Som dataansvarlig bør man sikre sig, at der er taget stilling til hvilke procedurer, der skal følges, når personoplysninger skal slettes fra behandlingssystemerne. En sletteprocedure for et givent system, hvori der behandles personoplysninger, bør tage udgangspunkt i et flow, der følges fra det tidspunkt hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet.
En sletteprocedure bør inkorporere både tekniske og organisatoriske overvejelser, da der i forbindelse med sletning løbende udføres både tekniske og organisatoriske handlinger. Organisatoriske overvejelser kan indebære stillingstagen til: hvordan systemerne løbende undersøges for oplysninger, der har nået sin slettefrist; hvem der er ansvarlig for, at sletningen igangsættes; hvordan der følges op på, at sletningen er foretaget; hvordan det dokumenteres at sletningen er fuldført.
Automatisk eller manuel sletning
Tekniske overvejelser kan indebære, at den dataansvarlige forholder sig til om sletningen skal foretages automatisk eller manuelt, samt hvilke konkrete datafelter i et system der vil blive påvirket af sletningen og på hvilken måde. Det kan fx være, at en kunde hos en virksomhed får hele sit datablad slettet i systemet, eller at kun de personhenførbare oplysninger slettes eller anonymiseres.
Der vil naturligt opstå et behov for sletteprocedurer for hvert af de systemer, hvori den dataansvarlige behandler personoplysninger, da disse typisk er forskelligt indrettet. Dog vil mange af de ovennævnte overvejelser kunne genanvendes for flere af systemerne og behandlingerne, hvilket kan lette arbejdet med at fastlægge procedurerne.
Opfølgning på sletning
Det er vigtigt at man ikke stoler blindt på, at sletteprocedurer fungerer, og at personoplysninger bliver slettet planmæssigt uden fejl. For at sikre at slettekørsler er udført korrekt, og at der ikke fortsat opbevares personoplysninger, der burde have været slettet, bør den dataansvarlige derfor implementere en procedure for opfølgning på sletning. Dette kan indebære gennemgang af tekniske logs fra slettekørsler, automatiserede udtræk af data, der ifølge slettefristen burde have været slettet, til manuel gennemgang, o.l.
Opfølgning på sletning giver en vished om, at de valgte sletteprocedurer virker, og at man som dataansvarlig overholder bestemmelserne fastlagt i databeskyttelsesforordningens artikel 5, stk. 1, litra c-e. Opfølgning vil ligeledes hjælpe med tidligt at identificere personoplysninger, som burde have været slettet, men som mod forventning ikke er blevet det.
Retten til at blive glemt
Af databeskyttelsesforordningens artikel 17 fremgår det, at den registrerede i en række tilfælde har ret til at få personoplysninger om sig selv slettet af den dataansvarlige. Det betyder, at når en registreret henvender sig til en dataansvarlig med anmodning om, at få slettet oplysninger om sig selv, som den dataansvarlige behandler, kan den dataansvarlige være pålagt at efterkomme dette ønske, selvom de af den dataansvarlige fastsatte slettefrister endnu ikke er nået.
Læs mere om retten til at blive glemt
Der findes ikke krav om, at den dataansvarlige skal dokumentere de anmodninger, man måtte have modtaget jf. artikel 17. Nogle dataansvarlige vælger dog, med baggrund i princippet om ansvarlighed jf. artikel 5, stk. 2, at føre en log over modtagne anmodninger efter retten til at blive glemt, med oplysninger om udfaldet og evt. datoen for den udførte sletning. Her skal den dataansvarlige naturligvis fastsætte rimelige slettefrister for loggen, og i øvrigt følge princippet om dataminimering i forhold til formålet med loggen.
Backup og sletning
Da det grundlæggende formål med en backup er at kunne genskabe data, hvis data i et system i drift skulle gå tabt, vil der nødvendigvis opstå situationer hvor der – efter sletning af personoplysninger i et system i drift – vil være tilsvarende personoplysninger lagret i en backup. Som dataansvarlig bør man forholde sig til de personoplysninger, der er lagret i backup, men som er blevet slettet fra et system i drift, fx som følge af slettefrist eller anmodning om retten til at blive glemt.
Det er Datatilsynets opfattelse, at personoplysninger skal slettes fra backups mv., hvis dette er teknisk muligt. Det kan være tilfældet hvis en backup består af en ukomprimeret kopi af en database, hvori sletning kan udføres på samme vis som for systemet i drift.
Sletning af data i backup
Hvis det ikke er teknisk muligt at foretage sletning af enkelte data i en backup, skal den dataansvarlige sikre sig, at de personoplysninger der er slettet fra systemet i drift, også fjernes hvis en backup genetableres. Det kan derfor være nødvendigt at føre en log over sletninger, der er udført i systemet i drift, i forhold til det tidspunkt hvor en backup blev oprettet. En sådan log bør – ud fra princippet om dataminimering – ikke indeholde direkte personhenførbare oplysninger, men kan i stedet angive fx, at en given række i en tabel er slettet på et givent tidspunkt.