GDPR - Slettefrister og forældelse hører ofte sammen

Faglig nyhedHvor lang tid kan GDPR-data arkiveres? Kan der dispenseres? Bliv klogere på sletning og slettefristerne år for år i denne artikel.

Om revisor

Hvorfor overhovedet beskæftige sig med slettefrister?
Svaret er enkelt: Fordi det kan udløse store bøder, hvis virksomhederne ikke sletter personoplysninger rettidigt.

Det skete fx for ID Design, hvor Datatilsynet i forsommeren i 2019 politianmeldte virksomheden og indstillede den til en bøde på 1,5 mio. kr. for manglende sletning af oplysninger om ca. 385.000 kunder. Det er en hård afgørelse, og den gør ondt, især fordi bøder ikke skattemæssigt er fradragsberettigede.

 

Hvad er så rettidig sletning?

Det er kun rettidigt, hvis du – af egen drift – får slettet:

  1. Når det ikke længere er nødvendigt for dig at have oplysningerne
  2. Når den registrerede trækker sit samtykke, eller samtykket forældes
  3. Du behandler oplysningerne ulovligt (uden hjemmel i databeskyttelsesforordningens kapitel II, som eks. samtykke, retlig forpligtelse, interesseafvejning)
  4. Lovgivning forpligter dig til at slette, fx hvidvasklovens krav om sletning efter 5 år og krav om sletning af samtykke efter 2 år, medmindre samtykket fornys, eller
  5. Den registrerede beder om det.  

Hvor omfattende skal sletningen så være?
Den skal som udgangspunkt omfatte det hele – også hos databehandlere og andre, som du har videregivet oplysningerne til.

Hvornår kan du lade være med at slette?
Du er ikke forpligtet til at slette, hvis din fortsatte behandling af oplysninger om den registrerede er nødvendig for at overholde en retlig forpligtelse, fx bogføringslovens 5-års krav, eller er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, eller hvor notater kan være afgørende for de beslutninger, der er truffet.

Men forældelsesreglerne får også stor indflydelse på slettefristerne. Fx forældes eventuelt rådgiveransvar først endeligt efter 10 år, hvorfor du er berettiget til i 10 år at beholde de persondata, der er nødvendige for at kunne dokumentere, at du som rådgiver (revisor, advokat, ejendomsmægler m.fl.) har håndteret en opgave korrekt.

Derfor har du brug for denne oversigt over slettefrister og forældelse:

Slettefrister - og forældelse
2 år
Du skal kunne dokumentere dine samtykker til markedsføring indtil 2 år efter, at et samtykke er trukket tilbage, og samtykker skal slettes to år efter, at de er trukket tilbage.

3 år
Almindelige økonomiske krav bliver som udgangspunkt forældet tre år efter, at kravet forfaldt til betaling.

5 år
Lønkrav forældes efter 5 år, og bogføringsbilag skal gemmes i 5 + indeværende år ifølge bogføringsloven.

Hvidvaskloven har skærpede krav til sletning efter 5 år, da sletning skal ske senest en måned efter udløbet af 5-års perioden regnet fra forretningsforbindelsens ophør eller en enkeltstående transaktions gennemførelse, medmindre andet er fastsat i anden lovgivning.

Revisorer m.fl. er som bekendt omfattede af hvidvaskloven.

10 år
Når der er udstedt et gældsbrev, eller når fordringens eksistens og størrelse er anerkendt skriftligt eller fastslået ved forlig, dom, betalingspåkrav påtegnet af fogedretten, eller der er en anden bindende afgørelse, så sker forældelsen først 10 år derefter.

Rådgiveransvar (revisorer, advokater, ejendomsmæglere og andre rådgivere) forældes også først definitivt efter 10 år.

Erstatningsansvar for skadevoldende handlinger uden for kontrakt forældes ligeledes 10 år efter den skadevoldende handlings ophør, medmindre handlingen er omfattet af den 30-årige forældelse.

30 år
Først 30 år efter en skadevoldende handlings ophør, for fordringer på erstatning eller godtgørelse i anledning af personskade, og for fordringer på erstatning for skade forvoldt ved forurening af luft, vand, jord eller undergrund eller ved forstyrrelser ved støj, rystelser el.lign., sker forældelse.

Et godt råd fra Datatilsynet
Datatilsynet råder til, at man som dataansvarlig indretter sin behandling med de enkelte behandlingers slettefrister for øje. Du kan læse mere om sletning af persondata på Datatilsynets hjemmeside.

 

Eksempel
Som et tænkt eksempel kan man forestille sig en webshop, hvor en kunde opretter en profil i virksomhedens system. Kunden giver samtykke til at modtage nyhedsbreve, som er personliggjort på baggrund af kundens tilkendegivne interesser i bestemte produkter. Når kunden foretager et køb i webshoppen, gemmes en kopi af faktura til regnskabsformål.

Virksomheden fastsætter på baggrund af bogføringsloven en slettefrist på 5 år for fakturaer. Desuden fastsætter virksomheden – med baggrund i forældelsesfristen for sager efter markedsføringslovens § 10 – en slettefrist på 2 år for det samtykke, som kunden har afgivet i forhold til modtagelse af nyhedsbrevet. Hvis kunden sletter sin profil i systemet, slettes de øvrige oplysninger om vedkommende efter 6 måneder.

På baggrund af behandlingerne og slettefristerne indretter virksomheden sine systemer på en måde, hvor fakturaer kun indeholder de fornødne oplysninger, jf. bogføringsloven. På samme måde gemmes samtykker til modtagelse af nyhedsbrev separat med de fornødne personoplysninger, der kræves til dokumentation heraf. De øvrige oplysninger om kunden gemmes i kundens profil, som alle kan slettes på samme tid, når slettefristen er mødt.

På den måde letter virksomheden sit arbejde med at overholde sine fastsatte slettefrister, idet fristerne og behandlingerne kan knyttes op på bestemte dele af systemet.

 

 

Viste du, at FSR – danske revisorer har indgået et samarbejde med Lexoforms, som klæder jer medlemmer på til at blive GDPR-rådgivere. Klik på linket og find ud af, hvordan du nemt kommer i gang.

Denne artikel er udarbejdet i samarbejde med advokat (H) Wivi H. Larsen, Partner i Lexoforms ApS.