GDPR: Hvornår skal man slette personoplysninger?

By 
Henning Mortensen
January 28, 2020

Alt for mange personoplysninger ligger og roder rundt i gamle applikationer og på gamle diske rundt omkring. Det er ulovligt, for man må kun behandle – herunder lagre – personoplysninger, så længe man har et formål med det. I denne artikel vil vi berøre, hvornår man skal slette personoplysninger.

Reglerne for sletning

I henhold til persondataforordningens artikel 5, stk. 1, litra e, må man ikke ”identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles”. Det betyder, at man skal slette personoplysninger, når man ikke længere har et formål med at behandle dem.

Slettepolitik – et eksempel på overvejelserne

Når man indsamler oplysningerne skal man have fastlagt et formål med at gøre det. Hvis man f.eks. har en onlinebutik, der sælger haveredskaber, vil man typisk indsamle oplysninger om kundens navn, adresse, mailadresse og måske telefonnummer for at kunne aflevere en ordre fra en kunde. Navn og adresse skal bruges til at fremsende haveredskaberne og skabe en faktura, mailadressen til at maile en ordrebekræftelse og faktura og telefonnummeret til at sende track and trace oplysninger. Alle oplysningerne er almindelige, og man opfylder en ”kontrakt” mellem parterne, så man vil finde sit retlige grundlag i artikel 6 stk. 1, litra b. Det er indlysende, at man kan beholde oplysningerne så længe ordren er undervejs, for ellers ved man ikke, hvem man skal sende varen til.

Det er ofte nødvendigt at personoplysningerne også tilknyttes en tidsstempling startende på det tidspunkt, hvor de indsamles. Ellers vil det ofte være umuligt at automatisere sletning af oplysningerne igen.
En uges tid efter varen er sendt må den dataansvarlige forvente, at den er nået frem til kunden, og spørgsmålet er derfor, om man har et formål med at bevare oplysningerne (og dermed behandle dem). Da kunden har to års reklamationsret, er det afgørende, at man i en 2-års periode gemmer oplysningerne, således at man kan imødekomme et eventuelt krav, der bliver rejst mod virksomheden. Derfor skal man gemme oplysningerne, i to år efter transaktionen er gennemført med det formål at kunne opfylde en retlig forpligtigelse. Det er altså et andet formål, end oplysningerne oprindeligt blev indsamlet til, men det er hjemlet i forordningens artikel 6, stk. 3, litra b, at man som dataansvarlig naturligvis skal overholde national lovgivning.

Når de to år er gået, må den dataansvarlige igen overveje, om der kan findes retligt grundlag for at gemme oplysningerne, eller om de nu skal slettes, fordi man ikke har et formål. Bogføringsloven tilsiger virksomheder, at de skal kunne dokumentere deres bogføringer i fem år. Det betyder, at den faktura, der udgør grundlaget for en økonomisk transaktion hos virksomheden, skal gemmes i fem år. På fakturaen er typisk anført navn og adresse, men sjældent mailadresse og telefonnummer. Fakturaen skal derfor gemmes, men det berettiger ikke til, at man gemmer mailadresse og telefonnummer. Hvis man ikke kan finde andre formål end retlig forpligtelse efter bogføringsloven efter de to år, skal man derfor slette oplysninger om mailadresse og telefonnummer. Man ville formodentlig også være pligtig til at slette andre oplysninger – f.eks. selve ordren.

Forordningen siger ikke noget om, i hvilke systemer oplysningerne skal slettes. Den siger alene, at det skal afgøres, om der er et formål til at behandle (gemme) oplysningerne. Hvis navn og adresse er registreret i et økonomisystem i tilknytning til fakturaen, er det naturligt at lade dem ligge der i de fem år. Hvis navn og adresse også er registreret i et separat kundesystem, bør det overvejes om det er praktisk at oplysningerne ligger der eller ej.

Efter de fem år kan man som udgangspunkt ikke gemme fakturaen med hjemmel i bogføringsloven. Der er nogle få varer, som giver længere hjemmel: Virksomheden er f.eks. pligtig til at gemme oplysninger om visse elektriske varer som følge af EU-regler. Hvis der er tale om at en kunde har købt en elektrisk hækkeklipper og denne fremgår af fakturaen vil virksomheden derfor være pligtig til at gemme oplysningerne i medfør af denne lovgivning i ti år. Hvis det ikke gør sig gældende og man i øvrigt ikke kan finde lovlige grundlag for opbevaring (behandling) skal fakturaen slettes.

Kompleksitet

Ovenstående eksempel er meget simpelt. En online haveredskabsbutik vil typisk indsamle flere oplysninger og bruge oplysningerne til flere formål. F.eks. ville de typisk indsamle en IP-adresse med det formål at have data til forensics (undgå svindel) og de ville typisk forsøge at få kunden til at (samtykke til at) modtage et nyhedsbrev og bruge mailadressen til det formål. IP-adressen ville man måske gemme i seks måneder og e-mailadressen til formålet nyhedsbreve, så længe samtykket er gyldigt. Onlinebutikken ville også medvirke til betalingen via en tredjepartsleverandør og dermed sikre, at tredjeparten fik oplysninger om kortnummer m.v. Alle disse oplysninger skal der således også fastlægges en slettepolitik for.

En filosofisk betragtning

Når fakturaen slettes efter fem år, og de øvrige oplysninger er blevet slettet tidligere, er der ikke længere noget bevis for, at handlen har fundet sted. Man kan spørge sig selv, om det er rimeligt. Nogle mennesker vil måske synes at det er positivt og en god service, at man efter 30 år bliver budt velkommen med: ”Velkommen tilbage – er du stadig glad for den løvrive du købte for 30 år siden?”. Andre vil synes, at det er skræmmende. Politisk har man altså besluttet, at oplysninger skal slettes, når de ikke længere tjener et formål – og at de registrerede har ret til at få slettet oplysningerne. Man har også politisk besluttet at borgerne som en af deres rettigheder, har retten til at blive glemt – altså til at bede om at få oplysninger slettet. Det skal man gøre, hvis man ikke har en retligt forpligtelse til at gemme dem. 

Undtagelser eller andre retlige grundlag, hvorefter sletning ikke skal finde sted

Ovenstående eksempel er meget simpelt, og der findes undtagelser, hvorefter sletning ikke skal finde sted.

For det første skal den offentlige forvaltning stort set aldrig slette personoplysninger. Det skyldes at offentlighedsloven pålægger notatpligt, således at sager i den offentlige forvaltning til enhver tid kan belyses. På den måde sikres det, at embedsværket kan dokumentere, at afgørelser er truffet på et lovligt grundlag. De registrerede kan også have en interesse i at se, hvad der har været grundlag for afgørelser. Det retlige grundlag for forvaltningens behandling er derfor som oftest artikel 6, stk. 1, litra e, og det retlige grundlag for ikke at slette er artikel 6, stk. 3, litra b.

For det andet skal oplysninger ikke slettes, jf. artikel 5, stk. 1, litra e, ”hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1”.

Konsekvensen er, at den offentlige sektor generelt ikke sletter personoplysninger, men i stedet overfører personoplysninger til arkiv, således at de gemmes for eftertiden. Men en positiv vending fra DR’s programserie: ”Forsvundne arvinger”, bliver disse oplysninger så til vores fælles historie.

Konklusion: sletning i praksis

Når personoplysninger indsamles, sker det typisk med et bestemt og afgrænset formål. Men deres videre skæbne, og dermed hvornår de slettes, bestemmes typisk af et andet formål. Det kan være nyttigt at skrive de slettefrister (svarende til de forskellige formål, man har med at behandle oplysningerne), der kan komme i spil ind i en tabel, og tilknytte dem de personoplysninger der registreres.

Man kan ikke i praksis gøre dette med hver eneste personoplysning man har, men man kan godt gøre det med kategorier af personoplysninger – f.eks.:

  • Potentielle kunder
  • Kunder
  • Forhenværende kunder
  • Nyhedsbrevsmodtagere
  • Leverandører
  • Forhenværende leverandører
  • Personer som er i rekrutteringsproces
  • Ansatte
  • Forhenværende ansatte
  • Bestyrelse

Ovenstående slettefrister bør skrives ind i en samlet slettepolitik, og denne beskrivelse kan udgøre en organisatorisk foranstaltning i medfør af artikel 24 og dokumentation efter artikel 5, stk. 2 af, hvordan den dataansvarlige efterlever artikel 5, stk. 1, litra e. På baggrund af ovenstående kan man designe en slettemekanisme til automatisk at slette oplysningerne i systemerne, når tiden kommer. Det vil være en teknisk foranstaltning efter artikel 24 osv. og vil desuden være et eksempel på databeskyttelse gennem design efter artikel 25. Man kan sige, at det er en daglig grønthøster, som tager en dags data af bunden af data, men en ny dags personoplysninger vokser ovenpå.

Links

Datatilsynet om sletning:
https://www.datatilsynet.dk/emner/persondatasikkerhed/sletning/