06 okt Undgå bøder fra Datatilsynet på grund af manglende sletning
6. oktober 2022
Vil du også helst undgå bøder fra Datatilsynet for manglende sletning? Så følg disse tre trin.
Der er klare regler for, hvordan du som virksomhed må opbevare persondata og ikke mindst for, hvornår du skal slette dem.
Men i praksis kan det være svært at efterleve reglerne, hvis der ikke er fastsat klare retningslinjer for intern sletning. DPO Danmark anbefaler en effektiv og anvendelig slettepolitik, der sikrer, at din virksomhed overholder lovgivningen.
Derfor får du her tre trin til, hvordan din virksomhed kan implementere en slettepolitik, der styrer jer uden om lovbrud og bøder:
- Identificer, hvor og i hvilke systemer virksomheden opbevarer persondata – det gælder både data på kunder, ansatte og forretningspartnere m.fl.
- Vurder, hvor lang tid det er relevant at opbevare disse persondata i forhold til det formål, virksomheden har indsamlet personoplysningerne til.
- Udarbejd en plan for rutinemæssig sletning af de personoplysninger, som tager højde for slettefrister, sletteansvarlige og slettemetoder.
Persondata må ikke opbevares længere end, at det er nødvendigt af hensyn til formålet. Sletningen kan ske både manuelt eller automatisk. Det vigtigste er blot, at det sker regelmæssigt, at planen er let at forstå og følge for medarbejderne, og at sletningen kan dokumenteres.
1) Hvor og i hvilke systemer opbevarer virksomheden persondata?
DPO Danmark anbefaler, at virksomheden identificerer, hvor og i hvilke systemer der sker opbevaring af persondata. Dette gælder enhver form for behandling af persondata, som virksomheden udfører i rollen som dataansvarlig.
Virksomheden skal altså undersøge det fulde omfang af deres persondataopbevaring. Det vil omfatte indsamling, opbevaring og behandling af persondata i it-systemer, i cloud løsninger, på medier (fx harddiske, cd, dvd, og USB-nøgler), herunder persondata i papirdokumentation (fx udskrifter).
2) Hvor lang tid er det relevant at opbevare persondata?
Som dataansvarlig skal virksomheden selv fastsætte slettefristerne. Det vil sige, at der skal foretages en saglig vurdering af, hvor lang tid det er relevant at opbevare persondata i forhold til det formål, virksomheden har indsamlet personoplysningerne til.
Virksomheden skal kunne påvise, at persondata kun opbevares så længe, at det er lovligt efter GDPR.
3) Er der en plan for rutinemæssige sletning med klar ansvarsfordeling og slettemetode?
For at persondata kan betegnes som ”slettet” i GDPR forstand, skal persondata uigenkaldeligt fjernes fra alle lagringsmidler, så de ikke længere kan genskabes. Persondata kan ikke betegnes som slettet, hvis de blot gøres ikke-læsbare eller ikke-tilgængelige ved fx at fjerne rettigheder til at tilgå persondata.
Persondata skal derfor slettes ved anerkendte metoder for sletning:
- Persondata, som opbevares i it-systemer og i cloud-løsninger, slettes ved hard delete (sletning). Virksomheden skal sikre, at leverandører af it-systemer og cloud-løsninger kan garantere sletning af persondata.
- Persondata, som opbevares på hardiske og USB-nøgler, slettes ved ”shredding”, ”wiping”, ”degausing” eller brænding.
- Persondata, som opbevares på optiske medier (CD, DVD, Solid State Drive – SSD) slettes ved ”erasing og overwritting” eller brænding.
- Papirdokumenter slettes ved makulering og/eller brænding.
Har du styr på de her tre trin, er din virksomhed godt gearet til at styre udenom bøder fra Datatilsynet.
En effektiv slettepolitik er et nøgleredskab til GDPR efterlevelse
Husk også, at jo flere persondata, virksomheden behandler, des vigtigere er det at implementere en slettepolitik … Tidligere afgørelser på området viser nemlig, at mængden af persondata, der ikke er blevet slettet i overensstemmelse med lovgivningen, udløser tilsvarende store bøder.
DPO Danmark hjælper dig gerne i mål med at implementere en effektiv slettepolitik. Kontakt os, hvis du vil høre mere.