Efter de nye regler i databeskyttelsesforordningen skal du som advokat have styr på, hvornår du ikke længere kan bevare de personoplysninger, som du er i besiddelse af.
Tekst: Lene Kragelund, chefkonsulent, Advokatsamfundet
Ifølge databeskyttelsesforordningen skal oplysninger opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til formålet.
Det er dog muligt at opbevare personoplysninger længere end fastsat i bestemmelsen. Det kan ske, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål. Det kræver dog, at der implementeres passende tekniske og organisatoriske foranstaltninger.
Retningslinjer
Det betyder, at det er vigtigt at have styr på, hvornår der ikke længere er brug for de data, der behandles, herunder hvornår der ikke længere er krav om opbevaring af data. Det er også vigtigt, at der udarbejdes retningslinjer, hvoraf det fremgår, hvornår der skal ske sletning af forskellige data.
Selvom der ikke længere er brug for data i en sag, skal man være opmærksom på, at der i lovgivningen kan være fastsat krav til, hvor længe oplysninger skal opbevares. Det er i overensstemmelse med databeskyttelsesreglerne at opbevare oplysningerne i dette tidsrum.
Hvis det f.eks. følger af bogføringsloven, at data skal opbevares i fem år, skal advokaten naturligvis som følge heraf opbevare data i mindst denne periode.
Når hvidvasklovens § 30, stk. 2 stiller krav om opbevaring af personoplysninger i fem år
efter forretningsforbindelsens ophør eller den enkeltstående transaktions gennemførelse, skal data selvfølgelig opbevares i denne periode.
Det følger af reglerne om god advokatskik, jf. retsplejelovens § 126, at advokater ved modtagelse af en ny sag skal foretage et interessekonflikttjek. Oplysninger, der er nødvendige for at foretage dette konflikttjek, kan opbevares i den periode, hvor der er behov for det.
Man vil også kunne beholde oplysninger for at kunne forsvare sig mod klagesager og erstatningskrav. Det vil afhænge af, hvilken type sag det drejer sig om, hvor længe man kan opbevare oplysningerne, og hvilke oplysninger der kan opbevares.
Det er vigtigt i den forbindelse at overveje, hvilke oplysninger lovgivningen kræver, at man opbevarer, og foretage en selvstændig vurdering for de oplysninger, der ikke er omfattet af kravet. I forhold til reglerne om interessekonflikttjek skal det således overvejes, hvilke oplysninger man har brug for at opbevare for at kunne gennemføre et interessekonflikttjek. Er det nok at gemme navn og adresse på parterne eller er flere oplysninger i den konkrete situation relevante? Ved at foretage denne vurdering, vil man også finde ud af, hvilke oplysninger der ikke er nødvendige, og som derfor skal slettes, hvis der ikke er andet opbevaringsgrundlag.
Hvordan sletter du data?
Når det er besluttet, hvornår forskellige data skal slettes, er det vigtigt, at der rent faktisk sker sletning på dette tidspunkt. Oplysningerne skal ikke bare flyttes til et andet drev eller en anden gruppe. Det er heller ikke tilstrækkeligt at begrænse, hvem der har adgang til oplysningerne. Eksempelvis er det vigtigt, at ”slettet post” i Outlook bliver slettet, sådan at det ikke fungerer som et arkiv.
Hvis oplysningerne opbevares flere steder – f.eks. både på en stationær pc og på en bærbar pc - er det vigtigt, at oplysningerne slettes alle de steder de findes.
Hvis man logger de handlinger, der foretages i et system, skal man også overveje, hvordan loggen skal slettes.
Oplysninger skal også slettes fra backups, hvis det er muligt. Hvis det ikke er teknisk muligt at slette enkelte data fra backups, skal der være foranstaltninger, der gør, at disse oplysninger slettes, hvis backuppen skal bruges.
Citat:
Det følger af reglerne om god advokatskik, jf. retsplejelovens § 126, at advokater ved modtagelse af en ny sag skal foretage et interessekonflikttjek. Oplysninger, der er nødvendige for at foretage dette konflikttjek, kan opbevares i den periode, hvor der er behov for det.
Gode råd fra Datatilsynet
Datatilsynet har følgende gode råd i forbindelse med sletning:
· Tag stilling til slettefrister for de forskellige personoplysninger der behandles, med baggrund i behandlingens formål.
· Dokumenter de fastsatte slettefrister.
· Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne.
· Fastlæg og dokumenter en procedure for sletning.
· Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet.
· Tænk sletning ind i behandlingen, så behandlingen indrettes således, at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der anvendes
Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvornår der skal ske sletning
Oplysningerne skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
I Advokaten nr. 8 fra 2018 er der 10 gode råd til at komme i mål med GDPR. Find artiklen på hjemmesiden under publikationer.