Overholder I slettefristerne i henhold til GDPR? Sletning af personoplysninger er en central forpligtelse under GDPR og en vigtig del af ansvarlig håndtering af personoplysninger.
Hvis I ikke sletter personoplysninger rettidigt, risikerer I sanktioner og bøder fra Datatilsynet.
Flere sager viser konsekvenserne af manglende sletning. Blandt andet er en hotelkæde, et taxaselskab, og et møbelfirma blevet genstand for tilsyn og retssager på grund af utilstrækkelig sletning af personoplysninger.
Hvad siger reglerne om slettefrister?
Efter artikel 5, stk. 1, litra e i GDPR skal personoplysninger ”opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles;”. Det betyder, at I som udgangspunkt skal slette eller anonymisere personoplysninger, når de ikke længere er nødvendige at have for jeres virksomhed.
I skal derfor, som dataansvarlig, selv vurdere ved hver behandling, hvornår personoplysninger skal slettes på baggrund af formålene med de behandlinger, der foretages. I den forbindelse skal I være opmærksomme på, at der kan være lovgivning, der regulerer, hvor længe I minimum skal opbevare konkrete personoplysninger. Det følger f.eks. af bogføringsloven, at I skal opbevare regnskabsmateriale i 5 år fra udgangen af det regnskabsår, som materialet vedrører. Det er derfor vigtigt, at I dokumenterer de slettefrister som fastsættes samt at I overholder alle fristerne.
Hvad skal I gøre for at sikre korrekt sletning af personoplysninger?
For at sikre korrekt sletning i henhold til GDPR skal I fastlægge og dokumentere sletteprocedurer, tage højde for lovpligtige opbevaringskrav og løbende sikre, at personoplysninger slettes rettidigt.
Sådan sletter I personoplysninger korrekt
For at sikre overholdelse af GDPR’s regler om sletning af personoplysninger bør I:
- Fastlægge klare slettefrister
Personoplysninger skal slettes, når de ikke længere er nødvendige for det oprindelige formål, medmindre loven kræver en længere opbevaring.
- Dokumentere slettepolitikker
I bør have en skriftlig politik, der fastsætter slettefrister for forskellige typer af personoplysninger.
- Tage højde for lovgivning
Nogle personoplysninger er underlagt specifikke opbevaringskrav, fx bogføringsloven og hvidvaskloven.
- Implementere tekniske løsninger til automatisk sletning
Jeres IT-systemer bør understøtte korrekt og sikker sletning af personoplysninger.
- Etablere procedurer for kontrol og opfølgning
I bør foretage regelmæssige interne kontroller for at sikre, at sletning sker som planlagt.
- Sikre fuldstændig og uigenkaldelig sletning
Slettede personoplysninger skal fjernes på en måde, der forhindrer genskabelse eller adgang.
Læs mere om sletning af personoplysninger på Datatilsynets hjemmeside.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
