Du har ret til at blive glemt - men ikke fra backuppen
EU har i sin nyeste persondataforordning cementeret borgeres ret til at få personoplysninger slettet fra virksomheders database. Den såkaldte ret til at blive glemt er dog langtfra universel - og slutter brat, når det gælder backups.
»Du har ikke pligt til at slette en oplysning fra backup-systemer,« forklarer advokat og partner i advokatvirksomheden Plesner Michael Hopp.
»Hvis nogen vil slettes - og i øvrigt opfylder kravene - så skal de bare slettes. Men retten omfatter kun produktionssystemet og ikke eventuelle backups,« fastslår Michael Hopp, der tilføjer, at advokatselskabet får mange spørgsmål om sletning af persondata fra backup-systemer.
Rettigheden har grundlæggende til formål at give borgere bedre kontrol over egne persondata, men er altså afgrænset fra backups - blandt andet af hensyn til de praktiske problemer, reglen ellers kunne skabe. Det er for eksempel svært at se en mulighed for at slette enkelte data, hvis backuppen ligger på fysiske medier.
Du har i udgangspunkt ret til at blive glemt, hvis: Der er dog en række undtagelser til rettigheden. Kilde: IT-Branchen.Hvornår kan jeg få data slettet?
Gensletning af ‘glemt’ data
Hvis virksomheden efterfølgende får brug for data fra en backup, kan det gøres som normalt med enkelte forholdsregler.
»Du skal have gjort dig klart, at hvis du indlæser en gammel backup, så skal det være klart defineret, hvem der har adgang til data,« fortæller Michael Hopp.
Hvis hele biksen bliver ramt af ransomware, eller man af andre grunde må gendanne systemet fra en backup, så vil du skulle gå ind og manuelt genslette al den data, der er blevet fjernet, siden backuppen blev foretaget. En sådan manøvre kan altså koste en del i mandetimer.
»Men det er der intet ulovligt i«, understreger Michael Hopp.
En snæver rettighed
Retten til at blive glemt er i sin ånd ikke ny. EU’s charter om rettigheder som privatlivets fred og beskyttelse af persondata ligger for eksempel til grund for den EU-dom, der tvinger søgemaskiner til at skjule resultater, når man søger på bestemte navne.
Når retten nu slås fast i den nye EU-forordning, betyder det ikke, at man kan forvente at få fjernet al digital viden om sig selv.
»Right to be forgotten er en snæver rettighed. Der er mange undtagelser. Hele den offentlige sektor - og mange virksomheder - har pligt til at have dine oplysninger. Det rykker EU’s forordning ikke på. Du kan jo ikke ringe til din bank og bede dem slette din gæld,« siger Michael Hopp
Heller ikke som kunde i en detailvirksomhed kan du nødvendigvis kræve, at du bliver slettet fra samtlige databaser uden videre, forklarer advokaten.
»Her er virksomheder til en vis grad bundet af bogføringsloven. Parallelt har virksomheder jo allerede en slettepligt, som gælder, når de ikke længere har brug for data,« siger Michael Hopp.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
