Husk at slette personoplysninger, når du ikke længere har noget lovligt formål med at opbevare dem! Så tydeligt kan man vel udlægge landsrettens skærpelse af bødestraffen mod en stor hotelkæde. Hotellet havde oplysninger om 500.000 personer liggende længere tid end formålet berettigede til.
En del af baggrunden i den omtalte sag skal findes i den tilsidesættelse, der er sket af nogle af de helt grundlæggende behandlingsprincipper i GDPR. Et af dem er, at behandlingen skal have et udtrykkeligt og legitimt formål. Et andet er, at personoplysninger kun må opbevares i det tidsrum, som er nødvendigt for opfyldelsen af formålet.
Opbevaring er også behandling…
CTRL – ALT – DELETE
Den velkendte tastekombination siger sådan set det hele. Du skal have kontroller på plads, som sikrer at alt, hvad du ikke må eller skal opbevare, bliver slettet inden for de fastsatte slettefrister.
Selvfølgelig kan der være modsatrette lovkrav, som forpligter dig til at gemme oplysningerne. Det kan f.eks. være bogføringsloven. Den pålægger dig at opbevare regnskabsmaterialet i 5 år fra udgangen af det regnskabsår, materialet vedrører. Hvis du har personoplysninger i din bogføring, så kan du ikke bare slette disse personoplysninger.
Sletning af personoplysninger i de systemer, vi anvender i en digitalisereret hverdag er bare ikke altid let. Derfor er det også vigtigt at sikre sig, at den databehandler man eventuelt bruger, rent faktisk er i stand til og forpligter sig til at slette eller tilbagelevere de omfattede personoplysninger efter instruks i databehandleraftalen.
Få styr på dine sletteprocedurer
Det kan som udgangspunkt være vanskelig opgave at beslutte sig for, hvornår du skal slette de personoplysninger, du behandler om andre personer. Det allerførste du skal gøre, er at gøre op med “nice-to-have”! Det er altså ikke en gyldig grund til at beholde oplysninger, du ikke har noget lovligt formål med at behandle. Væk med dem!
Kig derefter på dine behandlingsprocesser, altså de arbejdsgange og det lovgrundlag, der regulerer din behandling. Er du forpligtet til at opbevare personoplysningerne? (f.eks. bogføringsloven)? Beskriv den procedure du vil lægge til grund for sletning af sådanne oplysninger.
Dernæst tager du fat i de arbejdsgange, hvor du ikke har pligt til at opbevare, men hvor det kan begrundes ud fra forretningsmæssige årsager. Her kan du lægge en rimelighedsvurdering til grund for din sletteprocedure. “Jeg plejer at have brug for disse typer af oplysninger i to år, fordi jeg har erfaring for, at kunderne kan have brug for, at jeg kan finde tilbage til et eller andet.” Få fastlagt nogle generelle sletteprocedurer, som du kan “lægge ned over” de forskellige behandlingsaktiviteter. Så skal du ikke hele tiden kigge efter, om du skal slette.
Og fastlæg herefter i dit GDPR-årshjul, at du har en opgave med oprydning og sletning i f.eks. første og tredje kvartal.
Hvis du også har brug for at få styr på dine sletteprocedurer og øge dit kendskab til de grundlæggende regler og krav i GDPR, så ræk gerne ud til GDPR-hotline – jeg står klar til at give dig hånden, og vise dig en genvej til den sikre side.