Slett

Plikt til å slette personopplysninger også på sikkerhetskopier?

Det er en streng plikt til å slette personopplysninger etter de nye personvernreglene (GDPR), bl.a. dersom den registrerte krever sletting eller dersom formålet med behandling av personopplysninger ikke lenger foreligger. Men er det tatt sikkerhetskopi av personopplysningene, kan det være en vanskelig, om ikke uoverkommelig, oppgave å slette de konkrete personopplysninger på sikkerhetskopier (backup). Gjelder det en plikt til å slette personopplysninger også på sikkerhetskopier?

De fleste data, også personopplysninger, blir det tatt sikkerhetskopi (backup) av. Ved sikkerhetskopiering skilles det ikke mellom de ulike typer data, som personopplysninger, og det tas kopi av alle data som foreligger. Sikkerhetskopiene vil dermed inneholde omfattende samlinger med data, hvor det er vanskelig å skille ut de enkelte data på enkel måte.

Etter de nye personvernreglene, som personvernforordningen (GDPR) og forslag til ny personopplysningslov, er det en plikt for behandlingsansvarlig å slette personopplysningene i en rekke tilfelle. Plikten, som også er omtalt som «retten til å bli glemt» gjelder bl.a. dersom den registrerte krever å bli slettet, formålet for behandling ikke lenger foreligger), samtykke for behandling trekkes tilbake, behandlingen er ulovlig og andre grunner, se mer i artikkel 17 i personvernforordningen. I tilfelle det foreligger plikt til å slette, så skal den behandlingsansvarlige slette opplysningene uten ugrunnet opphold (dvs. så snart som mulig).

Sletting vil da skje på «live data», dvs. de data som er i daglig bruk. Personopplysningene er imidlertid også lagret på sikkerhetskopier, men det vil være veldig vanskelig å lokalisere personopplysninger knyttet til én bestemt behandling eller én registrert. Dette gjelder spesielt dersom det er flere sett med sikkerhetskopier, som at det tas fullstendige sikkerhetskopier hver 6. måned, og inkrementell eller differensiell sikkerhetskopi etter dette (dvs. løpende sikkerhetskopi av filer som er endret siden forrige sikkerhetskopi). Det kan da være mange backup-sett som må gås gjennom for å få slettet alle personopplysningene. Dette vil være en nær uoppnåelig oppgave, og sletting kan da kun skje ved at hele backup-sett slettes, noe som ikke vil være en god løsning siden virksomheten vil da sitte uten sikkerhetskopier.

I utgangspunktet foreligger det en plikt etter personvernreglene til å slette personopplysninger også på sikkerhetskopi, men heldigvis har Datatilsynet lagt seg på en mer pragmatisk linje ved forståelsen av reglene. Problemet er at Datatilsynet ikke åpent tilkjennegir denne linjen lenger. Tidligere fremkom det på Datatilsynets nettsider at det ikke kreves at det slettes personopplysninger på sikkerhetskopier, men denne veiledningen er fjernet fra nettsidene.

På forespørsel bekrefter imidlertid Datatilsynet at personopplysninger ikke må slettes fra sikkerhetskopier, forutsatt at overskriving av sikkerhetskopiene skjer med jevne og rimelige intervaller. Datatilsynet viser til kommentarene til personopplysningsforskriftens kapittel 9 som bruker 6 måneders syklus for overskriving sikkerhetskopier som eksempel, men sykluser på 12 måneder, som er mer vanlig, må også trolig være et akseptabelt intervall. Noe man imidlertid bør være påpasselig på, er at dersom man foretar en gjenoppretting (restore) fra sikkerhetskopi, må man slette (igjen) opplysninger som gjenopprettes som skulle vært slettet.

Det kan allikevel komme presiseringer fra Datatilsynet, fra EU-hold eller praksis fra andre land som vi i Norge må forholde oss til, men inntil da så er det ingen forpliktelse til å slette personopplysninger på sikkerhetskopier.