Sletteprojekter

Manglende sletning af personoplysninger kan få alvorlige konsekvenser

Kontakt os

Manglende sletning af personoplysninger kan få alvorlige konsekvenser – også økonomisk. Ilva, Taxa 4x35 og Arp-Hansen Hotel Group-sagerne understreger, hvor vigtigt det er at have styr på slettepolitikker og praksis. Sagerne viser, hvordan både manglende handling og manglende dokumentation kan føre til bøder i millionklassen – og i visse tilfælde vurderes som forsætlige overtrædelser.


Slettepolitik

BDO kan bistå med at udarbejde en slettepolitik, som identificerer de oplysninger, som skal slettes og fastsætter slettefristen for dem. De konkrete slettefrister fastsættes på baggrund af lovkrav, f.eks. bogføringslovgivningen, hvidvasklovgivning, skattelovgivning m.v. og i øvrigt ud fra forretningens konkrete legitime behov for opbevaring.

Når slettefristerne er fastsat, skal der udarbejdes en procedure for at sikre, at sletningen føres ud i livet og at det kontrolleres at det rent faktisk sker. 

Forudsætningen for at foretage korrekt og rettidig sletning er helt overordnet, at man ved 

  • hvilke data man er i besiddelse af, 
  • hvorfor man har dem, og
  • hvor og i hvilken form de opbevares.

Det afdækkes typisk ved udarbejdelse af virksomhedens fortegnelse (artikel 30-fortegnelse), ligesom der er taget stilling til virksomhedens indsamling og behandling af personoplysninger i virksomhedens interne databeskyttelsespolitik og også være oplyst den person, oplysningerne vedrører i kraft af privatlivspolitikker for ansatte, ansøgere, kunder, forretningsforbindelser m.v.  

struktureret data

Struktureret og ustruktureret data

Sletteprocedurer skal iagttages for såvel struktureret og ustruktureret data. 

Struktureret data har de fleste virksomheder godt styr på – det er data, der er organiseret i et klart og foruddefineret format i databaser som f.eks. kundedata i en CRM-database, transaktionsdata m.v. og er kendetegnet ved at være lette at søge frem og ved at have en foruddefineret datamodel. I nyere systemer er det muligt at fastsætte sletteparametre for sådanne data på baggrund af en afdækning af afhængigheder og integrationer til andre systemer og brug af data.

Ustruktureret data er data, der ikke følger en foruddefineret model eller struktur, f.eks. e-mails, PDF-dokumenter, billeder og videoer, chatbeskeder m.v., og her kan det være vanskeligere for virksomheden at sikre kontrol over mængde og indhold. Ustruktureret data kan således indeholde en mængde forskellige personoplysninger, som skal håndteres forskelligt. F.eks. vil der være risiko for, at der indgår særlige kategorier af personoplysninger, CPR-nr. og fortrolige oplysninger f.eks. i modtagne CV’er, referater af sygefraværssamtaler, lønsamtaler m.v.

Da ustruktureret data generelt er vanskeligere at analysere og søge frem, kan en scanning af f.eks. Outlook, Teams m.v. kan være et udmærket sted at starte for at identificere eventuel problematisk indhold, så virksomheden kan etablere de rigtige instrukser for opbevaring og sletning.

Organisatoriske og tekniske slettetiltag 

Organisatorisk skal virksomheden fx forholde sig til, hvordan systemerne løbende undersøges for oplysninger, der har nået sin slettefrist; hvem der er ansvarlig for, at sletningen igangsættes; hvordan der følges op på, at sletningen er foretaget og hvordan det dokumenteres at sletningen er fuldført. 

Teknisk skal virksomheden fx forholde sig til, om sletningen skal foretages automatisk eller manuelt, hvilke konkrete datafelter i et system der vil blive påvirket af sletningen og på hvilken måde. Hvis man har oplysningerne i forskellige systemer, skal indbyrdes afhængigheder afdækkes, og sletteparametre sættes op for det enkelte system. 

Det er også nødvendigt at sikre, at sletning rent faktisk sker som forudsat, og der skal derfor foreligge en procedure for opfølgning på sletning. Opfølgning kan f.eks. være i form af en gennemgang af tekniske logs fra slettekørsler eller gennemgang af automatiserede udtræk af data, der ifølge slettefristen burde have været slettet. 

BDO kan bistå med fastsættelse af såvel organisatoriske som tekniske slettetiltag. 

slettepolitik

bdo persondata

Med BDO Persondata får I:

  • Et team med erfarne rådgivere med indgående kendskab til databeskyttelse og compliance

  • Adgang til specialistviden inden for en række tilstødende områder såsom IT, cybersikkerhed, AI og ESG

  • Hands-on involvering også af seniorressourcer
  • Løbende kommunikation og tæt samarbejde med jer som kunde og rådgivning tilpasset jeres konkrete udfordringer
  • Transparens i opgaveløsning og leverancer

Kontaktperson