Fråga: Vägledning- tidsfrister för att radera (gallra) data
Hej, vi levererar en SaaS tjänst till både företag och privatpersoner. Vi servar dem med dataanalys som rör både deras bankdata och bokföringsdata Vi gör det direkt, samt indirekt (white-label) via partners. I våra användaravtal regleras ingen automatisk borttagning av data för användare (och ingen skillnad görs mellan juridiska och fysiska personer). Om en användare vill radera sin data är enda möjligheten i dag att själv radera sitt konto. Vi undrar om det finns någon tydlig praxis för vad som gäller för radering av data. Om en användare slutar använda sitt konto, finns det en praxis för när vi ska radera deras data?
Legalbuddy svarar
Sandra Jona
Sandra Jona
Jurist på LW Advisory

Tack för att ni vänder er till oss med er fråga! Nedan följer vad som gäller kring radering av data i en SaaS-tjänst.


När ni levererar en SaaS-tjänst till både företag och privatpersoner behöver ni särskilja mellan data som utgör personuppgifter och övrig information. GDPR gäller för alla uppgifter som direkt eller indirekt kan kopplas till en identifierbar fysisk person – vilket alltså omfattar era privatkunder, men även kontaktpersoner eller användare hos företagskunder. Rätten att få sina personuppgifter raderade, den så kallade rätten att bli bortglömd, är en grundläggande rättighet enligt GDPR. Den gäller dock bara i vissa situationer, exempelvis när personuppgifterna inte längre behövs för det ändamål de samlades in för, eller om den registrerade återkallar sitt samtycke.


För att uppfylla kraven i dataskyddsförordningen behöver ni informera era användare om vilka uppgifter ni behandlar, varför och hur länge dessa sparas. Detta ska framgå i er integritetspolicy och gärna också i era användarvillkor. Det är också viktigt att det finns ett tydligt sätt för användaren att begära radering. Att användaren själv kan radera sitt konto kan vara en tillräcklig mekanism, men det är också god praxis att erbjuda en kontaktväg för att hantera manuella raderingsförfrågningar – särskilt eftersom vissa användare kan vilja avsluta sitt konto utan att omedelbart ta bort det.


Det finns ingen lagstadgad regel som kräver automatisk radering av konton efter viss inaktivitet. Däremot är det vanligt att SaaS-bolag definierar en tidsgräns i sina villkor, exempelvis att inaktiva konton anonymiseras eller raderas efter 12 eller 24 månader. Det kan också vara ett sätt att minska risker och onödigt datainnehav över tid.


Vi rekommenderar att ni ser över era användarvillkor och integritetspolicy för att tydliggöra hur länge ni sparar data, hur radering går till och att ni gör skillnad på juridiska och fysiska personers rättigheter. Det är också viktigt att ni säkerställer att ni har en process för att hantera en begäran om radering från en användare.


Vill ni ha hjälp att se över detta eller ta fram anpassade villkor? Boka ett kostnadsfritt coachingmöte med våra jurister så hjälper vi er. Ni hittar även avtalsmallar för personuppgiftsbehandling, dataöverföringsavtal och cookiepolicy i Legalbuddy Plus.

Prata med en av våra affärsjurister i 30 minuter (gratis).

Skapa ett biträdesavtal när någon annan processar data för din räkning. OBS gratistjänst

Få hjälp med ett GDPR-säkrat biträdesavtal för personuppgifter till fast pris

Friendly image
Plus
Behöver du snabbare svar?
Testa Legalbuddy Plus gratis i en månad och få snabbare svar, möjligheten att ställa frågor privat och tillgång till vår juridiska avdelning.

Behöver du juridiska muskler i din verksamhet?

Testa vår digitala bolagsjurist gratis i 1 månad
- Juridiskt stöd och avtalshantering för företag

Ställ en fråga inom alla affärsjuridiska rättsområden.

Du får en utredning från våra jurister inom 5 arbetsdagar, helt gratis!

Skriv frågan