GDPR: Radering av backuper – en av många huvudvärkar för it-chefer i nya dataskyddslagen

Många har hört om ”rätten att bli glömd” som införs när GDPR – EU:s dataskyddsförordning – börjar tillämpas den 25 maj 2018. Mången it-chef kliar sig också i huvudet över hur denna rätt att bli glömd ska kunna fungera i praktiken, framför allt när det gäller backuper. Jag hör så många uppfattningar i frågan att det verkar vara på sin plats att klargöra ett antal missförstånd och beskriva vad det egentliga problemet kanske består i.

Det finnas något av en mytbildning kring rätten att bli glömd, som om det är något nytt som införs med GDPR. Så är det inte. I själva verket innehåller GDPR i princip ingenting som inte gäller redan enligt personuppgiftslagen i den frågan.

Uttrycket ”rätten att bli glömd” har sitt ursprung i ett mål där den spanske medborgaren Gonzalez vände sig mot Google och krävde att få ett antal länkar borttagna där hans namn fanns med. Gonzales ville ”bli glömd” av Google och stödde sin talan på det år 1995 antagna dataskyddsdirektivet och den spanska motsvarigheten till personuppgiftslagen. I en dom slog EU-domstolen fast att dataskyddsdirektivet faktiskt ger en rätt att i vissa fall få länkar borttagna från sökmotorerna. Gonzalez vann alltså målet mot Google, med den ironiska följden att han aldrig kommer att bli glömd.

Läs mer: It-juristens checklista: Det här krävs för att leva upp till EU:s dataskyddsförordning

Denna rätt att vända sig till sökmotorer som Google och få länkar borttagna slås också fast i GDPR, men är alltså ingen ny regel. Men det som i GDPR går under rubriken rätten att bli glömd är också någonting mycket mer, nämligen den också redan idag gällande principen om lagringsbegränsning. Personuppgifter får inte sparas längre än de behöver sparas för det eller de särskilda ändamål som de samlades in för (och som man ska ha upplyst de registrerade om). Det är denna skyldighet för så kallade personuppgiftsansvariga att gallra personuppgifter när de inte längre behövs som ur de registrerades perspektiv är en rätt för dem att bli glömda.

Detta innebär dock inte en rätt att ringa till första bästa företag eller myndighet och begära att ens personuppgifter raderas. Möjligheten att göra detta är begränsad. Däremot måste företag och myndigheter på eget initiativ införa och följa gallringsrutiner för personuppgifter. Här gäller olika lagringstid för olika personuppgifter. Ofta får inte kunddata inte sparas längre än ett år efter senast kundkontakt, men det kan variera.

Men många personuppgifter har ju företag och myndigheter en skyldighet att spara, exempelvis bokföringsdata som ju har ett lagringskrav på sju år. För bokföringsdata gäller bara en rätt att bli glömd efter sju år.

Läs mer: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

Företag och myndigheter måste alltså redan idag, men inte minst i sina GDPR förberedelser, gå igenom och inrätta interna rutiner för när olika kategorier av personuppgifter måste raderas. Möjligheten för kunder att ringa in och begära radering är som sagt begränsad.

Men vad gäller då för backuper? Inte kan det väl krävas att man raderar alla personuppgifter från backuperna också när gallring i övrigt sker? Jo, tyvärr är det så. Personuppgifter lagras i backuper, och lagring är en form av behandling av personuppgifter, och det är just detta man måste upphöra med efter viss tid. Alltså – uppgifterna från backuperna måste också bort. Men – det är förstås i praktiken knappast möjligt, framförallt inte per den 25 maj 2018.

Jag känner inte till några riktigt bra tekniska lösningar ännu för att ordna med radering från backuper. I praktiken kommer företag och myndigheter – som interimsåtgärder – att behöva hitta mitigerande lösningar som så att säga är näst bäst. Exempelvis kan man behöva se till att begränsa den fysiska tillgången till och behörigheten att hämta data från back-up:erna, för att hindra spridning av personuppgifter som borde har raderats. Vidare vet jag företag som arbetar på att förhindra återläsning av tidigare raderade personuppgifter från backuperna. Det finns rimligen en mängd andra sätt att uppnå näst bästa lösning.

För att vara tydlig: även dessa lösningar innebär i princip att GDPR överträds, men de är avsevärt mycket bättre än att ingenting alls görs om det blir fråga om att ålägga sanktionsavgifter eller skadestånd. Jag rekommenderar varmt it-communityn i Sverige att dela med sig av bra idéer för vilka andra åtgärder som kan genomföras.

För att sammanfatta: Alla har en rätt att bli glömda även från backuper, men inte bara för att man har lust att bli glömd, utan när den som har backupen inte längre behöver uppgifterna för att uppfylla det ändamål för vilka personuppgifterna samlades in.