Nedenstående brev kommer fra Healingsterapeutforeningen:
Hej
Indførelsen af persondata forordningen (GDPR) har rejst mange spørgsmål især i forhold til journaler, der jo indeholder meget personlige oplysninger (persondata).
Ifølge GDPR må man ikke opbevare persondata længere, end der er en konkret og saglig grund til.
Men samtidig fungerer vores Journaler som dokumentation for, at en behandling gives momsfritaget. Og som dokumentation i en evt. klagesag.
Det første kunne tale for, at man slettede journalerne forholdsvist hurtigt efter et afsluttet forløb. Det sidste kunne tale for, at journalerne er dokumenter til skatteregnskabet, som derfor skal opbevares efter regnskabslovens regler (5 år).
Vi var i tvivl om, hvad der vejede tungest og sendte derfor en forespørgsel til Datatilsynet, som vi vedlægger nedenfor, da det også kunne have jeres interesse.
Svaret brillerer ikke ved sin tydelighed, men som vi læser det, så udgør Skats krav om dokumentation en saglig begrundelse for, at journalerne opbevares i de fem år som Skat kræver.
Vi har tidligere forhørt os hos Skat i forhold til deres ret til indsigt i journalerne. Skat har ret til at se journalerne (under skærpet tavshedspligt) for derigennem at afgøre, om en behandling kunne berettige til momsfritagelse. Men Skat kan alene kræve indsigt i selve journalen – de har ikke ret til at få klientens identitet oplyst.
Det betyder at du ikke kan bruge Skat som begrundelse for ikke at slette klienternes navn, tlf. nr., mailadresse, korrespondance mv. når du ikke længere har en konkret grund til at gemme dem.
Og at du skal slette denne type oplysninger på anmodning fra klienten.
Det er alene journalen Skat kræver opbevaret.
Med venlig hilsen
Jørgen Warming
FHT - foreningen af healingsterapeuter
Søger du en kvalificeret healingsmassør - så besøg os på www.healingsmassage.com
Til Jørgen Warming
Ved e-mail af 26. maj 2018 har du rettet henvendelse til Datatilsynet med spørgsmål om sletning af personoplysninger.
I den anledning kan Datatilsynet oplyse, at det følger af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at personoplysninger skal:
”opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles”.
Det betyder i almindelighed, at der ikke findes en absolut slettefrist i de databeskyttelsesretlige regler, men at personoplysninger skal slettes eller anonymiseres, når der ikke længere er et sagligt formål med opbevaringen. Hvor længe personoplysninger må opbevares i personhenførbar form afhænger således af en konkret vurdering, som den dataansvarlige skal foretage.
Såfremt det følger af særlovgivning, at personoplysninger skal opbevares i en given periode, vil der kunne argumenteres for, at der er et sagligt formål med at opbevare oplysningerne i den givne periode.
Datatilsynet håber hermed at have besvaret din henvendelse, og foretager sig ikke yderligere i denne henseende. Såfremt du har yderligere spørgsmål, er du velkommen til at kontakte Datatilsynet igen.
Med venlig hilsen
Marie Raahauge Christiansen
Fuldmægtig, cand.jur.
E-mail: mrc@datatilsynet.dk
DATATILSYNET
Borgergade 28, 5. sal, 1300 København K
Tlf.: +45 3319 3200, Fax: +45 3319 3218
E-mail: dt@datatilsynet.dk, Internet: www.datatilsynet.dk
Foreningen Nordlys RAB