Opbevaring af persondata og personoplysninger

Opbevaring af persondata – hvor længe må man opbevare?

Opbevaring af persondata. Hvor længe må man opbevare personoplysninger? Hvornår skal de slettes? Hvad står der i GDPR (databeskyttelsesforordningen)? Og hvad er der af afgørelser fra Datatilsynet omkring sletning af personoplysninger?

Det og meget mere kan du læse om i denne artikel.

Har du brug for hjælp til GDPR og persondata? Kontakt os her for at høre mere om, hvordan vi kan hjælpe.

Du kan læse hele artiklen herunder.

Opbevaring af persondata

Hvor længe må man opbevare personoplysninger?

Mange virksomheder og andre organisationer har siden 25. maj 2018 haft fokus på opbevaring af persondata, da den nye persondataforordning (databeskyttelsesforordningen) har fået virkning.

Det er svært at give en generel vurdering af, hvor længe personoplysninger må opbevares. Det vil nemlig altid være en konkret vurdering ud fra bl.a.:

  • Hvilke oplysninger opbevarer du?
  • Hvad er formålet med at opbevare dem?
  • Hvor længe har du opbevaret dem hidtil?
  • Hvad er dit behandlingsgrundlag?

Det vil derfor være en helhedsvurdering fra sag til sag, som Datatilsynet vil vurdere.

Det generelle svar til, hvor længe du må opbevare persondata vil være, at du må opbevare så længe, at du stadig har et behandlingsgrundlag (hjemmel) og et legitimt formål.

Du skal derfor:

  1. Have et behandlingsgrundlag (hjemmel) og
  2. Have et legitimt formål

I forhold til reglerne om opbevaring af personoplysninger skal du ikke blot have fastsat slettefrister. Du skal ligeledes sikre dig, at opbevaringen sker forsvarligt. Efter GDPR (databeskyttelsesforordningen) skal du foretage passende tekniske og organisatoriske sikkerhedsforanstaltninger ud fra en konkret vurdering. Det betyder bl.a., at oplysninger for eksempel ikke nødvendigvis må ligge tilgængeligt for alle medarbejdere i organisationen.

Det vigtigste er dog, at du får taget holdning. Hvis du slet ikke har taget nogen holdning endnu og dermed ikke gjort dig nogle overvejelser i relation til persondataforordningen og opbevaring af persondata, vil du ved tilsyn af Datatilsynet med sandsynlighed kunne få udtalt kritik og eventuel med bøde til følge.

Læs mere om reglerne for opbevaring af personoplysninger herunder.

Du skal have et “behandlingsgrundlag”

Som nævnt skal du 1) have et behandlingsgrundlag (hjemmel) og 2) have et legitimt formål.

Har du ikke længere både et behandlingsgrundlag og legitimt formål, vil du være forpligtet til at skulle slette oplysningerne.

Men hvad er et behandlingsgrundlag overhoved for noget?

Behandlingsgrundlaget er det, der gør, at du har lov til at behandle personoplysningerne.

I databeskyttelsesforordningens (GDPR) artikel 6 står der:

“1. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende: (…)”

Herefter står de forskellige muligheder for behandlingsgrundlag. De vigtigste behandlingsgrundlag efter GDPR er følgende:

  • Hvis den dataansvarlige har fået samtykke
  • Hvis den dataansvarlige eller tredjemand har en “legitim interesse
  • Hvis det er nødvendigt for at opfylde en kontrakt
  • Hvis det er nødvendigt for at overholde en retlig forpligtelse
  • Hvis det er nødvendigt for at beskytte den registreredes eller lign. vitale interesser
  • Hvis det er nødvendigt af hensyn til udførelse af en opgave i samfundets interesser eller lignende

For eksempel står det i bogføringslovens § 10, at den bogføringspligtige skal opbevare regnskabsmateriale på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Som dataansvarlig har du dermed en “retlig forpligtelse” til at opbevare fakturaer i 5 år fra udgangen af regnskabsåret.

Udover et behandlingsgrundlag, skal du ligeledes have et legitimt formål. Det kan du læse mere om herunder.

Du skal have et “legitimt formål”?

Udover et behandlingsgrundlag skal den dataansvarlige også have et “legitimt formål”. Dette følger af principperne for behandling af personoplysninger, som står beskrevet i GDPR (databeskyttelsesforordningens) artikel 5.

I artikel 5 b står der bl.a., at personoplysninger skal:

“b)  indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; (…)”

Dette princip kaldes også for princippet om formålsbegrænsning.

Derudover står der bl.a. i artikel 5, e, at oplysningerne skal:

“e) opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; (…)”

Dette er også bedre kendt som princippet om opbevaringsbegrænsning.

Af præamblen til databeskyttelsesforordningen (nr. 39) står der også bl.a.:

“(…) For at sikre, at per­sonoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang (…)”

Det er ikke et legitimt formål at opbevare personoplysninger, fordi “det er rart at have”. Det kan du læse mere om herunder.

1498884166_Arrow_Download

FÅ HJÆLP TIL GDPR – KONTAKT OS HER

 

I disse tilfælde må du IKKE længere opbevare personoplysningerne

“Hvorfor opbevarer du disse personoplysninger? Hvad er dit legitime formål med det?”

Sådan vil en databeskyttelsesrådgiver ofte spørge i forbindelse med arbejdet med at gøre myndigheden eller virksomheden compliant.

Og nogle gange vil virksomheden/organisationen måske svare:

  • Det er rart at have” eller
  • Det kan jo være, at der sker noget, så vi får brug for dem

Og så videre.

Men at “det er rart at have” er ikke et legitimt formål efter GDPR. Det er sjældent, at du stadig har et legitimt formål efter 1-2 år.

Hvis du for eksempel har haft en kunde og i den forbindelse har haft en e-mailkorrespondance vedrørende hvad I kan hjælpe kunden med, kan det være, at det legitime formål ikke længere er tilstede efter 2 år i forhold til e-mailkorrespondancen.

Det kan have et legitimt formål med at gemme fakturaen, da du efter bogføringslovens § 10 skal gemme fakturaen i 5 år efter regnskabsårets udløb, men hvad er det legitime formål med at gemme e-mailkorrespondancen med kunden? Hvis det blot er “rart at have” og kan være godt “hvis kunden vender tilbage og vil købe mere”, så er det som udgangspunkt ikke et legitimt formål.

Man skal dog huske på, at det selvfølgelig altid vil være en konkret vurdering. En undtagelse kunne være, hvis e-mailkorrespondancen vedrører oplysninger om den leverede ydelse. I tilfælde af, at kunden vender tilbage med en reklamation eller garanti, kan det være relevant at have e-mailkorrespondancen, indtil reklamations- eller garantiperioden udløber.

Det vil derfor altid være en konkret vurdering, som du bør drøfte nærmere med en databeskyttelsesrådgiver.

Den konkrete vurdering
En e-mailkorrespondance er et eksempel på, at der skal foretages en konkret vurdering af medarbejderen. Hvis e-mailkorrespondancen ikke har noget legitimt formål, skal den som udgangspunkt slettes efter fx 1 år. Hvis den dog udgør et kontraktgrundlag, kan være grundlag i forbindelse med en garantisag eller lignende, kan der være grundlag for at gemme e-mailkorrespondancen i længere tid end 1 år.

Er der en regel om, at man må opbevare personoplysninger i 5 år?

Som nævnt er udgangspunktet, at du skal have et behandlingsgrundlag (hjemmel) samt et legitimt formål efter principperne i GDPR.

Et behandlingsgrundlag kan være “retlig forpligtelse”. Det betyder, at du af hensyn til lovgivning eller lignende ret er nødt til at opbevare personoplysningerne.

Et eksempel på dette er bogføringsmateriale efter bogføringslovens § 10, hvor der står:

“§ 10.  Den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale.”

Du kan derfor lovligt opbevare regnskabsmateriale i 5 år fra udgangen af det regnskabsår, materiale vedrører.

Af lignende eksempler kan nævnes forældelsesloven, der indeholder forældelsesfrister på henholdsvis 3, 5, 10 og 20 år alt afhængig af, hvad det vedrører.

Du skal derfor også være opmærksom på ikke at slette personoplysninger for tidligt, så du pludselig ikke kan opfylde eventuelle retlige forpligtelser. Du bør derfor kontakte en jurist eller lignende for at få hjælp til GDPR og få styr på de forskellige slettefrister.

Kontakt os her for at høre nærmere om, hvordan vi kan hjælpe dig.

Opbevaring af følsomme personoplysninger

Gælder de samme regler om opbevaring af persondata for følsomme personoplysninger? De følsomme oplysninger kaldes også for den særlige kategori af oplysninger.

Følsomme oplysninger er ifølge databeskyttelsesforordningens artikel 9 oplysninger om:

  • Race eller etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Genetiske og biometriske data (med formål entydigt at identificere en fysisk person)
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuelle orientering

Ifølge artikel 9 er behandling af sådanne oplysninger forbudt. Efter artikel 9, stk. 2 må du dog alligevel gerne behandle disse oplysninger – for eksempel hvis du har fået udtrykkeligt samtykke til behandlingen.

Du må derfor gerne behandle personfølsomme oplysninger (og dermed også opbevare dem), men der stilles særlige krav til behandlingsgrundlaget. Altså, selve din lovhjemmel til at måtte opbevare dem.

Pas dog på ikke at få slettet oplysninger unødvendigt for tidligt

Mange organisationer/virksomheder kan midt i denne GDPR-tid blive for forsigtige. De bliver nervøse for, om de opbevarer for mange oplysninger i for lang tid, og så kan det være en let løsning hovedløst at slette.

Dermed kan organisationen/virksomheden komme til at slette unødvendigt for tidligt.

Eksempler på sletning for tidligt kunne være:

  • Virksomheden sletter oplysninger om kunder (herunder også fakturaer og lign. bogføringsmateriale) efter 3 år (selvom virksomheden skal opbevare bogføringsmateriale i op til 5 år efter regnskabsårets udløb)
  • Virksomheden sletter ansættelseskontrakter (selvom virksomheden kan blive mødt af krav og tvister vedrørende ansættelsen i op til 5 år efter ansættelsen, jf. forældelseslovens § 4)

En virksomhed eller organisation bør derfor altid få rådgivning om GDPR i forhold til reglerne for sletning og opbevaring af persondata.

Gå ikke i panik – slet ikke mere end nødvendigt
Når GDPR-arbejdet går i gang kan mange dataansvarlige have en tendens til at gå i panik og slette mere end nødvendigt. Det kan have negative konsekvenser for den dataansvarlige. Få hjælp fra en jurist eller lignende rådgiver inden for GDPR, så du ikke sletter mere end nødvendigt.

Husk at få skrevet det hele ind i din dokumentation m.v.

Det er ikke nok, at en virksomhed/organisation på et møde bliver enige om, hvor længe de må opbevare hvilke personoplysninger.

Det skal ligeledes skrives ind i diverse dokumentation og lignende. Den dataansvarlige skal kunne påvise, at reglerne i GDPR overholdes. Den dataansvarlige skal både kunne påvise, at principperne i databeskyttelsesforordningens artikel 5 overholdes, men også føre en såkaldt “fortegnelse over behandlingsaktiviteter” efter databeskyttelsesforordningens artikel 30.

For at overholde GDPR skal du bl.a.:

  • Påvise at artikel 5 overholdes
  • Udarbejde en artikel 30-fortegnelse
  • Udarbejde oplysningstekster, så du overholder oplysningspligten, hvor det er relevant
  • Eventuelt lave politikker/oplysningstekster til medarbejdere og eventuelt sørge for tilstrækkelig undervisning af medarbejderne, så de rent faktisk overholder reglerne

Artikel 30-fortegnelsen skal som udgangspunkt minimum indeholde følgende oplysninger:

  1. navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren
  2. formålene med behandlingen
  3. en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
  4. de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer
  5. hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
  6. hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
  7. hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.

Har du brug for hjælp til udarbejdelse af den nødvendige dokumentation, er du velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe.

Hvad hvis en person anmoder om sletning?

Efter databeskyttelsesforordningens artikel 15 har den registrerede en såkaldt “indsigtsret” og efter artikel 17 en ret til sletning (retten til at blive glemt).

Det betyder, at den person, som en virksomhed/organisation behandler oplysninger om, har mulighed for at anmode om at få en række informationer om behandlingen.

Dette indebærer bl.a., at den registrerede har ret til at anmode den dataansvarlige om sletning af personoplysninger eller begrænsnings af personoplysninger. Den dataansvarlige har som udgangspunkt pligt til at svare anmodningen uden unødig forsinkelse og senest 1 måned efter modtagelsen af anmodningen, jf. databeskyttelsesforordningens artikel 12, stk. 3

Derudover står der følgende i artikel 17:

“1. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:”, hvorefter en række situationer står oplistet.

Derudover skal det nævnes, at der i artikel 17, stk. 3 står nævnt en række tilfælde, hvor retten til sletning ikke finder anvendelse – for eksempel hvis det er for at overholde en “retlig forpligtelse“. Hvis en organisation/virksomhed har benyttet sig af “retlig forpligtelse” som behandlingsgrundlag, kan virksomheden/organisationen dermed som udgangspunkt afvise anmodningen om sletning, medmindre behandlingsgrundlaget ikke længere er tilstede.

Men hvis en person anmoder om sletning gælder der derfor særlige regler for din besvarelse af anmodningen samt eventuelt også foretage en sletning. I sådanne tilfælde kan det være en god idé at have en databeskyttelsesrådgiver til at stå for besvarelsen af anmodningen samt eventuel vurdering af anmodningen.

Et eksempel hvor anmodningen om sletning blev afvist findes i Datatilsynets afgørelse á d. 05.07.2019, som du kan læse mere om herunder.

Datatilsynets afgørelse om anmodning om sletning hos kommune

Afgørelsen blev truffet af Datatilsynet d. 05.07.2019 og har journalnummer 2018-32-0286.

Afgørelsen omhandler en klagers anmodning om sletning efter en sag var afsluttet hos en kommune.

Den 25. maj 2018 anmodede en borger (klageren) kommunen om at slette personoplysningerne om hende, da sagen i kommunen var afsluttet. Kommunen afvise sletningen ved en skrivelse á d. 15. november 2018 med henvisning til databeskyttelsesforordningens artikel 17, stk. 3, da de som offentlig myndighed havde pligt til at overholde notat- og journaliseringspligten, og der ikke var dokumenter, som var fejljournaliseret på sagen.

Derudover oplysningen kommunen, at behandlingen var sket i overensstemmelse med kravet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Datatilsynet endte med at træffe afgørelse om, at kommunen ikke havde overholdt forordningens artikel 12, stk. 3, da de først besvarede henvendelsen efter 5 måneder og 21 dage.

I forhold til selve sletningen traf Datatilsynet afgørelse om, at kommunen ikke var pligtig til at slette oplysningerne om klageren.

Datatilsynet skriver bl.a. i deres afgørelse:

“På baggrund af ovenstående finder Datatilsynet, at der ikke er grundlag for at konkludere, at Y Kommune behandler oplysninger om klager, som kan kræves slettet efter databeskyttelsesforordningens artikel 17.

Datatilsynet har herved lagt vægt på, at en offentlig myndighed i almindelighed ikke er berettiget til at slette bestemte dokumenter, der indgår i en sag, under henvisning til offentlighedslovens regler om notat- og journaliseringspligt og arkivlovens regler, og at sletning normalt kun kan ske, hvis der er lovhjemmel dertil. Begrundelsen herfor er bl.a., at myndigheden senere – f.eks. i forbindelse med klager eller genoptagelse – skal kunne dokumentere, hvad der er passeret i en sag.”

Afgørelsen er et godt eksempel på, at enhver organisation/virksomhed skal overholde de nødvendige slettefrister. Derudover skal organisationer/virksomheder besvare eventuelle anmodninger om sletninger – uden unødig forsinkelse og som udgangspunkt senest efter 1 måned.

Dog er det ikke ens betydende med, at organisationen/virksomheden dermed også skal slette – det afhænger bl.a. af, om organisationen/virksomheden stadig har en retlig forpligtelse til at behandle personoplysningerne.

Brug for hjælp til regler i persondataforordningen?

Har du brug for hjælp til reglerne i persondataforordningen/GDPR?

Så kan vi på eJura.dk hjælpe dig. Vi kan hjælpe med at sørge for den nødvendige dokumentation til Datatilsynet, de nødvendige oplysningstekster til de registrerede, skrivelser/politikker til medarbejdere osv.

Du kan kontakte os herunder for at høre nærmere om, hvordan vi kan hjælpe dig:

1 Beskriv din sag
2 Dine oplysninger
  • Du behøver ikke bruge lang tid på at beskrive sagen. Du vil blive kontaktet af os, hvor du kan uddybe dine behov.

 

 

Sharing is caring. Del gerne denne artikel på de sociale medier 🙂