Advokat persondata GDPR

GDPR - Slettefrister og forældelse hører ofte sammen

Forældelsesreglerne vil ofte være i spil, når du skal arbejde med slettefrister inden for GDPR. Bliv klogere på slettefristerne år for år i denne artikel.

Skrevet af advokat Wivi H. Larsen, Ret&Råd Glostrup Ballerup Greve

2 år
Du skal kunne dokumentere dine samtykker til markedsføring indtil 2 år efter, at et samtykke er trukket tilbage. Så samtykker skal slettes efter to år, medmindre andre forhold gør, at du er berettiget til at beholde personoplysningerne længere. Læs mere på fdih.dk (åbner i et nyt vindue).

3 år
Almindelige økonomiske krav bliver som udgangspunkt forældet tre år efter, at kravet forfaldt til betaling. Er forældelsesfristen overskredet, kan virksomheden derfor ikke længere kræve, at du betaler regningen. Så økonomiske krav skal slettes efter tre år, medmindre andre forhold gør, at du er berettiget til at beholde personoplysningerne længere.

5 år
Lønkrav forældes efter 5 år, og bogføringsbilag skal gemmes i 5 + indeværende år ifølge bogføringsloven. Så løn og bogføringsbilag skal slettes efter fem år, medmindre andre forhold gør, at du er berettiget til at beholde personoplysningerne længere.

10 år
Slettefristen er 10 år, når der er udstedt et gældsbrev, eller når fordringens eksistens og størrelse er anerkendt skriftligt eller fastslået ved forlig, dom, betalingspåkrav påtegnet af fogedretten eller anden bindende afgørelse.

Rådgiveransvar forældes først definitivt efter ti år.

Erstatningsansvar for skadevoldende handlinger uden for kontrakt forældes 10 år efter den skadevoldende handlings ophør, medmindre handlingen er omfattet af den 30-årige forældelse.

Så disse oplysninger skal slettes efter ti år, medmindre andre forhold gør, at du er berettiget til at beholde personoplysningerne længere.

30 år
30 år efter en skadevoldende handlings ophør, for fordringer på erstatning eller godtgørelse i anledning af personskade - og for fordringer på erstatning for skade forvoldt ved forurening af luft, vand, jord eller undergrund eller ved forstyrrelser ved støj, rystelser el.lign.

Et godt råd fra Datatilsynet

Datatilsynet råder til, at man som dataansvarlig indretter sin behandling med de enkelte behandlingers slettefrister for øje. Du kan læse mere om sletning af persondata på datatilsynet.dk (åbner i et nyt vindue).

Som et tænkt eksempel kan man forestille sig en webshop, hvor en kunde opretter en profil i virksomhedens system. Kunden giver samtykke til at modtage nyhedsbreve, som er personliggjort på baggrund af kundens tilkendegivne interesser i bestemte produkter. Når kunden foretager et køb i webshoppen gemmes en kopi af faktura til regnskabsformål. 

Virksomheden fastsætter på baggrund af bogføringsloven en slettefrist på 5 år for fakturaer. Desuden fastsætter virksomheden – med baggrund i forældelsesfristen for sager efter markedsføringslovens § 10 – en slettefrist på 2 år for det samtykke, som kunden har afgivet i forhold til modtagelse af nyhedsbrevet. Hvis kunden sletter sin profil i systemet slettes de øvrige oplysninger om vedkommende efter 6 måneder. 

På baggrund af behandlingerne og slettefristerne indretter virksomheden sine systemer på en måde, hvor fakturaer kun indeholder de fornødne oplysninger jf. bogføringsloven. På samme måde gemmes samtykker til modtagelse af nyhedsbrev separat med de fornødne personoplysninger, der kræves til dokumentation heraf. De øvrige oplysninger om kunden gemmes i kundens profil, som alle kan slettes på samme tid, når slettefristen er mødt. 

På den måde letter virksomheden sit arbejde med at overholde sine fastsatte slettefrister, idet fristerne og behandlingerne kan knyttes op på bestemte dele af systemet.

Dette indlæg er skrevet af advokat (H) Wivi H. Larsen ved Ret&Råd Glostrup Ballerup Greve. Læs også artiklen "Persondata - Risikovurdering, kortlægning og sletning" eller læs flere af Wivis artikler.

Har din virksomhed brug for hjælp til at få styr på jeres slettefrister? Find din lokale Ret&Råd advokat eller læs mere om virksomhedsrådgivning på vores hjemmeside.