Du har ret til at blive glemt - men ikke fra backuppen

Retten til at blive glemt giver ikke virksomheder pligt til at slette brugere og tidligere medarbejdere fra backups.

EU har i sin nyeste persondataforordning cementeret borgeres ret til at få personoplysninger slettet fra virksomheders database. Den såkaldte ret til at blive glemt er dog langtfra universel - og slutter brat, når det gælder backups.

»Du har ikke pligt til at slette en oplysning fra backup-systemer,« forklarer advokat og partner i advokatvirksomheden Plesner Michael Hopp.

Læs også: EU klar med historisk persondatalov: Bøder til virksomheder på op til 4 pct. af omsætningen

»Hvis nogen vil slettes - og i øvrigt opfylder kravene - så skal de bare slettes. Men retten omfatter kun produktionssystemet og ikke eventuelle backups,« fastslår Michael Hopp, der tilføjer, at advokatselskabet får mange spørgsmål om sletning af persondata fra backup-systemer.

Rettigheden har grundlæggende til formål at give borgere bedre kontrol over egne persondata, men er altså afgrænset fra backups - blandt andet af hensyn til de praktiske problemer, reglen ellers kunne skabe. Det er for eksempel svært at se en mulighed for at slette enkelte data, hvis backuppen ligger på fysiske medier.

Virksomheder er ikke forpligtet til at slette data, som skal 'glemmes', fra backups, fortæller advokat Michael Hopp.

Gensletning af ‘glemt’ data

Hvis virksomheden efterfølgende får brug for data fra en backup, kan det gøres som normalt med enkelte forholdsregler.

»Du skal have gjort dig klart, at hvis du indlæser en gammel backup, så skal det være klart defineret, hvem der har adgang til data,« fortæller Michael Hopp.

Læs også: Geoinformatik-direktør: »EU's persondataforordning vil ødelægge big data-forretning«

Hvis hele biksen bliver ramt af ransomware, eller man af andre grunde må gendanne systemet fra en backup, så vil du skulle gå ind og manuelt genslette al den data, der er blevet fjernet, siden backuppen blev foretaget. En sådan manøvre kan altså koste en del i mandetimer.

»Men det er der intet ulovligt i«, understreger Michael Hopp.

En snæver rettighed

Retten til at blive glemt er i sin ånd ikke ny. EU’s charter om rettigheder som privatlivets fred og beskyttelse af persondata ligger for eksempel til grund for den EU-dom, der tvinger søgemaskiner til at skjule resultater, når man søger på bestemte navne.

Læs også: Google sletter 602.000 europæiske links på et år som følge af ‘retten til at blive glemt’

Når retten nu slås fast i den nye EU-forordning, betyder det ikke, at man kan forvente at få fjernet al digital viden om sig selv.

»Right to be forgotten er en snæver rettighed. Der er mange undtagelser. Hele den offentlige sektor - og mange virksomheder - har pligt til at have dine oplysninger. Det rykker EU’s forordning ikke på. Du kan jo ikke ringe til din bank og bede dem slette din gæld,« siger Michael Hopp

Heller ikke som kunde i en detailvirksomhed kan du nødvendigvis kræve, at du bliver slettet fra samtlige databaser uden videre, forklarer advokaten.

»Her er virksomheder til en vis grad bundet af bogføringsloven. Parallelt har virksomheder jo allerede en slettepligt, som gælder, når de ikke længere har brug for data,« siger Michael Hopp.

Følg forløbet

Kommentarer (3)

Povl H. Pedersen

Så man har ikke ret til at blive slettet fra backup, men kun fra restore.
Dvs hvis jeg har afmeldt mig nyhedsbrevet, og får det igen efter en restored backup, så fejler virksomheden og skal betale nogle millioner i bøde ?

Jeg antager, at virksomheder skal have processer der sikrer at de kan gen-slette slettede borgere (og dermed er de tvunget til at registrere borgere på en jeg-vil-slettes liste - Som de vel ikke kan forlange at blive slettet fra ?)

Hvorfor lærer advokater ikke logik, og er IT virkelig så fjernt fra deres hverdag ?

Jens Holm

Bare sådan et teoretisk spin.. Hvordan vil du fjerne folk fra backup's? Det er bare ikke en praktisk mulighed..

Vi er til gengæld enige i at når man er slettet, så skal man også genslettet efter en gendannelse af et system, så virksomhederne skal jo, principielt, have et kartotek over slettede identiiteter..

Alex R. Tomkiewicz

Selvom det er meget humoristisk at man skal gemme data på de personer der har bedt om at blive slettet, så er virkeligheden meget bedre og meget værre.

Det kræver kun at der klistres en kosmologisk unik id (k.u.i.d) på alt som kan tænkes at skulle slettes eller af-henførbares. Så kan man gemme disse id'ere. Og genslette ud fra dem. Og hvor stort et problem kan dét lige være...?

Og så skal man tage nye backups, for alle de gamle backups duer ikke mere :-)

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen