Opbevaring af persondata og retten til at blive glemt

Faglig nyhedSom udgangspunkt har registrerede ret til at kræve, at dataansvarlige og afledt databehandlere efter instruks sletter registrerede persondata. For revisionsvirksomheder fortrænges denne ret dog meget ofte af en opbevaringspligt i henhold til anden lovgivning.

Om revisorRevision

En af rettighederne, som personer som udgangspunkt har i relation til persondata, er retten til at blive glemt efter databeskyttelsesforordningens artikel 17. Det vil sige retten til at henvende sig til en dataansvarlig og anmode denne om at slette de persondata, som vedkommende har registreret om personen.

Der kan generelt henvises til Datatilsynets Vejledning fra marts 2018 om registreredes rettigheder.

 

Retten til at blive glemt fortrænges dog efter forordningens artikel 17, stk. 3, i en række tilfælde. For revisorer er det særligt relevant, at man ikke er forpligtet til at slette, hvis en fortsat behandling/opbevaring af oplysninger om den registrerede er nødvendig for at overholde en retlig forpligtelse.

Det betyder, at revisorer ikke er forpligtet til at slette nødvendige personoplysninger som dataansvarlig ved udførelse af erklæringsopgaver med sikkerhed, jf. revisorlovens § 23, stk. 1:

 

”Revisorer og revisionsvirksomheder skal for enhver opgave efter § 1, stk. 2, udarbejde arbejdspapirer, der dokumenterer grundlaget for den afgivne erklæring eller udtalelse. Arbejdspapirerne og genparter af de afgivne erklæringer, revisionsprotokoller og regnskaber skal opbevares i 5 år fra tidspunktet for underskrivelse af den erklæring, som materialet vedrører.”

 

I opgaver, hvor revisor er databehandler ved at hoste opbevaring af klientens oplysninger, fortrænges rettigheden ofte af opbevaringspligten i bogføringslovens § 10, stk. 1:

 

”Den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale”.

 

Endelig kan der peges på hvidvasklovens § 30, stk. 2, hvor den lovpligtige opbevaringsperiode kan blive endog særdeles lang:

 

”Oplysninger, dokumenter og registreringer som nævnt i stk. 1 skal opbevares i mindst 5 år efter forretningsforbindelsens ophør eller den enkeltstående transaktions gennemførelse. Personoplysninger skal slettes 5 år efter forretningsforbindelsens ophør eller en enkeltstående transaktions gennemførelse, medmindre andet er fastsat i anden lovgivning”.

 

Det skal fremhæves, at opbevaringspligten for identitets- og understøttende legitimationsoplysninger gælder for alle forretningsforbindelser, herunder rådgivningskunder.