Go to Top

Dataansvarlig eller databehandler – du skal uansett huske på å slette data!

Siste bloggpost om EU’s nye personvernforordning handler om det forsterkede fokus forordningen har på sletting av data og krav til rapportering og dokumentasjon.

De tidligere postene har sett på backupprosessen og det faktum at du risikerer bøter hvis ikke historiske data lesbare fra en backup

Artikel 28 omhandler databehandlers ansvar:

Databehandlere som bearbeider data på vegne av en dataansvalig, skal kunne stille garantier som forplikter dem til å følge kravene forordningen setter for å sikre de registrertes rettigheter til beskyttelse.

Et underpunkt presiserer at databehandler skal slette alle eksisterende kopier når personopplysningsdata tilbakeleveres til dataansvalig etter at bearbeidingen er avsluttet.Et unntak vil vøre om nasjonale lover krever oppbevaring.

Med andre ord skal data som ikke lengre skal være tilgjengelig, slettes. Slettingen skal også utføres med en garanti og dokumentasjon på at data er 100 % slettet.

En tro og love holdning vil dermed ikke være godt nok.

Hvem er så ansvarlig?

En dataansvarlig avgjør hvilke data som skal behandles og er således behandlingsansvarlig for at forordningen etterleves.

Databehandler behandler data på vegne av dataansvarlig og er således teknologiansvarlig for at forordningen etterleves.

Dermed vil ansvaret kanskje umiddelbart ligge på dataansvarlig, men forordningen stiller også dtaabehandler ansvarlig hvis ikke vedkommende har sikret data med passende tekniske og organisatoriske

Hvem har så ansvaret hvis det går galt og data kommer på avveie? Umiddelbart vil svaret være dataansvarlig, men med persondataforordningen kan databehandler også stilles til ansvar, såfremt databehandleren ikke har sikret data med passende tekniske og organisatoriske inngrep.

Kort fortalt så skal altså både dataansvarlig og databehandler være oppmerksomme på at data blir slettet hvis data ikke skal brukes. Slettingen må også dokumenteres. Dette gjelder selv om de begge er i samme organisasjon eller ikke. Hvis data flyttes utenfor bedriften, uten at dette er sikret med tekniske eller organisatoriske grep, betyr det at data ikke er sikret på forsvarlig vis og den formidlende part kan da stilles ansvarlig.

Unngå at data kommer på avveie.

Ibas har lang erfaring med datasletting. Kontakt oss når du har spørsmål eller ønsker å diskutere løsninger spesielt for din bedrift.