Denne uges blog er del 3 af 3 hvor vi se nærmere på den nye persondataforordning, der er blevet vedtaget i EU. Forordningen blev offentliggjort tidligere i år og træder endeligt i kraft den 25. maj 2018.

Udgangspunktet for forordningen er at danne et fælles regelsæt for EU borgere i forhold til at håndhæve den enkeltes ret til databeskyttelse samt lette den frie udveksling af personoplysninger.

Blog nummer 1 omhandlede artikel 25: Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, i relation til backup. Blog nummer 2 satte fokus på artikel 32: Behandlingssikkerhed (side 160 til 161). Her gælder det, at såfremt der er et datanedbrud, så må genskabelsen af data ikke kun begrænses til at forsøge, at indlæse data fra en backup. Kan data af en eller anden årsag ikke genskabes fra backup, så skal en datarekonstruktion igangsættes.

Denne uges blog tager fat om artikel 28: Databehandler (side 154-155). Her er fokus sat på blandt andet sletning af data og den dertilhørende rapportering. Artikelteksten lyder (med fokus på underpunkt g):

Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

 g)   efter den dataansvarliges valg sletter eller tilbageleverer alle personoplysninger til den dataansvarlige, efter at tjenesterne vedrørende behandling er ophørt, og sletter eksisterende kopier, medmindre EU-retten eller medlemsstaternes nationale ret foreskriver opbevaring af personoplysningerne

Med andre ord – når data ikke længere skal være tilgængeligt, skal data som udgangspunkt slettes og sletningen skal være udført med garanti og dokumentation. En verbal garanti eller en -tro og love erklæring- på, at data bliver slettet er ikke nok (hvis nu data ikke bliver slettet!). Både dataansvarlig og databehandler skal være opmærksomme på dette. For god orden følger her en (kort) definition på en dataansvarlig og en databehandler:

• Dataansvarlig er den der afgør, hvilke data der behandles.
  • Ansvarlig for overholdelse af forordningen, i relation til databehandling.

• Databehandler kendetegnes ved at behandle (personoplysninger) på vegne af en dataansvarlig.
  • Ansvarlig for overholdelse af forordningen, i relation til teknologi.

Hvem har ansvaret hvis det går galt="" og data kommer på afveje? Umiddelbart vil svaret være, at det må være den dataansvarlige, men med persondataforordningen kan databehandler også stilles til ansvar, såfremt databehandleren ikke har sikret data med passende tekniske og organisatoriske foranstaltninger.

Kort fortalt, så skal både dataansvarlig og databehandler være opmærksomme på, at data bliver slettet såfremt data ikke skal bruges. Sletningen skal også kunne dokumenteres! Dette gør sig gældende hvad enten dataansvarlig og databehandler er en og samme organisation eller adskilte organisationer. I sidste betyder det, at såfremt der formidles dataudstyr hvorpå der stadig er data, så er data ikke sikret med passende tekniske og organisatoriske foranstaltninger og den formidlende part af dataudstyret kan holdes ansvarlig.

Undgå at data kommer på afveje

Vi har stor ekspertise, når det kommer til sletning af data – gør brug af den! Vores ekspertise indenfor datasletning øger jeres mulighed for at overholde forordningen, hvad enten man er databehandler, dataansvarlig eller dataudstyrsformidler.

Overhold kravene fra den nye persondataforordning - kontakt Henrik Andersen fra Ibas Danmark – Henrik kan fortælle jer meget mere om datasletning – hvad enten det gælder PC’er, servere, SAN, LUN, virtuelle systemer, tablets og smartphones. Henrik kan kontaktes på telefon 70 22 34 00 eller på e-mail: henrik.anderen@ibas.dk.