Sletning: Hvorfor, hvornår og hvordan?

Når det ikke længere er nødvendigt at behandle personoplysninger, skal de slettes. Her kan du se nærmere på de krav, Datatilsynet stiller til sletning.

Hvad er sletning

Sletning af personoplysninger i et system er en handling, der sikrer at oplysningerne ikke længere er tilgængelige. Hvis personoplysninger efter sletning fx kan tilgås af systemets administrator, er der ikke tale om en reel sletning. Hvis personoplysninger omvendt reelt set er slettet via operativsystemet, og på disken venter på at blive overskrevet med andre data, er der tale om sletning, da oplysningerne ikke længere med rimelige midler er tilgængelige.

Et system hvori der behandles personoplysninger kan typisk opdeles i en database, hvori alle oplysninger er lagret, og en brugerrettet del hvor oplysninger i databasen kan fremvises og redigeres. Der er således en kobling mellem databasen og den brugerrettede del, og typisk vil oplysningerne fremgå en-til-en.

Der kan dog være systemer, der anvender en såkaldt ”soft delete”, hvor sletning i den brugerrettede del sletter koblingen men ikke personoplysningen i den bagvedliggende database. Her er der ikke tale om en reel sletning, da adgang til personoplysningerne stadig er mulig via databasen, uden om den brugerrettede del.

Når lagringsmedier, som harddiske og USB medier, der har været anvendt til behandling af personoplysninger bortskaffes, er det vigtigt at lagrede personoplysninger slettes forsvarligt, så oplysningerne ikke kan komme uvedkommende i hænde.

For råd og vejledning i forbindelse med sletning i forbindelse med bortskaffelse henvises fx til NIST SP 800-88 Rev. 1

Gode råd

  • Tag stilling til slettefrister for de forskellige personoplysninger der behandles, med baggrund i behandlingens formål.
  • Dokumenter de fastsatte slettefrister.
  • Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne.
  • Fastlæg og dokumenter en procedure for sletning.
  • Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet.
  • Tænk sletning ind i behandlingen, så behandlingen indrettes således at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der anvendes.

 

Procedure for sletning

Som dataansvarlig bør man sikre sig, at der er taget stilling til hvilke procedurer, der skal følges, når personoplysninger skal slettes fra behandlingssystemerne. En sletteprocedure for et givent system, hvori der behandles personoplysninger, bør tage udgangspunkt i et flow, der følges fra det tidspunkt hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet.

En sletteprocedure bør inkorporere både tekniske og organisatoriske overvejelser, da der i forbindelse med sletning løbende udføres både tekniske og organisatoriske handlinger. Organisatoriske overvejelser kan indebære stillingstagen til: hvordan systemerne løbende undersøges for oplysninger, der har nået sin slettefrist; hvem der er ansvarlig for, at sletningen igangsættes; hvordan der følges op på, at sletningen er foretaget; hvordan det dokumenteres at sletningen er fuldført.

Automatisk eller manuel sletning

Tekniske overvejelser kan indebære, at den dataansvarlige forholder sig til om sletningen skal foretages automatisk eller manuelt, samt hvilke konkrete datafelter i et system der vil blive påvirket af sletningen og på hvilken måde. Det kan fx være, at en kunde hos en virksomhed får hele sit datablad slettet i systemet, eller at kun de personhenførbare oplysninger slettes eller anonymiseres.

Der vil naturligt opstå et behov for sletteprocedurer for hvert af de systemer, hvori den dataansvarlige behandler personoplysninger, da disse typisk er forskelligt indrettet. Dog vil mange af de ovennævnte overvejelser kunne genanvendes for flere af systemerne og behandlingerne, hvilket kan lette arbejdet med at fastlægge procedurerne.

Opfølgning på sletning

Det er vigtigt at man ikke stoler blindt på, at sletteprocedurer fungerer, og at personoplysninger bliver slettet planmæssigt uden fejl. For at sikre at slettekørsler er udført korrekt, og at der ikke fortsat opbevares personoplysninger, der burde have været slettet, bør den dataansvarlige derfor implementere en procedure for opfølgning på sletning. Dette kan indebære gennemgang af tekniske logs fra slettekørsler, automatiserede udtræk af data, der ifølge slettefristen burde have været slettet, til manuel gennemgang, o.l.

Opfølgning på sletning giver en vished om, at de valgte sletteprocedurer virker, og at man som dataansvarlig overholder bestemmelserne fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, litra c-e. Opfølgning vil ligeledes hjælpe med tidligt at identificere personoplysninger, som burde have været slettet, men som mod forventning ikke er blevet det.

Retten til at blive glemt

Af databeskyttelsesforordningens artikel 17 fremgår det, at den registrerede i en række tilfælde har ret til at få personoplysninger om sig selv slettet af den dataansvarlige. Det betyder, at når en registreret henvender sig til en dataansvarlig med anmodning om, at få slettet oplysninger om sig selv, som den dataansvarlige behandler, kan den dataansvarlige være pålagt at efterkomme dette ønske, selvom de af den dataansvarlige fastsatte slettefrister endnu ikke er nået.

Læs mere om retten til at blive glemt

Der findes ikke krav om, at den dataansvarlige skal dokumentere de anmodninger, man måtte have modtaget jf. artikel 17. Nogle dataansvarlige vælger dog, med baggrund i princippet om ansvarlighed jf. artikel 5, stk. 2, at føre en log over modtagne anmodninger efter retten til at blive glemt, med oplysninger om udfaldet og evt. datoen for den udførte sletning. Her skal den dataansvarlige naturligvis fastsætte rimelige slettefrister for loggen, og i øvrigt følge princippet om dataminimering i forhold til formålet med loggen.

Backup og sletning

Da det grundlæggende formål med en backup er at kunne genskabe data, hvis data i et system i drift skulle gå tabt, vil der nødvendigvis opstå situationer hvor der – efter sletning af personoplysninger i et system i drift – vil være tilsvarende personoplysninger lagret i en backup. Som dataansvarlig bør man forholde sig til de personoplysninger, der er lagret i backup, men som er blevet slettet fra et system i drift, fx som følge af slettefrist eller anmodning om retten til at blive glemt.

Det er Datatilsynets opfattelse, at personoplysninger skal slettes fra backups mv., hvis dette er teknisk muligt. Det kan være tilfældet hvis en backup består af en ukomprimeret kopi af en database, hvori sletning kan udføres på samme vis som for systemet i drift.

Sletning af data i backup

Hvis det ikke er teknisk muligt at foretage sletning af enkelte data i en backup, skal den dataansvarlige sikre sig, at de personoplysninger der er slettet fra systemet i drift, også fjernes hvis en backup genetableres. Det kan derfor være nødvendigt at føre en log over sletninger, der er udført i systemet i drift, i forhold til det tidspunkt hvor en backup blev oprettet. En sådan log bør – ud fra princippet om dataminimering – ikke indeholde direkte personhenførbare oplysninger, men kan i stedet angive fx, at en given række i en tabel er slettet på et givent tidspunkt.

Indholdet på denne side er skrevet af Datatilsynet