Foto: Colourbox

17.06.19 Vi rådgiver dig Nyheder

Slettede persondata, men kunne ikke dokumentere det

En virksomhed har fået alvorlig kritik af Datatilsynet for ikke at overholde kravene om at kunne dokumentere sine procedurer for sletning af personoplysninger i virksomhedens rekrutterings- og HR-system.

Datatilsynets afgørelse

En virksomhed havde i 2018 besøg af Datatilsynet, som blandt andet fører tilsyn med overholdelse af databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e).

Datatilsynet har på baggrund af besøget udtalt alvorlig kritik af blandt andet virksomhedens dokumentation af procedurer i forbindelse med sletning af personoplysninger i virksomhedens rekrutterings- og HR-system.

Virksomhedens sletteprocedurer

Virksomhedens procedurer for sletning af oplysninger i rekrutteringssystemet samt HR-system bestod i en manuel sletning af oplysninger samt et månedligt dobbelttjek af, at de relevante oplysninger var blevet slettet.

Virksomheden oplyste desuden, at der ikke var nedskrevne procedurer for opfølgning på sletning af personoplysninger, men at der var tale om faste processer, som de fremover ville indskrive i de eksisterende procedurer.

Manglede skriftlig dokumentation

Virksomheden havde en proces, hvor der blev fulgt op på, om sletning var sket korrekt, men havde ikke i tilstrækkelig grad nedskrevet og dermed dokumenteret sin procedure. Datatilsynet udtalte alvorlig kritik heraf.

Krav til procedure

Som virksomhed og dataansvarlig for et rekrutterings- og HR-system skal man sikre sig, at der er taget stilling til, hvilke procedurer virksomheden skal følge, når personoplysninger skal slettes fra systemerne.

En sletteprocedure for et givent system skal tage udgangspunkt i et flow, der følges fra det tidspunkt, hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet.

En sletteprocedure bør indeholde både tekniske og organisatoriske overvejelser, da der i forbindelse med sletning løbende udføres både tekniske og organisatoriske handlinger.

Organisatoriske overvejelser

Organisatoriske overvejelser kan eksempelvis være at tage stilling til:

  • hvordan virksomheden løbende undersøger systemerne for oplysninger, der har nået sin slettefrist
  • hvem der er ansvarlig for, at sletningen sættes i gang
  • hvordan virksomheden følger op på, at sletningen er foretaget
  • hvordan virksomheden dokumenterer, at sletningen er fuldført.

Tekniske overvejelser

Tekniske overvejelser kan eksempelvis være, at den dataansvarlige forholder sig til, om sletningen skal ske automatisk eller manuelt, samt hvilke konkrete datafelter i et system, der vil blive påvirket af sletningen og på hvilken måde.

For hvert system, virksomheden anvender til at behandle personoplysninger, vil der ofte være behov for at fastsætte sletteprocedurer. Dog vil overvejelserne nævnt ovenfor ofte kunne genanvendes for flere af systemerne og behandlingerne, hvilket kan lette arbejdet med at fastlægge procedurerne.

Stol ikke blindt på systemet

For at sikre, at sletningen er sket korrekt, og at der ikke fortsat behandles personoplysninger, der burde være slettet, bør en dataansvarlig også fastsætte en procedure, der følger op på sletningen.

Proceduren kan eksempelvis indeholde gennemgang af tekniske logs fra slettekørsler eller udtræk af data, der ifølge slettefristen burde have været slettet, til manuel gennemgang, o.l.

Andre forhold i sagen

I den konkrete sag påtaler Datatilsynet også en række andre forhold om blandt andet manglende sletning af kundeoplysninger. Om disse forhold har Datatilsynet dels udtalt alvorlig kritik, dels indstillet til en bøde på kr. 1,5 mio. kr.

Læs mere om sagen på Datatilsynets hjemmeside 

Hent Datatilsynets vejledning om sletning af personoplysninger  

DI's råd

Sagen viser, at en virksomhed skal udarbejde en procedure for sletning af personoplysninger, og den skal som udgangspunkt være skriftlig. 

Det skal også fremgå, hvordan virksomheden følger op på, at sletning har fundet sted. 

Dette er en af de første afgørelser fra Datatilsynet på HR-området efter databeskyttelsesforordningen har fundet anvendelse. Udtalelsen kan give en retning på, hvordan Datatilsynet vil udforme deres udtalelser, og hvilke forhold de vil ligge vægt på i forbindelse med besøg og gennemgang af procedure hos en virksomhed.

Har du brug for hjælp?

 I Juravagten sidder DI's eksperter inden for ansættelsesret og personalejura klar, hvis du har brug for hjælp.

Åbningstider: mandag-fredag kl. 8.00-17.00
Telefon: 3377 3377
Mail: jura@di.dk

Relateret