Nå begynner personvernreglene å gjøre vondt for helt normale virksomheter

Dansk møbelselskap ilagt bot på 1,5 millioner DKK for manglende sletting av personopplysninger

I 2018 ble EUs personvernforordning (GDPR) norsk rett gjennom en ny personopplysningslov. Regelverket pålegger virksomheter en rekke plikter knyttet til behandling av personopplysninger, blant annet at man skal slette personopplysninger når oppbevaring av dem ikke lenger er nødvendig. Det danske datatilsynet har nylig ilagt et gebyr på 1,5 millioner danske kroner for brudd på sletteplikten. Avgjørelsen bidrar til å klargjøre hvilke plikter en behandlingsansvarlig har, og bør få mange norske virksomheter til å «våkne opp» og gjennomgå sine rutiner for sletting av personopplysninger. 

 

Det følger av regelverket at personopplysninger ikke skal lagres lenger enn det som er nødvendig for formålene de ble samlet inn for. I tillegg har den registrerte rett til å få personopplysninger om seg selv slettet av den behandlingsansvarlige i gitte situasjoner. Bestemmelsene gir uttrykk for et prinsipp om lagringsbegrensning av personopplysninger, og pålegger behandlingsansvarlige en plikt til å slette personopplysninger når det ikke lenger er behov for dem.

I en fersk avgjørelse ble selskapet IDdesign A/S ilagt en bot på 1,5 millioner danske kroner fra det danske datatilsynet for brudd på plikten til å slette personopplysninger. Selskapet, som driver med salg av møbler, hadde i praksis to ERP-systemer i bruk. Et eldre system inneholdt kundeinformasjon som navn, adresse, telefonnummer, e-postadresse og kjøpshistorikk, og ble brukt til bl.a. oppslag i tidligere fakturaer og håndtering av reklamasjoner. De eldste opplysningene var registrert i 2010. IDdesign hadde ikke vurdert om, når og/eller hvordan disse opplysningene skulle slettes, og langt mindre faktisk gjennomført sletting av opplysningene. Dette gjaldt opplysninger om ca. 385 000 kunder.  
For det nye ERP-systemet var det fastsatt rutiner og prosedyrer for sletting, men disse var ikke gjennomført i praksis. 

I tillegget benyttet selskapet to IT-systemer for henholdsvis rekruttering og HR-administrasjon. Selskapet hadde besluttet slettefrister for opplysningene i disse systemene, og oppga at de foretok manuell sletting i henhold til de fastsatte fristene. Selskapet kunne derimot ikke dokumentere hvordan selskapet sikret at sletting faktisk ble gjennomført i henhold til disse interne retningslinjene.
Det danske datatilsynet tolket slettereglene i GDPR på en slik måte at de pålegger behandlingsansvarlige (i alle fall) følgende plikter:

 

•    Behandlingsansvarlig må faktisk slette opplysningene når behandling ikke lenger er nødvendig for å oppnå formålet
•    Behandlingsansvarlig må fastlegge og dokumentere slettefrister for personopplysninger
•    Behandlingsansvarlig må fastlegge og dokumentere rutiner for (gjennomføring av) sletting av personopplysninger i henhold til fastsatte slettefrister
•    Behandlingsansvarlig må faktisk overholde sine egne rutiner/tidsfrister for sletting

 

Det er sannsynlig at Datatilsynet i Norge vil forstå bestemmelsen på en lignende måte. I praksis innebærer dette at behandlingsansvarlige bør ha på plass – og faktisk etterleve – en sletterutine for å overholde forpliktelsene i GDPR. En slik sletterutine må inneholde konkrete slettefrister for ulike personopplysninger og ulike formål.

Vi i Berngaard kan hjelpe til med å lage eller kvalitetssikre slike rutiner samt bistå i arbeidet med kontinuerlig kontroll, vurdering og gjennomføring av disse. Vi vet og forstår hvordan vi skal få til dette i helt regulære virksomheter, enten du behandler opplysninger om kunder, ansatte, medlemmer eller andre grupper.