförteckningen (artikel 30) kräver att ni kan visa vilka uppgifter ni har, varför, och när de gallras. En enkel tabell med datatyp, ändamål, lagringstid och plats räcker långt.

Hur länge bör besöksdata från webbplatsen sparas?

För vanlig trafikanalys räcker oftast 30 till 365 dagar. Välj kortast möjliga tid som täcker ert rapporteringsbehov: månadsrapporter klarar sig på 90 dagar, jämförelser år mot år behöver 12 månader. Bäst är när verktyget raderar automatiskt när tiden löpt ut.

Vad händer om vi sparar uppgifter för länge?

Lagring utan giltigt ändamål är en överträdelse av GDPR och kan ge sanktionsavgift vid tillsyn. Gamla uppgifter är dessutom en ren riskpost vid dataintrång: det som inte finns kvar kan inte läcka.

Vi är inte jurister, men vi har byggt en produkt där lagringsminimering är default. Behöver ni gå på djupet i er egen gallring, prata med en GDPR-jurist eller läs IMY:s vägledning.

Vidare läsning: Datalagring i Spårlös · Du äger din data · Är Google Analytics lagligt i Sverige 2026?.

Analys med inbyggd gallring

Historik i 7 dagar, 90 dagar eller 12 månader beroende på plan, och allt raderas automatiskt när lagringstiden löper ut. EU-hostat, cookie-fritt, svenskt DPA ingår. 14 dagars Pro-prov utan kort.

Datalagring för företag: hur länge får ni spara personuppgifter? | Spårlös