Sikkerhedsskab med GDPR-mærkning og låse, omgivet af digitale sikkerhedssymboler og mønter.

Opbevaring af kontrakter GDPR regler forklaret enkelt

Af

Opbevaring af kontrakter og GDPR regler forklaret enkelt

Er du en af de mange virksomheder, der føler dig på usikker grund, når det gælder opbevaring af kontrakter og GDPR regler? Måske har du stået foran et arkivskab og spurgt dig selv: ”Bør vi slette denne kontrakt nu? Eller skal vi gemme den – og hvor længe er egentlig lovligt?” Gennem de senere år er reglerne for håndtering af kontrakter blevet væsentligt strammere, især med indførelsen af GDPR (Persondataforordningen). Men hvad betyder det i praksis for dig, der sidder med ansvaret i en mindre virksomhed – uden at være jurist?

I denne artikel får du en letforståelig og konkret gennemgang af, hvordan du håndterer opbevaring af kontrakter efter GDPR regler. Du bliver klædt på til at forstå, hvor længe kontrakter må gemmes, hvilke oplysninger de må indeholde, og hvordan de skal opbevares sikkert i din hverdag – uden at drukne i paragraffer.

Hvorfor er opbevaring af kontrakter vigtigt i forhold til GDPR regler?

Kontrakter er rygraden i de fleste virksomheder – fra ansættelseskontrakter og leverandøraftaler til kundekontrakter og samarbejdsaftaler. Men kontrakter indeholder ofte personoplysninger, såsom navne, adresser, cpr-numre eller andre identificerende data.

GDPR, der trådte i kraft i hele EU i 2018, stiller skarpe krav til, hvordan virksomheder håndterer persondata. Selvom reglerne kan virke overvældende, handler de dybest set om at beskytte de personer, hvis data du håndterer – og at sikre, at du kun opbevarer data så længe, det er nødvendigt og lovligt.

De typiske kontrakter, der indeholder persondata

  • Ansættelseskontrakter
  • Kundekontrakter
  • Leverandøraftaler
  • Ejeraftaler
  • Fortrolighedsaftaler (NDA)
  • Samarbejdsaftaler

Når sådanne dokumenter skal opbevares, bliver spørgsmålet: Hvor længe, og under hvilke forhold? Svaret afhænger både af lovgivning og af de principper, som GDPR indfører.

De grundlæggende GDPR principper for opbevaring af kontrakter

GDPR bygger på nogle centrale principper, som du altid skal have for øje, når du opbevarer kontrakter med personoplysninger:

  • Formålsbegrænsning: Du må kun gemme personoplysninger til det oprindelige formål og ikke til andre.
  • Dataminimering: Opbevar kun de oplysninger, du reelt har brug for.
  • Rigtighed: Data skal være korrekte og opdaterede.
  • Opbevaringsbegrænsning: Slet data, når de ikke længere er nødvendige. Du må altså ikke gemme kontrakter længere end nødvendigt.
  • Integritet og fortrolighed: Du har pligt til at beskytte kontrakter mod uautoriseret adgang og uautoriseret brug.

Især opbevaringsbegrænsning skaber ofte tvivl: Hvor længe er ”nødvendigt”, og hvem bestemmer det? Svaret er ikke sort-hvidt, men afhænger af både lovkrav og din virksomheds reelle behov.

Hvor længe må man opbevare kontrakter ifølge GDPR reglerne?

Et af de mest almindelige spørgsmål om opbevaring af kontrakter og GDPR regler er: Hvor længe må du opbevare kontrakter fra kunder, medarbejdere eller samarbejdspartnere?

Med GDPR er det sådan, at du kun må opbevare personoplysninger, så længe det er nødvendigt i forhold til det formål, de blev indsamlet til. Der er ikke en fast, universel tidsgrænse – du skal selv kunne begrunde, hvorfor du opbevarer oplysningerne i det givne tidsrum.

Lovkrav om opbevaring – Eksempler fra dansk lovgivning

Selv om GDPR ikke selv fastsætter faste tidsfrister, findes der en række danske love, som påvirker, hvor længe forskellige typer kontrakter skal eller bør gemmes:

  • Bogføringsloven: Hvis kontrakten har relevans for regnskab og bogføring, skal du opbevare den i 5 år fra udløbet af regnskabsåret.
  • Arbejdsmiljø- og ansættelsesforhold: Ansættelseskontrakter skal typisk gemmes så længe ansættelsen varer, og som udgangspunkt 5 år herefter på grund af forældelseslovens regler om krav fra medarbejdere.
  • Andre forældelsesregler: Mange kontraktforhold er underlagt 3- eller 10-årige forældelsesfrister for at kan dokumentere krav eller ansvar.

Det betyder praktisk, at du ofte vil have en god begrundelse for at gemme de fleste kontrakter i 5-10 år, men ikke længere – og kun så længe der er et reelt, dokumenterbart formål med opbevaringen.

Sådan laver du en slettepolitik for kontrakter i din virksomhed

For at overholde GDPR regler om opbevaring af kontrakter bør din virksomhed have en skriftlig slettepolitik. Den beskriver, hvornår og hvordan kontrakter (og tilhørende persondata) slettes eller anonymiseres.

De vigtigste elementer i en slettepolitik

  • Typer af kontrakter: Hvilke kontrakter har I? (F.eks. ansættelse, kunde, levering)
  • Opbevaringsperiode: Hvor længe skal/opbevares de enkelte typer, og hvorfor?
  • Hvornår slettes? Ved kontraktens ophør, efter en vis frist, eller når formålet ikke længere er relevant?
  • Hvordan slettes? Manuel sletning, automatisk sletning, anonymisering?
  • Ansvarlige medarbejdere: Hvem har ansvaret for at slette?

En slettepolitik gør det langt nemmere at dokumentere, at din virksomhed tager ansvar for opbevaring af kontrakter GDPR regler – både overfor myndigheder og kunder.

Hvilke personoplysninger må ligge i kontrakterne – og hvad med følsomme data?

Det er vigtigt at huske, at du kun bør indsamle og opbevare de oplysninger, der er strengt nødvendige for at opretholde kontraktforholdet. Mange virksomheder gemmer rutinemæssigt langt flere oplysninger, end de egentlig behøver.

Gode råd om dataminimering i kontraktopbevaring

  • Indsaml kun de mest nødvendige personoplysninger – undgå unødvendig følsom data
  • Overvej, om oplysninger om religion, helbred, fagforeningstilhørsforhold eller cpr-nummer virkelig er relevante
  • Hvis muligt, lad rette vedkommende give samtykke til opbevaring af følsomme oplysninger
  • Lav en klar oversigt over, hvilke oplysninger de forskellige kontrakttyper indeholder

Jo færre personfølsomme oplysninger, du ligger inde med, jo lettere er det at overholde GDPR-reglerne for opbevaring af kontrakter.

Sikker opbevaring af kontrakter: Fysiske og digitale arkiver

Det er ikke kun antallet af år, der tæller – også hvordan du opbevarer kontrakter, har afgørende betydning for GDPR. Uanset om du bruger fysiske mapper, et netværksdrev eller skybaserede systemer

FAQ: Opbevaring af kontrakter GDPR regler

Hvad betyder opbevaring af kontrakter efter GDPR regler?

Opbevaring af kontrakter under GDPR betyder sikker og tidsbegrænset håndtering af personoplysninger.

For dig som mindre erhvervsdrivende handler det om, at kontrakter kun må gemmes, så længe der er et sagligt formål. GDPR kræver, at personoplysninger ikke opbevares længere end nødvendigt. Det betyder, at du skal kunne forklare, hvorfor du stadig gemmer en kontrakt. Samtidig skal du sikre, at dokumenterne opbevares forsvarligt – både fysisk og digitalt.

Hvor længe må man opbevare kontrakter med persondata?

Du må opbevare kontrakter så længe der er et legitimt formål.

Typisk vil kontrakter skulle gemmes i op til 5 år efter samarbejdets ophør på grund af bogføringsloven. I visse tilfælde kan forældelsesfrister gøre det relevant at gemme dem i op til 10 år. Det afgørende er, at du kan dokumentere dit formål med opbevaringen. Når formålet ikke længere er relevant, skal kontrakten slettes eller anonymiseres.

Skal alle kontrakter slettes efter 5 år?

Nej, ikke alle kontrakter skal automatisk slettes efter 5 år.

Fem år er ofte minimumskravet efter bogføringsloven, men nogle kontrakter kan være omfattet af længere forældelsesfrister. Det gælder for eksempel ved rådgivningsansvar eller længerevarende garantier. Du bør derfor lave en konkret vurdering af hver kontrakttype. En simpel slettepolitik med faste intervaller gør det lettere at overholde reglerne.

Hvordan opbevarer man kontrakter sikkert i praksis?

Kontrakter skal opbevares sikkert med adgangsbegrænsning og passende beskyttelse.

Digitale kontrakter bør ligge i et system med adgangsstyring og løbende backup. Fysiske kontrakter skal opbevares aflåst og kun være tilgængelige for relevante medarbejdere. Sørg for at bruge stærke adgangskoder og to-faktor-login, hvor det er muligt. Det reducerer risikoen for databrud og hjælper dig med at overholde GDPR’s krav om datasikkerhed.

Hvad kræver GDPR dokumentation for opbevaring af kontrakter?

GDPR kræver dokumentation for formål, opbevaringsperiode og sikkerhedsforanstaltninger.

Du bør have en skriftlig politik for, hvor længe forskellige typer kontrakter gemmes. Denne politik skal være en del af din fortegnelse over behandlingsaktiviteter. Hvis Datatilsynet spørger, skal du kunne forklare dine slettefrister og sikkerhedsforanstaltninger. Det behøver ikke være kompliceret – en enkel oversigt i et dokument er ofte tilstrækkelig for mindre virksomheder.

Hvad gør man med gamle kontrakter, der ikke længere er nødvendige?

Gamle kontrakter skal slettes eller anonymiseres forsvarligt og permanent.

Digitale dokumenter skal slettes fra både aktive systemer og eventuelle arkiver, hvis muligt. Papirkontrakter bør makuleres, så oplysningerne ikke kan genskabes. Det er vigtigt at have en fast rutine for gennemgang, for eksempel én gang årligt. På den måde undgår du at opbevare persondata længere end tilladt og minimerer din GDPR-risiko.