Hopp til innhold
FrammeLive leveringssporing for transportører

Hvor lenge kan du lagre kundedata? Praktisk guide for transportbedrifter

Framme-teametPublisert 2 min lesetid
Framme-logo over et arkivskap med et nedtellingsur
Kort fortalt

GDPR artikkel 5 nr. 1 bokstav e (lagringsbegrensning) krever at personopplysninger ikke lagres lenger enn nødvendig for formålet de ble samlet inn for — loven setter ingen fast tidsgrense, men virksomheten må selv fastsette og begrunne lagringstiden ut fra formål og behandlingsgrunnlag, og dokumentere at sletting faktisk skjer.

Et av de vanligste spørsmålene transportbedrifter stiller om personvern er også et av de enkleste å svare feil på: «hvor lenge kan vi lagre dataene?» Mange leter etter et konkret tidspunkt loven fastsetter. Det finnes ikke — men det finnes et prinsipp som i praksis er strengere enn en fast frist.

Lagringsbegrensningsprinsippet

GDPR artikkel 5 nr. 1 bokstav e krever at personopplysninger lagres i en form som tillater identifikasjon av de registrerte ikke lenger enn det som er nødvendig for formålene opplysningene behandles for. Legg merke til hva regelen faktisk sier: den er knyttet til formålet, ikke til en bestemt kalendertid. Det betyr at riktig svar på «hvor lenge» alltid starter med spørsmålet «til hva trenger vi egentlig dette?»

Slik fastsetter du riktig lagringstid

Datatilsynet er tydelig på at virksomheten selv må vurdere og begrunne lagringstiden. I praksis betyr det å se på:

  • Formålet. Hva skal opplysningene faktisk brukes til — og er det formålet fortsatt aktuelt etter at leveransen er gjennomført?
  • Behandlingsgrunnlaget. Er grunnlaget en avtale med kunden, opphører som regel behovet når avtalen (leveransen) er oppfylt.
  • Lovpålagte plikter. Bokføringsloven og annet regelverk kan kreve lagring av enkelte opplysninger (som fakturagrunnlag) lenger enn det personvernformålet i seg selv skulle tilsi.
  • Dokumentert behov. Et generelt «det kan være nyttig senere» er ikke en gyldig begrunnelse — behovet må være konkret.

Artikkel 5 nr. 2 krever i tillegg at dere kan dokumentere at sletting faktisk finner sted. Det holder ikke å ha en policy på papir — sletterutinen må faktisk være satt i drift, gjerne automatisert.

Eksempler fra transportbransjen

  • GPS-/posisjonsdata. Formålet er som regel å planlegge og vise leveransen mens den pågår — rådata trenger sjelden å leve lenge etter at ruten er avsluttet.
  • Leveringsbevis (POD-foto). Kan ha en lengre relevant lagringstid knyttet til reklamasjonsfrister, men bør fortsatt ha en definert grense, ikke lagres på ubestemt tid.
  • Kundens kontaktinformasjon (til sporingslenken). Relevant så lenge leveransen pågår og en kort periode etter, for eventuelle henvendelser — ikke som en varig kundedatabase uten eget grunnlag.

Slik er dette bygget inn i Framme

Framme sletter rå GPS-punkter automatisk 72 timer etter innsamling — en konkret, dokumentert og automatisert frist satt ut fra det faktiske formålet (planlegge og vise en levering mens den pågår), ikke en vilkårlig lang oppbevaringstid. Se hvordan sporingen er bygget rundt rute-bundet personvern for hele bildet.

Ofte stilte spørsmål

Finnes det en lovfestet frist for hvor lenge vi kan lagre kundedata?

Nei. GDPR artikkel 5 nr. 1 bokstav e krever at data ikke lagres lenger enn nødvendig for formålet — virksomheten må selv fastsette og begrunne lagringstiden, ikke følge en fast tidsgrense i loven.

Holder det å ha en sletterutine skrevet ned et sted?

Nei. Artikkel 5 nr. 2 krever at dere kan dokumentere at sletting faktisk finner sted — rutinen må være satt i drift, ikke bare beskrevet.

Kan vi lagre data «i tilfelle det blir nyttig senere»?

Nei, det er ikke en gyldig begrunnelse. Behovet for videre lagring må være konkret og knyttet til et faktisk formål.

Hvor lenge lagrer Framme GPS-data?

Rå GPS-punkter slettes automatisk 72 timer etter innsamling.