Alle virksomheder er forpligtet til regelmæssigt at slette personoplysninger i henhold til GDPR, også kendt som “sletning af personoplysninger”. Reglerne kræver, at virksomheder sletter personoplysninger, når de ikke længere er nødvendige for at behandle dem til det formål, hvortil de blev indsamlet. Der er dog undtagelser fra denne hovedregel. Virksomheden kan f.eks. være nødt til at opbevare personoplysningerne i en vis periode i henhold til anden lovgivning, i hvilket tilfælde opbevaringen er lovlig.
Slette personoplysninger efter anmodning fra den registrerede
En registreret har i henhold til databeskyttelsesforordningen ret til at anmode om sletning af sine personoplysninger. Registrerede har altid ret til at indgive en anmodning om sletning til virksomheder, der behandler deres personoplysninger.
Virksomheden skal slette personoplysninger, når de ikke længere er nødvendige for at behandle dem til det formål, hvortil de blev indsamlet, samt når den registrerede anmoder om sletning. På den anden side kan virksomheden i nogle tilfælde have ret til at fortsætte behandlingen, selv om den registrerede anmoder om sletning af personoplysningerne.
Tilladt opbevaringsperiode for personoplysninger i henhold til GDPR
GDPR præciserer ikke præcist, hvor længe en virksomhed skal behandle personoplysninger. I stedet skal den virksomhed, der er dataansvarlig, selv foretage denne vurdering på grundlag af omstændighederne i hver enkelt sag.
Udgangspunktet er, at virksomheden skal behandle personoplysningerne, så længe det er nødvendigt til det formål, hvortil de blev indsamlet. På den anden side kan andre love, f.eks. regnskabslove eller love, der involverer arbejdsgivere, kræve, at virksomheden opbevarer visse personoplysninger i et vist antal år. I sådanne tilfælde bør virksomheden ikke slette de personoplysninger eller den dokumentation, som personoplysningerne optræder i. Et eksempel herpå er, at fakturaer, der indeholder personoplysninger, skal opbevares i det tidsrum, der kræves i henhold til lovgivningen (til regnskabsformål).
Anonymiserede personoplysninger er ikke omfattet af GDPR
Virksomheden behøver ikke altid at slette personoplysninger, når de ikke længere er nødvendige til formålet, hvis virksomheden i stedet anonymiserer dem. Når personoplysninger anonymiseres, udgør de ikke længere “personoplysninger”, men kun “oplysninger”, og anonymiserede personoplysninger er derfor ikke omfattet af GDPR.
Personoplysninger anses for at være anonymiserede, når det ikke længere er muligt at knytte oplysningerne til en levende fysisk person, enten direkte eller indirekte, alene eller i kombination med andre oplysninger.
Det er vigtigt at huske på, at anonymisering og pseudonymisering ikke er de samme. Pseudonymiserede personoplysninger er fortsat personoplysninger i henhold til GDPR og er således fortsat omfattet af de lovgivningsmæssige rammer.
Virksomheder kan fortsætte med at behandle personoplysninger, hvis behandlingen foretages for:
- Arkivering i samfundets interesse
- Et forskningsformål, der enten er historisk eller videnskabeligt.
- Statistiske formål Bemærk, at virksomheden skal træffe passende beskyttelsesforanstaltninger.
Fastlægge interne procedurer for korrekt og regelmæssig sletning af personoplysninger
For at sikre, at virksomheden regelmæssigt sletter personoplysninger og er i stand til at opfylde retten til sletning efter anmodning fra registrerede, bør virksomheden indføre interne procedurer. F.eks. procedurer for, hvordan en ansat skal forholde sig, når en registreret anmoder om sletning af sine personoplysninger. Desuden bør virksomheden have foruddefinerede datoer eller intervaller i løbet af året, hvor medarbejdere sletter personoplysninger fra forskellige lagringslokaliteter, såsom e-mailkurv, e-mailkurv, papirkurv, backupfiler osv.
Det er også en fordel at gennemgå indstillingerne i de forskellige systemer, som virksomheden anvender til at fastsætte automatiske sletningstider for gamle filkopier, inaktive brugerkonti og lignende.
