Sletning af persondata er den største synder i Databeskyttelsesforordningen

Har du styr på data retention og slettefrister

Du er sikkert efterhånden godt bekendt med databeskyttelsesforordningen (GDPR), men har du styr på data retention og interne slettefrister? Vær sikker på at få slettet dine persondata i tide og undgå at lande på listen over virksomheder, der har måtte betale store bøder for deres manglende overholdelse af slettepolitikker.

Databeskyttelsesforordningen har gennemgribende ændret den måde, hvorpå personoplysninger indsamles, behandles og lagres. Her to år efter GDPR’s indtog, har vi lært hvad den største forseelse er: Et af de mest udfordrende aspekter af forordningen er at få slettet data. Hvad enten det er overholdelse af en intern slettefrist, udløb af en kontrakt eller aftale eller en anmodning fra bruger om, at få slettet dennes data.

Der er set flere tilfælde i ind – og udland, hvor virksomheder eller organisationer fejler i at overholde slettefrister og bliver straffet med den helt store bødeblok. Også herhjemme har vi set flere større firmaer blive ofre for en sand bøderegn fra Datatilsynet.

Manglende viden kan føre til, at virksomheder eller organisationer ikke får lavet den nødvendige risikovurdering der skal til, for at kunne stå på mål for udfordringen.

GDPR handler også om sletning af data

Med databeskyttelsesforordningen kom strengere krav til, hvor længe personoplysninger må lagres. Virksomheder og organisationer skal være disciplinerede omkring deres opbevaring af personoplysninger og information.

I databeskyttelsesforordningen bliver der ikke nævnt noget om, hvor længe data må opbevares, kun at data må gemmes så længe de tjener et formål for virksomheden eller organisationen.

Jo længere data opbevares des større er sandsynligheden for, at data bliver forældet og jo sværere bliver det, at sikre at data er præcise.

Netop den lange og unødvendige opbevaringstid har givet anledning til bøder for en række danske virksomheder.

IDdesign

Efter et tilsynsbesøg i 2018, blev møbelvirksomheden IDdesign indstillet til en bøde på 1,5 mio. kr. for manglende overholdelse af interne sletteregler.

Møbelvirksomheden havde i tre selvstændige IDEmøbelbutikker et ældre system til opbevaring af personoplysninger og havde ikke forholdt sig til hvornår disse oplysninger ikke længere var nødvendige. Derfor havde møbelvirksomheden heller ikke fastlagt eller overholdt slettefrister. Datatilsynet fandt at møbelvirksomheden fejlede i at overholde databeskyttelsesforordningens krav om sletning.

Læs om afgørelsen her.

Taxa 4×35

Et tilsynsbesøg i 2018 hos Taxa selskabet 4×35, resulterede i en bøde på 1,2 mio. kr.

Datatilsynet så på, om taxaselskabet havde fastsat frister for sletning af kundernes oplysninger og om disse blev overholdt. Ved tilsynet blev det konstateret, at der fandtes oplysninger om et stort antal kunder, der efter Datatilsynets opfattelse ikke længere var basis for at opbevare.

Læs om afgørelsen her.

Arp-Hansen Hotel Group A/S

Hotelkæden Arp-Hansen politianmeldes og indstilles til en bøde på 1,1 mio. kr. for at fejle i at overholde sine egne slettefrister.

Under et tilsyn konkluderede Datatilsynet, at særligt et bookingsystem indeholdt personoplysninger, som burde være slettet. Ca. 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget. Arp-Hansen er derfor blevet indstillet til en bøde for ikke at have levet op til forordningens krav om sletning.

Læs mere om sagen her.

Gladsaxe og Hørsholm kommune

Den seneste sag i Datatilsynets anmeldelse af sager, er sagen om Gladsaxe og Hørsholm kommune som begge er blevet indstillet til bøder på hhv. 100.000 og 50.000 kroner. Begge kommuner har ikke været i stand til at overholde databeskyttelsesforordningens krav om et passende sikkerhedsniveau for opbevaring af data.

I 2018 blev der fra Gladsaxe Rådhus stjålet 4 bærbare pc’er, der indeholdt regneark med fortrolige oplysninger om ca. 20.000 af kommunens borgere.

I 2019 blev der i Hørsholm kommune stjålet en computer, der indeholdt følsomme personoplysninger på mere end 1600 ansatte.

I ingen af de to sager, havde kommunen beskyttet sine computere med kryptering og tabet af personoplysninger udgjorde derfor en unødig høj risiko for borgerne.

Læs mere om sagen her.

Hvorfor er det så vigtigt at slette personoplysninger?

Der er nogen der måske vil mene, at det er mere sikkert at holde på personoplysninger længere tid end påkrævet, i den tro, at man måske vil få brug for dem på et senere tidspunkt. Men når en virksomhed eller organisation sletter eller anonymiserer personlige oplysninger, når der ikke længere er brug for dem, forhindrer de at data bliver forældede, forkerte og irrelevante. Derudover mindskes oddsene for, at fortrolige oplysninger eksponeres i tilfælde af et eller flere systemdatabrud, som i eksemplet med Gladsaxe og Hørsholm kommune.

Det er altså uhensigtsmæssigt at opbevare unødvendige personoplysninger, både af hensyn til føromtalte, men også pga. de omkostninger der er forbundet med sikkerhed og opbevaring. Derfor skal personoplysninger, der ikke længere tjener noget formål, straks slettes.

Databeskyttelsesforordningen, artikel 5, stk. 1:

”(…)personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.”

”(…) Det er i første omgang op til den enkelte dataansvarlige at vurdere, hvor længe det er nødvendigt at opbevare oplysningerne ud fra det formål, som oplysningerne oprindelig blev indsamlet til.”

Læs om sletning af personoplysninger i Databeskyttelsesforordningen her.

Så hvad er data retention?

Data retention, også kendt som datalagring, er kontinuerlig lagring af en virksomhed eller organisations data. I dag henviser data retention til den måde, som personoplysninger håndteres og lagres på.

Obligatorisk datalagring er en retshåndhævelsespraksis, der kræver at websteder gemmer personoplysninger under forpligtelsen om, at alle registrerede oplysninger gøres tilgængelige, når myndighederne /Datatilsynet kræver at se dem.

En datalagringspolitik er en virksomheds eller organisations system til opbevaring, lagring og sletning af personoplysninger. Det er nødvendigt med en robust datalagringspolitik, der sikrer at alle regler i lovgivningen overholdes.

En implementering af en datalagringspolitik begynder med en oversigt over de forskellige personoplysninger som en virksomhed eller organisation håndterer, og en klassificering af dem.

Der skelnes mellem 3 forskellige typer af data:

1. Almindelige oplysninger:

  • Grundlæggende identitetsoplysninger (navn, adresse, e-mailadresse, telefonnummer osv.)
  • Webdata såsom IP-adresse, cookiedata, placering og RFID-tags
  • Alle oplysninger, der vedrører en identificeret eller identificerbar levende person. Dette inkluderer bl.a. brugergenererede data såsom opslag på sociale medier, upload af billeder til websteder og andre unikke personoplysninger.

2. Særlige kategorier af oplysninger (følsomme oplysninger)

  • Race og/eller etnisk oprindelse
  • Oplysninger om en persons seksuelle orientering
  • Biometriske data
  • Genetiske data
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Helbredsoplysninger

3. Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger.

  • En bestemmelse af hvor længe forskellige typer af data skal opbevares samt en vejledning i, hvordan oplysningerne skal lagres
  • En permission framework, der præciserer hvilken person/er, der har adgangsrettigheder til den lagrede data. Derudover en protokol for adgangsrettigheder samt en beskrivelse af, hvordan disse håndhæves
  • En nøjagtig beskrivelse af lovgivningen med en forklaring på, hvordan din datalagringspolitik sikrer compliance i henhold til GDPR
  • En tydelig protokol for bortskaffelse og/eller sletning af data samt en præcis beskrivelse af, hvordan denne opretholdes

Hvorfor er det vigtigt med en data retention policy?

En datalagringspolitik er en afgørende faktor i beskyttelsen af data for at undgå økonomiske, civile og kriminelle sanktioner, der undertiden kan skyldes dårlig datahåndteringspraksis.

GDPR 5 gode råd

Virksomheder og organisationer i dag er i stigende grad afhængige af elektronisk information, der normalt ikke er gemt eller katalogiseret i arkivsystemer.

Anskaffelse af vigtig digital forretningskommunikation giver næring til forretningsprocesser og er afgørende for at hjælpe med at sikre, at virksomheder og organisationer ikke kun følger brancheforskrifter og juridiske krav, men også at de har kontrol over tilstrækkelig sikkerhedskopiering af data i tilfælde af uheldige hændelser.

Vi kan hjælpe dig og din virksomhed med at beskytte dine data og overholde slettefrister. Kontakt os og hør mere

Disclaimer: Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne.

GDPR Cookies og Marketing

GDPR påvirker hvordan du bruger cookies til at indsamle personoplysninger om dine besøgende på og hvordan du behandler disse oplysninger.

GDPR guide til at omgå de mest signifikante fælder

Vi har lavet en GDPR guide, så du kan opnå GDPR compliance. Vi tager dig igennem 7 punkter til at opnå GDPR compliance.

2 år med GDPR

Denne artikel giver dig et overblik over nogle af de vigtigste principper på vejen til at blive GDPR compliant samt konsekvenserne ved mangel på samme.