Sletning af personoplysninger

Sletning af personoplysninger i et system er en handling, der sikrer at oplysningerne ikke længere er tilgængelige. Hvis personoplysninger efter sletning fx kan tilgås af systemets administrator, er der ikke tale om en reel sletning. Hvis personoplysninger omvendt reelt set er slettet via operativsystemet, og på disken venter på at blive overskrevet med andre data, er der tale om sletning, da oplysningerne ikke længere med rimelige midler er tilgængelige.

Et system hvori der behandles personoplysninger kan typisk opdeles i en database, hvori alle oplysninger er lagret, og en brugerrettet del hvor oplysninger i databasen kan fremvises og redigeres. Der er således en kobling mellem databasen og den brugerrettede del, og typisk vil oplysningerne fremgå en-til-en. Der kan dog være systemer, der anvender en såkaldt ”soft delete”, hvor sletning i den brugerrettede del sletter koblingen men ikke personoplysningen i den bagvedliggende database. Her er der ikke tale om en reel sletning, da adgang til personoplysningerne stadig er mulig via databasen, uden om den brugerrettede del.

Når lagringsmedier, som harddiske og USB medier, der har været anvendt til behandling af personoplysninger bortskaffes, er det vigtigt at lagrede personoplysninger slettes forsvarligt, så oplysningerne ikke kan komme uvedkommende i hænde. For råd og vejledning i forbindelse med sletning i forbindelse med bortskaffelse henvises fx til NIST SP 800-88 Rev. 1.

Af databeskyttelsesforordningens artikel 5, stk. 1, litra e fremgår det, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. Det betyder, at når personoplysninger ikke længere er nødvendige, skal de som udgangspunkt slettes eller anonymiseres.

Det er den dataansvarlige selv, der – på baggrund af formålene med de behandlinger af personoplysninger der foretages – skal vurdere, hvornår personoplysningerne skal slettes. Det er i den forbindelse vigtigt at den dataansvarlige, for hver af de konkrete behandlinger der foretages, dokumenterer de slettefrister der fastlægges. Dette følger af kravet om ansvarlighed af databeskyttelsesforordningens artikel 5, stk. 2.

Der vil i mange tilfælde være særlovgivning, fx bogføringsloven eller hvidvaskloven, der regulerer hvor længe den dataansvarlige som minimum skal behandle en række konkrete personoplysninger. Det følger endvidere af reglerne i arkivloven, at der er adgang til arkivmæssig behandling af personoplysninger, dvs. arkivalier skal ikke slettes. I den forbindelse følger det af princippet om dataminimering, at de behandlede oplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Således skal den dataansvarlige indrette sin behandling på en sådan måde, at kun de nødvendige oplysninger behandles efter de lovfastlagte frister, og at slettefrister for øvrige personoplysninger fastlægges ud fra betragtningerne i artikel 5, stk. 1, litra c-e.

Mange systemer hvori der behandles personoplysninger understøtter logning af de handlinger, der udføres i systemet, herunder sletning af oplysninger. Den dataansvarlige skal holde sig for øje, at disse logs i sig selv kan indeholde personoplysninger, hvorfor der også skal tages stilling til slettefrister for disse logs.

Man kan som dataansvarlig med fordel indrette sin behandling med de enkelte behandlingers slettefrister for øje. Som et tænkt eksempel kan man forestille sig en webshop, hvor en kunde opretter en profil i virksomhedens system. Kunden giver samtykke til at modtage nyhedsbreve, som er personliggjort på baggrund af kundens tilkendegivne interesser i bestemte produkter. Når kunden foretager et køb i webshoppen gemmes en kopi af faktura til regnskabsformål. Virksomheden fastsætter på baggrund af bogføringsloven en slettefrist på 5 år for fakturaer. Desuden fastsætter virksomheden – med baggrund i forældelsesfristen for sager efter markedsføringslovens § 10 – en slettefrist på 2 år for det samtykke, som kunden har afgivet i forhold til modtagelse af nyhedsbrevet. Hvis kunden sletter sin profil i systemet slettes de øvrige oplysninger om vedkommende efter 6 måneder. På baggrund af behandlingerne og slettefristerne indretter virksomheden sine systemer på en måde, hvor fakturaer kun indeholder de fornødne oplysninger jf. bogføringsloven. På samme måde gemmes samtykker til modtagelse af nyhedsbrev separat med de fornødne personoplysninger, der kræves til dokumentation heraf. De øvrige oplysninger om kunden gemmes i kundens profil, som alle kan slettes på samme tid, når slettefristen er mødt. På den måde letter virksomheden sit arbejde med at overholde sine fastsatte slettefrister, idet fristerne og behandlingerne kan knyttes op på bestemte dele af systemet.

Som dataansvarlig bør man sikre sig, at der er taget stilling til hvilke procedurer, der skal følges, når personoplysninger skal slettes fra behandlingssystemerne. En sletteprocedure for et givent system, hvori der behandles personoplysninger, bør tage udgangspunkt i et flow, der følges fra det tidspunkt hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet.

En sletteprocedure bør inkorporere både tekniske og organisatoriske overvejelser, da der i forbindelse med sletning løbende udføres både tekniske og organisatoriske handlinger. Organisatoriske overvejelser kan indebære stillingstagen til: hvordan systemerne løbende undersøges for oplysninger, der har nået sin slettefrist; hvem der er ansvarlig for, at sletningen igangsættes; hvordan der følges op på, at sletningen er foretaget; hvordan det dokumenteres at sletningen er fuldført. Tekniske overvejelser kan indebære, at den dataansvarlige forholder sig til om sletningen skal foretages automatisk eller manuelt, samt hvilke konkrete datafelter i et system der vil blive påvirket af sletningen og på hvilken måde. Det kan fx være, at en kunde hos en virksomhed får hele sit datablad slettet i systemet, eller at kun de personhenførbare oplysninger slettes eller anonymiseres.

Der vil naturligt opstå et behov for sletteprocedurer for hvert af de systemer, hvori den dataansvarlige behandler personoplysninger, da disse typisk er forskelligt indrettet. Dog vil mange af de ovennævnte overvejelser kunne genanvendes for flere af systemerne og behandlingerne, hvilket kan lette arbejdet med at fastlægge procedurerne.

Det er vigtigt at man ikke stoler blindt på, at sletteprocedurer fungerer, og at personoplysninger bliver slettet planmæssigt uden fejl. For at sikre at slettekørsler er udført korrekt, og at der ikke fortsat opbevares personoplysninger, der burde have været slettet, bør den dataansvarlige derfor implementere en procedure for opfølgning på sletning. Dette kan indebære gennemgang af tekniske logs fra slettekørsler, automatiserede udtræk af data, der ifølge slettefristen burde have været slettet, til manuel gennemgang, o.l. Opfølgning på sletning giver en vished om, at de valgte sletteprocedurer virker, og at man som dataansvarlig overholder bestemmelserne fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, litra c-e. Opfølgning vil ligeledes hjælpe med tidligt at identificere personoplysninger, som burde have været slettet, men som mod forventning ikke er blevet det.

Af databeskyttelsesforordningens artikel 17 fremgår det, at den registrerede i en række tilfælde har ret til at få personoplysninger om sig selv slettet af den dataansvarlige. Det betyder, at når en registreret henvender sig til en dataansvarlig med anmodning om, at få slettet oplysninger om sig selv, som den dataansvarlige behandler, kan den dataansvarlige være pålagt at efterkomme dette ønske, selvom de af den dataansvarlige fastsatte slettefrister endnu ikke er nået. Du kan læse mere om retten til at blive glemt her.

Der findes ikke krav om, at den dataansvarlige skal dokumentere de anmodninger, man måtte have modtaget jf. artikel 17. Nogle dataansvarlige vælger dog, med baggrund i princippet om ansvarlighed jf. artikel 5, stk. 2, at føre en log over modtagne anmodninger efter retten til at blive glemt, med oplysninger om udfaldet og evt. datoen for den udførte sletning. Her skal den dataansvarlige naturligvis fastsætte rimelige slettefrister for loggen, og i øvrigt følge princippet om dataminimering i forhold til formålet med loggen.

Da det grundlæggende formål med en backup er at kunne genskabe data, hvis data i et system i drift skulle gå tabt, vil der nødvendigvis opstå situationer hvor der – efter sletning af personoplysninger i et system i drift – vil være tilsvarende personoplysninger lagret i en backup. Som dataansvarlig bør man forholde sig til de personoplysninger, der er lagret i backup, men som er blevet slettet fra et system i drift, fx som følge af slettefrist eller anmodning om retten til at blive glemt.

Det er Datatilsynets opfattelse, at personoplysninger skal slettes fra backups mv., hvis dette er teknisk muligt. Det kan være tilfældet hvis en backup består af en ukomprimeret kopi af en database, hvori sletning kan udføres på samme vis som for systemet i drift. Hvis det ikke er teknisk muligt at foretage sletning af enkelte data i en backup, skal den dataansvarlige sikre sig, at de personoplysninger der er slettet fra systemet i drift, også fjernes hvis en backup genetableres. Det kan derfor være nødvendigt at føre en log over sletninger, der er udført i systemet i drift, i forhold til det tidspunkt hvor en backup blev oprettet. En sådan log bør – ud fra princippet om dataminimering – ikke indeholde direkte personhenførbare oplysninger, men kan i stedet angive fx, at en given række i en tabel er slettet på et givent tidspunkt.

  • Tag stilling til slettefrister for de forskellige personoplysninger der behandles, med baggrund i behandlingens formål.

  • Dokumenter de fastsatte slettefrister.

  • Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne.

  • Fastlæg og dokumenter en procedure for sletning.

  • Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet.

  • Tænk sletning ind i behandlingen, så behandlingen indrettes således at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der anvendes.