Nyt fra Datatilsynet om sletning

GDPR nyt, marts 2019

Datatilsynet præciserer kravene til sletning i ny tekst

Personoplysninger må ikke behandles længere tid end det er nødvendigt. Dette af hensyn til de formål, som oplysninger i første omgang blev indsamlet til. Udover at sikre tilstrækkelig sletning, skal den dataansvarlige bl.a. også kunne dokumentere, at der er fastsat rimelige sletteprocedurer.

Forpligtelsen til at foretage sletning af personoplysninger er ikke ny, men har været en del af gældende ret siden persondatalovens ikrafttræden i år 2000. Databeskyttelsesforordningen viderefører i store træk disse regler. Slettepligten fremgår af princippet om opbevaringsbegrænsning i forordningens art. 5(1)(e), som fastsætter en forpligtelse til af egen drift at slette personoplysninger, der ikke længere er nødvendige at opbevare i henhold til det formål, hvortil de blev indsamlet.


Nyt om kravene til sletning af backup

Sletning har været defineret som uigenkaldelig sletning fra alle medier, herunder backup. Datatilsynets stringente tolkning heraf har i flere år givet væsentlige udfordringer ude i den praktiske virkelighed.

I sin nyeste tekst på området virker Datatilsynet til at have taget kritikken til efterretning. Udgangspunktet er fortsat, at der skal ske uigenkaldelig sletning fra alle medier. Men hvad angår backup, skal dette kun ske, ”hvis det er teknisk muligt.”

Hvis det ikke er teknisk muligt at slette fra backup, skal der i stedet sørges for, at personoplysningerne slettes, når en backup genetableres. I den forbindelse anbefaler Datatilsynet, at man foretager en log over de oplysninger, som mangler at blive slettet i backuppen. Loggen skal selvsagt ikke indeholde personhenførbare oplysninger. I stedet kan der henvises til, at en given kolonne eller række i et skema i backuppen skal slettes.

Datatilsynets tilsynsbesøg i 2018

Flere virksomheder og offentlige myndigheder har modtaget besøg fra Datatilsynet i løbet af 2018. Og flere kan forvente at få besøg i 2019.

Ved et oplæg i januar 2019 gjorde Datatilsynet det klart, at det er vigtigt, at man har nedskrevet sine sletteprocedurer. De havde bl.a. oplevet, at man flere steder blot huskede procedurerne i hovedet, hvilket ikke er tilstrækkeligt.

Datatilsynet har i øvrigt offentliggjort en række spørgeskemaer, som de brugte på deres tilsynsbesøg i 2018. De findes her. Der blev i spørgeskemaet om sletning bl.a. spurgt ind til eksakte slettefrister, tekniske systemer, automatiseret sletning, autorisation af personale, opfølgning på procedurer, logs og backups.


Den praktiske tilgang

Det kan være vanskeligt at omsætte de noget generelle principper for behandling af personoplysninger i art. 5(1)(e) til den praktiske virkelighed. Med henblik på at hjælpe til dette har Focus Advokater udarbejdet en vejledning om slettepligten, der findes her.

Først og fremmest er det vigtigt, at man skaber sig et overblik over de personoplysninger, man behandler, herunder hvilke systemer der understøtter sletning. Det følger i øvrigt af forordningens art. 25(1) (data protection by design), at man skal indrette sine systemer, så de understøtter overholdelse af reglerne, herunder princippet om opbevaringsbegrænsning.

Man bør indføre udløbsdatoer for de enkelte kategorier af oplysninger, hvor det er muligt. Man bør i den forbindelse se på, hvorvidt formålet med opbevaringen fortsat er aktuelt, om der foreligger et sagligt grundlag, og om der er en lovbestemt pligt til at opbevare oplysningerne, f.eks. i bogføringsloven. Er det ikke muligt at fastsætte en egentlig udløbsdato, bør den dataansvarlige fastsætte kriterier for sletning i stedet.


Afrunding

Det kan konstateres, at Datatilsynet har blødt op på sin stringente linje og anerkender, at teori ikke altid er så nem at omsætte til den praktiske virkelighed.

Den ændrede linje bør dog ikke få virksomheder til at slække på procedurerne, da kravene hertil fortsat er strenge, herunder særligt kravene til dokumentation.

Fokus bør således særligt være på følgende:

  • Tag stilling til sletteprocedurer for alle personoplysninger (hvis ikke det er muligt at fastsætte egentlige slettefrister, fastsættes kriterierne for, hvornår der skal ske sletning)
  • Sørg så vidt muligt for, at systemer sættes op til automatisk sletning
  • Sørg for løbende opfølgning på, om der sker rettidig sletning – og dokumentér denne opfølgning!

 

Læs mere her:

 

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning står vores persondatateam altid klar til at yde kvalificeret rådgivning.

Indlæg af
Jesper Løffler Søgaard Nielsen

Jesper Løffler Søgaard Nielsen

Associeret partner, advokat (L), Ph.D. Læs mere
Helene Arensbak Mørk

Helene Arensbak Mørk

Advokatfuldmægtig Læs mere