12. juni 2019
Personvernforordningen (GDPR) regulerer behandling av personopplysninger, og setter blant annet begrensninger for hvor lenge en virksomhet kan oppbevare personopplysninger som den har samlet inn.
Begrensningene er ikke til hinder for oppfyllelse av bokføringsreglenes oppbevaringsplikt, men du bør sørge for at regnskapsmaterialet ikke inneholder flere personopplysninger enn nødvendig for å oppfylle bokføringsreglenes krav.
Bokføringsreglenes oppbevaringsplikt
Bokføringsreglene krever oppbevaring av mye informasjon og dokumentasjon. I de fleste tilfeller inneholder det oppbevaringspliktige regnskapsmaterialet såkalte personopplysninger. En personopplysning er enhver opplysning om en identifisert eller identifiserbar fysisk person.
Et vanlig eksempel på regnskapsmateriale som inneholder personopplysninger er dokumentasjon av lønn. Lønnsdokumentasjon inneholder den ansattes navn og fødselsnummer. Videre oppgis lønn, andre ytelser, skattetrekk og andre trekk per ansatt for hver lønnsperiode. Et annet eksempel er informasjon om privatpersoners navn, adresser og vare- eller tjenestekjøp i fakturaer og kundereskontro.
Hovedregelen er at oppbevaringspliktig regnskapsmateriale, herunder eventuelle personopplysninger, skal oppbevares i fem år etter regnskapsårets slutt.
Hvilken betydning får GDPRs regler om lagringsbegrensning?
GDPR stiller flere krav til behandling av personopplysninger. All behandling av personopplysninger skal for eksempel ha spesifikke, uttrykkelige, angitte og legitime formål. Formålene får betydning for hvor lenge virksomheten kan oppbevare de tilknyttede personopplysningene. Etter GDPR kan virksomheten bare oppbevare personopplysningene så lenge det er nødvendig for formålene som personopplysningene ble innhentet for. Det vil si at når en virksomhet samler inn personopplysninger for å oppfylle en lovpålagt plikt, vil den kunne oppbevare de aktuelle personopplysningene så lenge plikten vedvarer.
En virksomhet kan altså oppbevare regnskapsmateriale som inneholder personopplysninger i den utstrekning regnskapsmaterialet og tilhørende personopplysninger er underlagt oppbevaringsplikt etter bokføringsreglene. Når oppbevaringsplikten har utløpt, er utgangspunktet at virksomheten må slette eller anonymisere personopplysningene.
Vi kan hjelpe deg
Hvis du lurer på om din virksomhet lagrer personopplysninger, eller er usikker på om oppbevaringen skjer i samsvar med de krav som stilles, er vi i BDO klare til å hjelpe deg. Ta kontakt med oss, så bistår vi med å sikre at oppbevaring og sletting av personopplysninger skjer i samsvar med både bokføringsregelverk og GDPR.