“Hvordan er det nu lige, det forholder sig med de der slettefrister?” Vi får mange spørgsmål omkring sletning af data, men det er desværre ikke så firkantet, som folk tror. Der er nemlig ingen specifikke regler i GDPR for, hvor længe man må opbevare data. Det hele falder tilbage på en vurdering af, hvor længe det er nødvendigt at opbevare de pågældende oplysninger.
Det bedste overblik får man ved at have en oversigt over sine aktiviteter i organisationen. Detaljeringsgraden kan passende være på et niveau, hvor man taler om håndtering af jobansøgninger, bogføring og lønadministration.
Når man har specificeret sine aktiviteter, vil det give mening, at fastsætte formålene med de enkelte aktiviteter, eksempelvis at vurdere om ansøgere er kvalificerede til de opslåede stillinger, at efterkommer kravene i bogføringsloven eller at overholde og kunne dokumentere sin overholdelse af aftalerne med de ansatte.
Aktiviteter og formål
Hvis aktivitet og formål er definerede, er det langt lettere at vurdere, hvor længe det er nødvendigt at opbevare personoplysningerne.
Mange organisationer vil eksempelvis kun have behov for at håndtere jobansøgninger i 3 måneder efter den enkelte rekrutteringsrunde er afsluttet.
Har man i sin organisation behov for at opbevare oplysningerne længere i relation til håndteringen af personoplysninger, så kan man angive en længere periode. Det afgørende er, at man kan redegøre for, at der er et behov for den videre opbevaring. Redegørelsen skal gerne være så god, at man tør præsentere den for Datatilsynet.
Vær opmærksom på andre lovgivninger
I nogle tilfælde er det fastsat i anden lovgivning, hvor længe oplysningerne skal opbevares, som det er tilfældet med bogføring. Det fremgår af bogføringsloven at regnskabsmateriale som f.eks. en faktura skal opbevares i mindst 5 år fra det pågældende regnskabsår, som de vedrører.
Når det fremgår af anden lovgivning, at en bestemt slettefrist skal følges, så skal man naturligvis følge trop. Det er dog vigtigt at notere sig, at bogføringsloven ikke fastsætter en egentlig slettefrist, men kun stiller krav om hvor længe man mindst skal opbevare oplysningerne. Det er derfor vigtigt at være opmærksom på andre regler, som stiller krav om længere opbevaring af samme oplysninger.
Datatilsynet
I relation til GDPR og Datatilsynet, har det gennem Datatilsynets afgørelser vist sig at være meget, meget vigtigt, at man overholder sine slettefrister uanset om man selv har fastsat dem eller de er fastsat ved lov. Så husk altid at tjekke slettefrister fra Datatilsynet og ved diverse lovgivninger.
Bruger du DPO Advisor, så har vi allerede angivet alle dine slettefrister, så det eneste du skal gøre, er at tjekke om de passer til din organisation, og den måde I arbejder på.