Plikt til å slette personopplysninger også på sikkerhetskopier?

Det er en streng plikt til å slette personopplysninger etter de nye personvernreglene (GDPR), bl.a. dersom den registrerte krever sletting eller dersom formålet med behandling av personopplysninger ikke lenger foreligger. Men er det tatt sikkerhetskopi av personopplysningene, kan det være en vanskelig, om ikke uoverkommelig, oppgave å slette de konkrete personopplysninger på sikkerhetskopier (backup). Gjelder det en plikt til å slette personopplysninger også på sikkerhetskopier?

De fleste data, også personopplysninger, blir det tatt sikkerhetskopi (backup) av. Ved sikkerhetskopiering skilles det ikke mellom de ulike typer data, som personopplysninger, og det tas kopi av alle data som foreligger. Sikkerhetskopiene vil dermed inneholde omfattende samlinger med data, hvor det er vanskelig å skille ut de enkelte data på enkel måte.

Etter de nye personvernreglene, som personvernforordningen (GDPR) og forslag til ny personopplysningslov, er det en plikt for behandlingsansvarlig å slette personopplysningene i en rekke tilfelle. Plikten, som også er omtalt som “retten til å bli glemt” gjelder bl.a. dersom den registrerte krever å bli slettet, formålet for behandling ikke lenger foreligger), samtykke for behandling trekkes tilbake, behandlingen er ulovlig og andre grunner, se mer i artikkel 17 i personvernforordningen. I tilfelle det foreligger plikt til å slette, så skal den behandlingsansvarlige slette opplysningene uten ugrunnet opphold (dvs. så snart som mulig).

Sletting vil da skje på “live data”, dvs. de data som er i daglig bruk. Personopplysningene er imidlertid også lagret på sikkerhetskopier, men det vil være veldig vanskelig å lokalisere personopplysninger knyttet til én bestemt behandling eller én registrert. Dette gjelder spesielt dersom det er flere sett med sikkerhetskopier, som at det tas fullstendige sikkerhetskopier hver 6. måned, og inkrementell eller differensiell sikkerhetskopi etter dette (dvs. løpende sikkerhetskopi av filer som er endret siden forrige sikkerhetskopi). Det kan da være mange backup-sett som må gås gjennom for å få slettet alle personopplysningene. Dette vil være en nær uoppnåelig oppgave, og sletting kan da kun skje ved at hele backup-sett slettes, noe som ikke vil være en god løsning siden virksomheten vil da sitte uten sikkerhetskopier.

I utgangspunktet foreligger det en plikt etter personvernreglene til å slette personopplysninger også på sikkerhetskopi, men heldigvis har Datatilsynet lagt seg på en mer pragmatisk linje ved forståelsen av reglene. Problemet er at Datatilsynet ikke åpent tilkjennegir denne linjen lenger. Tidligere fremkom det på Datatilsynets nettsider at det ikke kreves at det slettes personopplysninger på sikkerhetskopier, men denne veiledningen er fjernet fra nettsidene.

På forespørsel bekrefter imidlertid Datatilsynet at personopplysninger ikke må slettes fra sikkerhetskopier, forutsatt at overskriving av sikkerhetskopiene skjer med jevne og rimelige intervaller. Datatilsynet viser til kommentarene til personopplysningsforskriftens kapittel 9 som bruker 6 måneders syklus for overskriving sikkerhetskopier som eksempel, men sykluser på 12 måneder, som er mer vanlig, må også trolig være et akseptabelt intervall. Noe man imidlertid bør være påpasselig på, er at dersom man foretar en gjenoppretting (restore) fra sikkerhetskopi, må man slette (igjen) opplysninger som gjenopprettes som skulle vært slettet.

Det kan allikevel komme presiseringer fra Datatilsynet, fra EU-hold eller praksis fra andre land som vi i Norge må forholde oss til, men inntil da så er det ingen forpliktelse til å slette personopplysninger på sikkerhetskopier.

Om artikkelforfatteren

Jan Sandtrø er advokat og partner hos DLA Piper og bistår klienter i forholdet mellom juss og teknologi. Han har lang erfaring med teknologirett, herunder it-kontrakter og personvern. DLA Piper er det eneste globale advokatfirma i Norge, og det eneste advokatfirma som har kontorer i både Danmark, Finland, Norge og Sverige. DLA Piper har 500 advokater spesialisert i IP (immaterielle rettigheter) og teknologi blant sine nær 4 500 advokater over hele verden. Jan Sandtrø kan kontaktes på jan.sandtro@dlapiper.com eller +4799731934.

Bruk gjerne artikkelen eller innhold i denne videre, men kun med henvisning til artikkelforfatteren (gjerne link til LinkedIn-profil).

Legg inn en kommentar