Når det ikke længere er nødvendigt at behandle personoplysninger, skal de slettes. Du må ikke opbevare data, der ikke længere har nogen funktion, men spørgsmålet er, hvad der forstås ved sletning, hvilke slettefrister du skal overholde samt hvilke procedurer for sletning, backup m.m., du med fordel kan følge.
Vi tager et kig på opbevaring af data og slettepolitikker neden for og kommer med en række konkrete råd til, hvordan du kommer i gang med at udarbejde en slettepolitik.
Hvor længe må man opbevare persondata?
I forbindelse med persondataforordningen er det oplagt at starte med at kigge på, hvad personoplysninger dækker over, samt hvilke typer af personoplysninger der findes.
Begrebet "personoplysninger" defineres af Datatilsynet således:
"En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger."
Grundlæggende kan de inddeles i tre kategorier:
- Personoplysninger (ikke-følsomme oplysninger)
- Særlige kategorier af personoplysninger (følsomme personoplysninger)
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger.
Opdelingen findes, fordi der gælder forskellige betingelser og procedurer for behandling af personoplysninger afhængig af oplysningernes følsomhed. Uanset hvilken form for personoplysninger du håndterer, er der dog krav til, hvor længe du må opbevare data – de lyder:
- Så længe du har lovhjemmel til opbevaringen.
- Så længe du har et legitimt formål med opbevaringen.
Har du ikke længere hverken lovhjemmel eller et legitimt formål, skal personoplysningerne slettes.
LÆS OGSÅ: En tilføjelse til GDPR: Databeskyttelsesloven
Hvornår skal persondata slettes?
Af databeskyttelsesforordningens artikel 5, stk. 1, litra e fremgår det, at:
”… personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.”
Som databehandler er det op til organisationen selv at vurdere, hvornår personoplysningerne skal slettes, altså hvornår de ikke længere udgør et legitimt formål eller opfylder kravet om lovhjemmel. Derudover skal organisationen ifølge artikel 5, stk. 2 desuden dokumentere, at sletningerne rent faktisk finder sted.
Hvad er sletning af personoplysninger?
Når der er tale om at slette personoplysninger, er det vigtigt at skelne mellem, hvor vidt de aktuelle data rent faktisk er slettet eller blot er gjort utilgængelige for brugere.
Et system, der anvendes til behandling af personoplysninger, kan som regel opdeles i henholdsvis en database, hvor alle oplysningerne ligger gemt, samt en brugerdel, hvor oplysningerne kan hentes og behandles. Sletning af personoplysninger fordrer, at oplysningerne ikke længere er tilgængelige i databasen. Hvis de eksempelvis stadig kan tilgås af systemets administrator, er der ikke tale om en reel sletning, og organisationen lever således ikke op til kravene om sletning af personoplysninger.
Som nævnt skal man som organisation dokumentere, at sletning af persondata finder sted, og det er derfor ikke nok vide, hvornår det skal gøres – det skal skrives ned, og der skal udarbejdes procedurer for processen.
Hvad er en slettepolitik?
Som dataansvarlig er det vigtigt at sikre sig, at sletning af data forløber efter planen, og det her her at slettepolitikker kommer i spil.
En slettepolitik er et sæt af retningslinjer og procedurer, der skal følges, hver gang personoplysninger indhentes. Allerede når personoplysningerne bliver gjort tilgængelige, bør organisationen have en plan for, hvornår de skal slettes igen, samt hvordan det bliver gjort og bekræftet i systemet.
Organisatoriske overvejelser i forbindelse med slettepolitikker kan indebære stillingtagen til følgende spørgsmål:
- Hvordan sikres det, at systemerne løbende undersøges for oplysninger, der har nået sin slettefrist?
- Hvem er ansvarlig for at sætte sletningen i gang?
- Hvordan følges der op på, om sletningen er udført efter forskrifterne?
- Skal sletningen foregå manuelt eller automatisk?
- Hvor stor en del af oplysningerne skal slettes?
Det sidste punkt – hvor stor en del af oplysningerne skal slettes – er aktuelt, fordi det er muligt at bibeholde oplysninger, så længe de ikke er personhenførbare.
Opfølgning og backup
Det er fristende at stole på, at det system, man har udviklet til sletning af data, fungerer efter hensigten, og at personoplysningerne bliver slettet planmæssigt uden fejl. Datatilsynet anbefaler dog, at der indføres en procedure for opfølgning på sletning.
Opfølgningen kan eksempelvis indebære en gennemgang af tekniske logs fra slettekørsler, automatiske udtræk af data til manuel gennemgang, etc. Her kan det være fordelagtivt at have en løsning til interne kontroller, som sikrer, at opfølgningen bliver udført korrekt til tiden og at den nødvendige information bliver dokumenteret.
Samtidig er det vigtigt at være opmærksom på, at der kan ligge personoplysninger lagret i en backup. Hele formålet med en backup er at kunne genskabe data, hvis data i et system i drift skulle gå tabt. Som dataansvarlig skal man derfor forholde sig til, hvordan de data, der er lagret i en backup, slettes, hvis de tilsvarende data slettes fra et system i drift.
Er det teknisk muligt bør personoplysninger slettes fra backup samtidig med, at de slettes fra systemet i drift. Er dette ikke muligt, bør der føres log over sletninger, så disse kan fjernes, hvis en backup genetableres.
4 tips til udformning af slettepolitik
Sletning af data er en stor del af databeskyttelsesforordningen. Ved hjælp af slettepolitikker og procedurer sikrer I, at I ikke uforvarende kommer til at opbevare data, der skulle være slettet.
Neden for har vi samlet fire konkrete råd til, hvordan din organisation kan påbegynde arbejdet med slettepolitikker.
- Overvej formålet med opbevaring af de respektive personoplysninger, så I har en retningslinje for, hvornår de bør slettes.
- Undersøg, om der er minimumskrav til den periode, hvori du skal opbevare specifikke data.
- Fastsæt en klar procedure for, hvordan personoplysninger slettes, samt hvordan sletningen efterfølgende dokumenteres.
- Overvej at inkludere en opfølgningsprocedure i slettepolitikken for at sikre, at sletningen er fuldendt og udført efter forskrifterne.
