22
Okt
Husk at slette persondata, du ikke (længere) må behandle

Af juridisk seniorkonsulent Bodil Just og seniorkonsulent (økonomi) Christian Damsgaard.

Har du styr på reglerne om sletning af persondata, som følger med Persondataforordningen? Hvis ikke, kommer vi herunder ind på, hvad reglerne mere specifikt siger, og hvad du kan gøre for at leve op til dem – og hen ad vejen huske at få slettet personoplysninger, som din virksomhed ikke længere må behandle.

Hvilke personoplysninger gælder slettereglerne for?
Reglerne om sletning gælder alle personoplysninger, der opbevares og behandles digitalt. Hvad angår personoplysninger, der opbevares fysisk, omfatter reglerne personoplysninger i registre. Med andre ord skal du sørge for at destruere personoplysninger i eksempelvis lønmappen og mappen med lejekontrakter, når du ikke længere må opbevare dem.

Hvornår skal du slette personoplysninger?
Du skal som udgangspunkt slette alle persondata, som din virksomhed ikke har brug for. Det store slettearbejde udføres i forbindelse med, at du gør din virksomhed klar til Persondataforordningen. Her er det nødvendigt at danne sig et overblik over, hvilke personoplysninger virksomheden ligger inde med, hvad de bruges til og hvor de ligger – og så skal alt, som der ikke er behov for, destrueres.

Herefter skal din virksomhed løbende slette personoplysninger, når de ikke længere er relevante. Det kan fx være, hvis en medarbejder stopper, en lejer flytter, eller samarbejdet med en privat samarbejdspartner ophører. Det kan også være, hvis en person tilbagetrækker sit samtykke, til at virksomheden må behandle bestemte personoplysninger.

Lav en sletteprocedure
Vi anbefaler, at din virksomhed laver faste procedurer for sletningen af persondata. Det kan gøres ved at dele databehandlingen ind i områder. Herefter kan du lade dine medarbejdere være ansvarlige for det område, de arbejder med.

Fx kan den medarbejder, der behandler oplysninger om medarbejdernes ansættelse, være ansvarlig for, at personoplysningerne i relation hertil slettes, når der ikke længere er brug for dem.

Hos Patriotisk Selskab vurderer vi, at en god løsning kan være at sætte en fast begivenhed i kalenderen en gang om året, hvor oplysninger gennemgås, og det, der ikke længere er relevant, slettes.

Vær dog opmærksom på, at hvis nogen trækker et samtykke tilbage, så er det ikke godt nok at vente til næste gang, der popper en begivenhed op i kalenderen – så skal personoplysningerne derimod slettes hurtigst muligt.

Hvis du har en større virksomhed, anbefaler vi, at du laver et regelsæt om sletning af personoplysninger til dine medarbejdere, så de kan få indarbejdet nogle gode slettevaner. Husk bl.a. at få med, at personoplysninger skal slettes alle steder. Også, hvis de fx ligger i indbakken eller under sendt post i mailprogrammet – eller måske i en eller anden undermappe et sted på computeren.

Undtagelser fra slettereglerne
Ingen regler uden undtagelser. Ifølge bogføringsloven skal bestemte typer af persondata opbevares i fem år – og her er det bogføringsloven, du skal rette dig efter.

Hvad angår jobansøgninger, må du opbevare dem i seks måneder. Herefter skal de slettes fra indbakken, og hvor du ellers måtte have gemt dem henne. Hvis du gerne vil opbevare en ansøgning længere tid, skal du indhente et samtykke til det.

Har der været en arbejdsskade i din virksomhed, skal du også altid gemme dokumenter i relation hertil, selvom de indeholder persondata – også hvis medarbejderen ikke arbejder i virksomheden længere. Du kan nemlig gå hen og få brug for dokumenterne. Det samme gælder, hvis nogen har rettet et krav mod din virksomhed, fx en medarbejder eller en lejer.

Har du spørgsmål? Så er du velkommen til at kontakte en af os (Bodil Just / Christian Damsgaard).

Denne artikel er en del af en serie, hvor vi sætter fokus på Persondataordningen, og hvordan du kan gøre reglerne til en naturlig del af hverdagen i din virksomhed. Læs hele artikelserien HER.