Skal jeg opbevare personoplysninger alene for at kunne dokumentere, at jeg overholder databeskyttelsesreglerne om samtykke?
En af mulighederne for at indsamle og behandle personoplysninger er, hvis de berørte personer giver sit samtykke. Databeskyttelsesreglerne indeholder her en række betingelser, som du som virksomhed eller myndighed skal opfylde for, at samtykket er gyldigt.
En af disse betingelser er, at du skal kunne påvise, at den pågældende person har givet sit samtykke. Denne betingelse ligger i tråd med databeskyttelsesreglernes generelle krav om ansvarlighed. Der gælder med andre ord et generelt krav om, at virksomheder og myndigheder skal kunne påvise, at de overholder reglerne.
I visse tilfælde kan denne dokumentationsforpligtelse dog medføre, at virksomheden eller myndigheden skal varetage to modsatrettede hensyn. På den ene side er du som virksomhed forpligtet til at dokumentere, at reglerne overholdes, og på den anden side er du forpligtet til at slette personoplysninger, så snart du ikke længere har behov for dem. Du er heller ikke forpligtet til at beholde eller indhente yderligere personoplysninger kun for at kunne overholde databeskyttelsesreglerne.
Betingelsen om at kunne påvise, at en person har givet sit samtykke, gælder derfor kun så længe, du behandler oplysninger om vedkommende. Når du ophører med at behandle oplysningerne, f.eks. fordi vedkommende har trukket sit samtykke tilbage, er du altså ikke forpligtet til at kunne dokumentere, at vedkommende havde givet sit samtykke. Du skal altså ikke opbevare en kopi af det samtykke, som vedkommende havde givet, eller de oplysninger, du behandlede på baggrund vedkommendes samtykke.
Databeskyttelsesreglernes generelle dokumentationskrav stiller heller ikke krav om, at du skal opbevare en kopi af det oprindelige samtykke, eller de personoplysninger, du har behandlet på baggrund af samtykke.
Disse dokumentationskrav bør i stedet opfyldes ved såkaldt systemdokumentation. For at opfylde databeskyttelsesreglernes dokumentationskrav om samtykke skal du derfor kunne:
- Dokumentere dine procedurer omkring indhentelse af samtykket, f.eks. hvilke oplysninger de pågældende personer blev præsenteret for, da de gav deres samtykke
- Dokumentere, at procedurerne opfyldte alle betingelserne for et gyldigt samtykke
Det betyder også, at de oplysninger, du har indsamlet mv. på baggrund af den pågældendes samtykke, herunder selve samtykket, som udgangspunkt skal slettes i umiddelbar forlængelse af, at du ikke længere har et formål med oplysningerne. Det kan bl.a. være, hvis den registrerede trækker sit samtykke tilbage, og du ikke har et andet formål med oplysningerne, f.eks. fortsat opbevaring af hensyn til opfyldelse af bogføringsloven eller lign.
Der findes undtagelser til denne regel. Du skal eksempelvis ikke slette oplysningerne eller det afgivne samtykke, hvis du har brug for oplysningerne i forbindelse med et retskrav, som du mener at have.
Du skal dog have en aktuel interesse i at opbevare oplysningerne. Det er ikke nok, at oplysningerne kunne være rare at have ”for en sikkerheds skyld”.
Det kan derfor være nødvendigt for dig som virksomhed at opbevare personoplysninger til dokumentation i en begrænset periode med henblik på at afklare, om der er en tvist, eller om denne kan opstå. Det skal afgøres konkret, hvor længe denne periode kan være. Hvis du har konkret erfaring med, at der opstår tvister inden for et bestemt område eller lignende, kan du tillægge dette betydning, når du fastlægger den konkrete periode.
Du må derimod ikke gemme oplysningerne, hvis du kun har en hypotetisk interesse i at opbevare oplysningerne. Det vil f.eks. være tilfældet, hvis du kun opbevarer personoplysninger, fordi du forestiller dig, at der i fremtiden kunne blive indgivet en klage eller lignende, uden at det har støtte i konkrete omstændigheder eller tidligere erfaringer. Generelle forældelsesfrister, f.eks. forældelse af krav eller forældelse af lovmæssigt ansvar, kan derfor ikke i sig selv begrunde, at man ikke sletter personoplysninger.
Datatilsynet har tidligere udtalt, at en opbevaringsperiode på 5 år, som var fastsat på baggrund af forældelsesfristen i databeskyttelseslovens § 41, stk. 7, ikke var i overensstemmelse databeskyttelsesreglerne, da den blotte mulighed for, at en straffesag i fremtiden kunne blive rejst, ikke berettiger eller nødvendiggør, at personoplysninger opbevares i 5 år.
Du skal dog være opmærksom på, at anden lovgivning end databeskyttelsesreglerne kan indeholde skærpede dokumentationskrav, som nødvendiggør opbevaring af f.eks. konkrete samtykkeerklæringer. Det gælder særligt, hvor sådanne dokumenter er den eneste måde at dokumentere sin overholdelse af disse regler. Det kan derfor være berettiget at opbevare samtykket og den begrænsede mængde personoplysninger, der fremgår heraf, med det formål at kunne dokumentere erklæringen og dens indhold, hvis det er nødvendigt af hensyn til den konkrete lovgivning.
Som et eksempel kan bl.a. nævnes opbevaring af oplysninger om navn og e-mailadresse, som fremgår af et markedsføringsretligt samtykke, i 2 år fra sidste henvendelse med henblik på at dokumentere sin overholdelse af markedsføringsloven. Hvis samme samtykkeerklæring udgør behandlingsgrundlaget efter databeskyttelsesreglerne, stiller Datatilsynet dog ikke krav om, at erklæringen opbevares i 5 år under henvisning til databeskyttelsesloven.