Det står egentlig meget klart og utvetydigt i artikel 17 stk. 1 i den nye persondataforordning:

”Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, hvis de er ukorrekte, misvisende eller ikke længere er nødvendige til det oprindelige formål”.

Kort sagt og med helt jævne ord. Borgeren har hermed retten til at blive glemt – i hvert fald datamæssigt.

Men helt så enkelt er det trods alt ikke, påpeger Birgitte Kofod Olsen, der er jurist og specialist i den nye persondatalov samt partner i firmaet Carve, hvor hun rådgiver om de nye regler.

- Borgeren har ikke en absolut ret til at få sine data slettet. Der vil ofte være tale om et skøn, hvor hensynet til borgeren skal vægtes op mod hensynet til myndigheden og dens forvaltning. Og der kan myndigheden afvise en anmodning med henvisning til et formål, der fx er bestemt ved lov.

Arkivloven trumfer alt

Birgitte Kofod Olsen har derfor indvilget i at forklare og udlægge reglerne for sletning af data.

Sagen er, at en borger kun kan få sine data slettet, hvis en af flere forudsætninger er opfyldt. I en række lovbestemmelser er det specifikt fastlagt, hvor længe data må opbevares. I loven om TV-overvågning er der fx en regel om 30 dage, bogføringsloven har en grænse på 5 år, mens sundhedspersonales journaliseringspligt gælder i 10 år.

Lidt sværere bliver det, når der ikke findes lovbestemte grænser. Her er det op til en konkret vurdering fra myndighedens side, hvor længe det er nødvendigt at gemme data for at opfylde formålet med dataindsamlingen. Og her er det myndighedens skøn, som gælder, fx hvor længe ansættelseskontrakter, personalesager, arbejdsskader o.l. skal opbevares.

- I sager om arbejdsskader kan man fx sagtens argumentere for, at de bør gemmes i 30 år, men heldigvis har Datatilsynet på en række områder udstukket retningslinjer for praksis. Fx bør logfiler og ansøgninger højst gemmes i 6 måneder, siger Birgitte Kofod Olsen.

Når alt det er sagt, så er der faktisk en lov som trumfer det hele – nemlig arkivloven.

- Arkivloven gælder som supplement til de øvrige opbevaringsbegrænsninger. Så hvis data fra et register skal arkiveres i henhold til arkivloven, skal denne registrering følges, men det betyder ikke, at myndigheden selv fortsat kan opbevare oplysningerne, understreger Birgitte Kofod Olsen.

Tekniske oplysninger

Når disse overordnede regler er på plads, dukker der også en række lavpraktiske spørgsmål op – for eksempel: Hvordan definerer man data i denne sammenhæng?

- Data omfatter alle oplysninger, der kan henføres til en bestemt person, altså sådan at den person kan identificeres. Disse data omfatter både almindelige oplysninger og følsomme oplysninger, fortæller Birgitte Kofod Olsen.

Det vil sige oplysninger om religion, straffe, cpr, sygdomme, navn, adresse osv, men strengt taget gælder det også oplysninger om el-forbrug. En teknisk oplysning, men tallet kan afdække oplysninger om forbrugerne, om det er en enkelt person eller familie, deres vaner og livsstil og vil derfor kunne betragtes som en personlig oplysning.

Hvad vil det så sige at slette oplysninger?

- Det kan foregå på to måder. Enten ved at destruere dem eller ved at anonymisere oplysningerne, hvis det altså er muligt. Ansvaret for at vurdere oplysningers karakter, og hvordan en eventuel sletning skal foregå, ligger hos den dataansvarlige, siger Birgitte Kofod Olsen.

Ikke selv finde data

Spørgsmålet er så, hvilken rolle almindelige medarbejdere spiller i forhold til sletninger. Hvem kan for eksempel modtage en anmodning om sletning af oplysninger?

- Det besluttes i den enkelte myndighed. Der skal udarbejdes særlige instrukser og processer for, om alle medarbejdere kan modtage en anmodning. Det svarer til borgeres anmodning om aktindsigt. Her vil en typisk instruks lyde, at en sådan anmodning skal sendes til en navngiven person, funktion eller kontor. En instruks kan dog godt lyde på, at en medarbejder må finde de oplysninger, som en myndighed har på en borger, men i så fald skal ledelsen beslutte det. Man skal ikke bare selv finde data og sende dem til borgeren, understreger Birgitte Kofod Olsen.

Hun peger også på, at der ikke er særlige formkrav til, hvordan en anmodning skal udformes. Men i praksis vil de fleste myndigheder nok tænke i en specifik formular eller lignende.

- Den konkrete opgave med at slette data ligger formelt set hos den dataansvarlige, men i praksis vil det nok blive en it-medarbejder, som konkret udfører sletningen. Det kan aldrig blive den enkelte, menige sagsbehandler, der sletter data, siger Birgitte Kofod Olsen.

Facebook-gruppe om GDPR

HK Kommunal har oprettet en Facebook-gruppe om persondataloven og databeskyttelse (GDPR). Den kan findes på Facebook lige her.

Desuden holder flere afdelinger arrangementer om GDPR i efteråret. Det gælder fx HK Hovedstaden, HK Østjylland og HK MidtVest. Find aktuelle arrangementer her.