Når det ikke lenger er nødvendig å behandle personopplysninger, må de slettes. Du skal ikke lagre data som ikke lenger har noen funksjon eller formål. Men hvordan slettes data på riktig måte, hva er reglene for hvilke slettefrister du må forholde deg til og hvilke prosedyrer for sletting, sikkerhetskopiering osv. bør følges?
Vi tar en titt på retningslinjene for datalagring og sletting nedenfor, og gir deg konkrete råd slik at du får en god forståelse av hva som gjelder.
Hvor lenge kan man lagre data?
Personopplysningsloven består av EUs personvernforordning og nasjonale regler og har som formål å sørge for at personvernet blir ivaretatt, og å hindre at personopplysninger blir misbrukt. Men hva innebærer begrepet “personopplysninger”?
Begrepet er definert av Datatilsynet som følger:
«enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet»
Det finnes tre ulike kategorier av personopplysninger:
- Alminnelige personopplysninger (ikke-sensitive data)
- Særlige kategorier (sensitive personopplysninger)
- Andre personopplysninger som må behandles med varsomhet
Inndelingen eksisterer fordi ulike vilkår og prosedyrer gjelder for behandling av personopplysninger, avhengig av sensitiviteten til opplysningene. Uavhengig av hvilken type personopplysninger du håndterer, er det imidlertid krav til hvor lenge du kan lagre data – de lyder:
- Så lenge du har lovhjemmel for oppbevaringen.
- Så lenge du har et legitimt formål med lagringen.
Hvis du ikke lenger har verken lovhjemmel eller et legitimt formål, må personopplysningene slettes.
Når skal data slettes?
Hos Datatilsynet fremgår følgende om lagringsbergensning:
“Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.”
Det vil si at så lenge organisasjonen kan dokumentere for at lagringen av personopplysningene fortsatt bidrar til sitt formål, behøver de ikke å slettes. Men, det er forbudt å oppbevare personopplysninger dersom de ikke lenger utgjør et legitimt formål eller oppfyller kravet til lovhjemmel.
Hva er sletting av personopplysninger?
Når det gjelder sletting av personopplysninger er det viktig å skille mellom i hvilken grad gjeldende data faktisk er slettet, eller bare gjort utilgjengelig for brukere.
Et system som brukes til behandling av personopplysninger kan vanligvis deles inn i en database, hvor all informasjon er lagret, og en brukerdel, hvor informasjonen kan hentes og behandles. Sletting av personopplysninger krever at informasjonen ikke lenger er tilgjengelig i databasen. Dersom de for eksempel fortsatt kan nås av systemets administrator, er dette ikke en reell sletting, og organisasjonen oppfyller dermed ikke kravene til sletting av personopplysninger.
Som nevnt må en virksomhet kunne dokumentere at sletting av personopplysninger skjer, og det er derfor ikke nok å vite når det skal gjøres – det skal skrives ned, og det skal utarbeides prosedyrer for prosessen.
Utvikle en prosedyre for sletting av data
Som behandlingsansvarlig er det viktig å sørge for at sletting av data går etter planen, og derfor bør det utarbeides en policy for sletting.
En slettingspolicy er et sett med retningslinjer og prosedyrer som skal følges når personopplysninger samles inn. Allerede når personopplysningene gjøres tilgjengelig bør organisasjonen ha en plan for når de må slettes igjen, samt hvordan dette skal gjøres og bekreftes i systemet.
Organisatoriske hensyn i forbindelse med en policy for sletting kan innebære å vurdere følgende spørsmål:
- Hvordan sikres det at systemene løpende sjekkes for informasjon som har nådd slettefristen?
- Hvem er ansvarlig for slettingen?
- Hvordan skal det sikres at slettingen blir utført etter forskriften?
- Skal slettingen skje manuelt eller automatisk?
- Hvor mye av opplysingene skal slettes?
Det siste punktet – hvor mye av informasjonen som skal slettes – er relevant fordi det er mulig å beholde opplysninger, så lenge de ikke er personlig identifiserbare.
Oppfølging og backup
Det er fristende å stole på at systemet man har utviklet for sletting av data fungerer etter hensikten, og at personopplysningene slettes etter planen uten feil. Datatilsynet anbefaler imidlertid at det innføres en prosedyre for oppfølging av sletting.
Oppfølgingen kan for eksempel innebære gjennomgang av tekniske logger fra slettingen, automatisk uttrekk av data for manuell gjennomgang, etc.
Samtidig er det viktig å være klar over at det kan være personopplysninger lagret i en sikkerhetskopi. Hele formålet med en sikkerhetskopi er å kunne gjenopprette data dersom data i et system i drift skulle gå tapt. Som behandlingsansvarlig må du derfor forholde deg til hvordan data som er lagret i en sikkerhetskopi slettes, dersom tilsvarende data slettes fra et system i drift.
Hvis det er teknisk mulig, bør personopplysninger slettes fra en sikkerhetskopi samtidig som de slettes fra systemet i drift. Dersom dette ikke er mulig bør det føres en logg over slettinger slik at disse kan fjernes dersom en sikkerhetskopi reetableres.
4 tips for å utforme en policy for sletting
Sletting av data er en stor del av personvernforordningen, og organisasjoner kan ha nytte av å utarbeide en policy og prosedyrer for løpende sletting av data. På denne måten sikrer du at du ikke utilsiktet lagrer data som burde vært slettet.
Nedenfor har vi samlet fire spesifikke råd om hvordan din organisasjon kan begynne å jobbe med slettingspolicyer.
- Vurder formålet med å lagre de respektive personopplysningene slik at du har en retningslinje for når de skal slettes.
- Sjekk om det er minimumskrav for perioden du må lagre spesifikke data.
- Etabler en klar prosedyre for hvordan personopplysninger slettes, samt hvordan slettingen i ettertid dokumenteres.
- Vurder å inkludere en oppfølgingsprosedyre i slettepolicyen for å sikre at slettingen er fullstendig og utført i henhold til forskriftene.
