Ifølge persondataforordningen skal man slette personoplysninger, når det ikke længere er nødvendigt at opbevare dem. Forordningen giver imidlertid ikke svar på, præcis hvad slettefristen kan/skal være.
Når noget skal slettes, betyder det, at det ikke længere må kunne tilgås af den dataansvarlige. Det kan lyde nemt, men IT-fagkyndige ved, at sletning er en kompleks størrelse, og forvirringen har derfor været stor med hensyn til, hvornår noget er slettet i forordningens forstand.
Sletning kan enten ske automatisk ved hjælpe at IT-systemer, som sørger for sletning, når en bestemt dato er nået. I mange tilfælde må sletning dog foretages manuelt, dvs. at en person (medarbejder) er ansvarlig for at slette til tiden. Det er vigtigt at have klarlagt sin sletteprocedure, og at de personer, der måtte være ansvarlige for manuel sletning, er klar over, hvad forpligtelsen indebærer.
Endelig er det vigtigt at have en procedure for efterfølgende opfølgning/kontrol, således at man som dataansvarlig sikrer sig, at sletning er sket til de vedtagne frister.
Som dataansvarlig skal man sørge for at slette personoplysninger, når det ikke længere er nødvendigt at opbevare oplysningerne. Hvor lang tid man kan/må opbevare personoplysninger afhænger derfor bl.a. af, hvad formålet med opbevaringen er, herunder om der er en retlig forpligtelse til at kunne dokumentere nogle oplysninger i en vis periode.
For visse oplysninger, der gemmes i økonomisystemet, fx oplysninger der fremgår af fakturaer eller andre bogføringsbilag, vil formålet eksempelvis være overholdelse af bogføringsloven. Når en virksomhed gemmer oplysninger om jobansøgere, der har fået afslag på en jobansøgning, i en periode efter at ansættelsesprocessen er afsluttet, kan det være for at kunne dokumentere ansættelsesprocessen lovlighed, herunder at afslag ikke skyldes forskelsbehandling/diskrimination.
I forhold til hvert enkelt formål er det nødvendigt at vurdere, hvor lang tid man skal opbevare oplysningerne, og ligeledes hvilke oplysninger, der overhovedet er nødvendige til opfyldelse af formålet. Der kan således være forskellige slettefrister knyttet til forskellige oplysninger om den samme person. Hver personoplysning bør derfor i princippet vurderes for sig.
I visse tilfælde kan det være nemt at fastslå, hvornår oplysninger kan slettes, fordi der i anden lovgivning er fastsat pligt til opbevaring i en vis periode, mens det for andre typer oplysninger kræver, at man som dataansvarlig selv foretager en vurdering. I enkelte tilfælde har Datatilsynet haft lejlighed til at tage stilling til lovlighed af visse opbevaringsfrister i konkrete afgørelser, hvilket kan indgå i virksomhedernes vurdering. I størstedelen af tilfældene er det dog virksomheden selv, som bliver nødt til at fastsætte fristen. Forordningen angiver således ikke bestemte slettefrister, og den dataansvarlige må derfor selv fastsætte disse ud fra de kriterier, som GDPR angiver.
Personoplysninger må kun anvendes til det/de formål, de oprindeligt blev indsamlet til. Når det ikke længere er nødvendigt at opbevare oplysningerne til det formål, skal de slettes. Hvis man ønsker at opbevare oplysninger til et andet formål, skal man enten spørge om lov først, eller i hvert fald orientere den pågældende om, at formålet nu har ændret sig.
I nogle tilfælde vil det ikke være muligt at fastsætte en konkret frist, og her vil man i stedet være nødt til at opstille nogle kriterier for, hvornår der sker sletning.
Når man har fået fastlagt nogle faste slettefrister eller kriterier for sletning, skal der udarbejdes en procedure for, hvordan sletningen skal foregå. Sletning kan enten ske ved hjælp af tekniske løsninger, som automatisk foretager sletningen, eller sletning kan ske manuelt.
Hvis sletning skal foretages manuelt, er det vigtigt, at man som dataansvarlig har udpeget den/de ansvarlige, og at de er fyldestgørende instrueret i, hvordan og hvornår sletning skal ske.
Det er endvidere nødvendigt. at man som dataansvarlig sikrer sig, at sletning rent faktisk sker i overensstemmelse med de frister/kriterier for sletning, der er fastlagt. Ved brug af tekniske sletteløsninger vil det derfor være nødvendigt at have procedurer, som sikrer, at sletningen rent faktisk har fundet sted. Det kan eksempelvis være ved manuel gennemgang af udskrifter fra systemet.
Hvis selve sletningen foregår manuelt, er det ligeledes nødvendigt at have procedurer, som sikrer, at sletningen rent faktisk finder sted. Det betyder, at man løbende er nødt til at tjekke op på, at den eller de medarbejdere, som har ansvar for en manuel sletning, rent faktisk foretager sletningen.
Proceduren for sletning fungerer som dokumentation for, at sletningen rent faktisk har fundet sted. Det er efter Datatilsynets praksis ikke nødvendigt at have en egentlig log over de sletninger, der er foretaget, da selve loggen ofte vil indeholde personoplysninger.
Kort beskrevet skal oplysninger slettes på en måde, så det ikke længere er muligt at få adgang. Det er ikke nok, at brugerne af systemet ikke længere har adgang. Hvis en person med administratorrettigheder til systemet stadig kan få adgang til oplysningerne efter sletning, er der altså ikke tale om en sletning i persondataretlig forstand. Det kan eksempelvis være tilfældet i systemer, hvor en sletning i brugerdelen af systemet ikke samtidig medfører en sletning i den bagvedliggende database. En såkaldt soft-delete-funktion, hvor det, der slettes, alene er forbindelsen mellem brugerfladen og den bagvedliggende database, er altså ikke tilstrækkelig.
Når hardware skal kasseres, er det ligeledes vigtigt, at man sikrer sig, at der ikke findes personoplysninger på mediet, før det kasseres. Dette gælder også bærbar pc’er, mobil devices og eksterne harddiske samt USB-stik. Det kan i mange tilfælde være en fordel – og nødvendigt - at indgå aftale med en ekstern samarbejdspartner om destruktion af hardware. I den forbindelse bør man sikre sig, at denne samarbejdspartner kan dokumentere, at destruktionen lever op til de gældende anbefalinger.
I langt de fleste tilfælde vil det være muligt at slette de oplysninger, som man ikke har behov for længere. I visse tilfælde, eksempelvis ved mange typer af backups, er det dog ikke teknisk muligt at foretage en sletning. Dette er accepteret af Datatilsynet, men det kræver, at man ved en genetablering af en backup skal have procedurer, som sikrer, at de slettede filer bliver slettet igen. Dette kan ske ved en slettelog, hvor der holdes overblik over hvilke oplysninger, der slettes. Hvis det er teknisk muligt, bør denne log ikke indeholde personoplysninger.
For at sikre at der ikke indsamles unødvendige personoplysninger, og at de indsamlede personoplysninger slettes, når der ikke er behov for dem længere, er det nødvendigt at udarbejde procedurer for sletningen. Har du brug for hjælp til udarbejdelse af sådanne procedurer, så kontakt os endelig.