AVG: hoe lang mag je persoonsgegevens bewaren?
Veel ondernemers vragen zich af wat de bewaartermijn is in relatie tot de privacyregels. Hoe lang mag je gegevens bewaren?
Bewaartermijn nieuwe privacywetgeving
De Algemene Verordening Gegevensbescherming (AVG) geeft geen concrete bewaartermijn voor persoonsgegevens, maar noemt in artikel 5.1 wel opslagbeperking. Hierin wordt aangegeven dat een persoonsgegeven alleen bewaard mag worden als identificeerbaar gegeven, voor zolang het nodig is voor de doeleinden waarvoor het verzameld is. Als de gegevens geanonimiseerd kunnen worden, mogen de gegevens langer bewaard worden. Het is dan immers niet meer mogelijk een persoon hiermee direct of indirect te identificeren.
Regels voor het bewaren van persoonsgegevens
Bij het bewaren van persoonsgegevens kent de AVG een aantal fases. Elke fase heeft eigen regels voor het bewaren van persoonsgegevens:
- De gebruiksfase: dit is de periode waarin je de gegevens nodig hebt. Je verwerkt de persoonsgegevens voor het bereiken van je verwerkingsdoel(en). In deze fase hoef je de persoonsgegevens nog niet te bewaren of archiveren.
- De archiveringsfase: dit is de periode waarin je de persoonsgegevens misschien nog nodig hebt of waarin je de persoonsgegevens archiveert. In deze fase bewaar je gegevens om administratieve redenen of wettelijke voorschriften.
- De fase waarin je de persoonsgegevens op geen enkele manier (meer) nodig heeft. In deze fase moet je ervoor zorgen dat je de persoonsgegevens niet langer bewaart, tenminste: niet in de vorm van persoonsgegevens. Je moet de gegevens wissen, vernietigen of anonimiseren tenzij in wet- en regelgeving een wettelijke bewaartermijn is vastgelegd.
Wettelijk verplichte bewaartermijn
Voor bedrijfsmatige documenten en personeelsgegevens bestaan wettelijke minimale bewaartermijnen:
- Bedrijfsmatige documenten, zoals de jaarrekening, winst- en verliesrekening, administraties en facturen voor de omzetbelasting, moeten minimaal zeven jaar bewaard worden.
- De gegevens van bedrijfsmatig onroerend goed en de ledenadministratie van een coöperatie met aansprakelijkheid van de leden moeten minimaal tien jaar bewaard worden.
- Sollicitatiebrieven en -correspondentie mag je zonder toestemming na afloop van de sollicitatieprocedure maximaal vier weken bewaren.
- Sollicitatiebrieven en cv’s voor eventuele toekomstige vacatures mag je met expliciete toestemming van de sollicitant maximaal een jaar bewaren.
- Als een medewerker uit dienst treedt, moeten de verslagen van functioneringsgesprekken minimaal twee jaar bewaard blijven, de loonbelastingverklaringen en kopieën van identiteitsbewijzen minimaal vijf jaar en de afspraken over salaris en arbeidsvoorwaarden minimaal zeven jaar. Voor de arbeidsovereenkomst, verslaglegging in het kader van de Wet verbetering poortwachter, vutregeling en afspraken omtrent OR-werk geldt een maximale bewaartermijn van twee jaar.
Bepalen van de bewaartermijn
Omdat de AVG geen concrete bewaartermijn geeft, mag je de duur van een bewaartermijn zelf bepalen, rekening houdend met de wettelijke minimale en maximale bewaartermijnen. Hierbij moet je een belangenafweging maken tussen het verwerkingsdoel en een mogelijk gevolg voor de betrokkene. Naarmate de negatieve gevolgen voor de betrokkene groter kunnen zijn, zul je de noodzaak van het toch bewaren van de gegevens beter moeten kunnen onderbouwen.
Meer weten?
ABAB Legal is graag van betekenis. Door kennis te delen, advies te geven en voor inzicht te zorgen. Wil je weten of je overeenkomsten en algemene voorwaarden voldoen aan de nieuwe wetgeving? Neem contact op met Jorrit Morra, jurist ondernemingsrecht, via telefoonnummer 013-4647180 of stuur Jorrit een e-mail.