Forpligtelsen til at foretage sletning af personoplysninger er ikke ny, men har været en del af gældende ret siden persondatalovens ikrafttræden i år 2000. Databeskyttelsesforordningen viderefører i store træk disse regler. Slettepligten fremgår af princippet om opbevaringsbegrænsning i forordningens art. 5(1)(e), som fastsætter en forpligtelse til af egen drift at slette personoplysninger, der ikke længere er nødvendige at opbevare i henhold til det formål, hvortil de blev indsamlet.
Sletning har været defineret som uigenkaldelig sletning fra alle medier, herunder backup. Datatilsynets stringente tolkning heraf har i flere år givet væsentlige udfordringer ude i den praktiske virkelighed.
I sin nyeste tekst på området virker Datatilsynet til at have taget kritikken til efterretning. Udgangspunktet er fortsat, at der skal ske uigenkaldelig sletning fra alle medier. Men hvad angår backup, skal dette kun ske, ”hvis det er teknisk muligt.”
Hvis det ikke er teknisk muligt at slette fra backup, skal der i stedet sørges for, at personoplysningerne slettes, når en backup genetableres. I den forbindelse anbefaler Datatilsynet, at man foretager en log over de oplysninger, som mangler at blive slettet i backuppen. Loggen skal selvsagt ikke indeholde personhenførbare oplysninger. I stedet kan der henvises til, at en given kolonne eller række i et skema i backuppen skal slettes.
Flere virksomheder og offentlige myndigheder har modtaget besøg fra Datatilsynet i løbet af 2018. Og flere kan forvente at få besøg i 2019.
Ved et oplæg i januar 2019 gjorde Datatilsynet det klart, at det er vigtigt, at man har nedskrevet sine sletteprocedurer. De havde bl.a. oplevet, at man flere steder blot huskede procedurerne i hovedet, hvilket ikke er tilstrækkeligt.
Datatilsynet har i øvrigt offentliggjort en række spørgeskemaer, som de brugte på deres tilsynsbesøg i 2018. De findes her. Der blev i spørgeskemaet om sletning bl.a. spurgt ind til eksakte slettefrister, tekniske systemer, automatiseret sletning, autorisation af personale, opfølgning på procedurer, logs og backups.
Det kan være vanskeligt at omsætte de noget generelle principper for behandling af personoplysninger i art. 5(1)(e) til den praktiske virkelighed. Med henblik på at hjælpe til dette har Focus Advokater udarbejdet en vejledning om slettepligten. Denne kan rekvireres af klienter.
Først og fremmest er det vigtigt, at man skaber sig et overblik over de personoplysninger, man behandler, herunder hvilke systemer der understøtter sletning. Det følger i øvrigt af forordningens art. 25(1) (data protection by design), at man skal indrette sine systemer, så de understøtter overholdelse af reglerne, herunder princippet om opbevaringsbegrænsning.
Man bør indføre udløbsdatoer for de enkelte kategorier af oplysninger, hvor det er muligt. Man bør i den forbindelse se på, hvorvidt formålet med opbevaringen fortsat er aktuelt, om der foreligger et sagligt grundlag, og om der er en lovbestemt pligt til at opbevare oplysningerne, f.eks. i bogføringsloven. Er det ikke muligt at fastsætte en egentlig udløbsdato, bør den dataansvarlige fastsætte kriterier for sletning i stedet.
Det kan konstateres, at Datatilsynet har blødt op på sin stringente linje og anerkender, at teori ikke altid er så nem at omsætte til den praktiske virkelighed.
Den ændrede linje bør dog ikke få virksomheder til at slække på procedurerne, da kravene hertil fortsat er strenge, herunder særligt kravene til dokumentation.
Fokus bør således særligt være på følgende:
Har du spørgsmål til emnet eller brug for rådgivning står vores persondatateam altid klar til at yde kvalificeret rådgivning.
Jesper Løffler Nielsen
Udlejers opsigelsesskrivelse – gør det rigtigt fra start!
Hvornår er rygning i et lejemål misligholdelse – og hvad kan udlejer gøre?
Entreprisekontrakter i nybyggeri – hvad skal du som bygherre være opmærksom på?