Styr på sletningen?

Datatilsynet har i en nylig afgørelse fundet, at en virksomhed – bl.a. i forhold til virksomhedens rekrutterings- og HR-system – ikke levede op til databeskyttelsesforordningens krav vedrørende sletning af persondata.

nvi_portraetter_done_045_web.jpg

Det følger af databeskyttelsesforordningen, at dataansvarlige er ansvarlige for – og skal kunne påvise – at personoplysninger ikke opbevares længere end i det tidsrum, det er nødvendigt til at opfylde formålet med behandlingen. Herefter skal oplysningerne enten slettes eller anonymiseres.

I efteråret 2018 var Datatilsynet på et tilsynsbesøg hos en virksomhed. I forbindelse med tilsynsbesøget så Datatilsynet på, om virksomheden havde fastsat frister for sletning af personoplysninger, og om sådanne frister blev efterlevet. Datatilsynet gennemgik bl.a. virksomhedens procedurer for sletning af personoplysninger i virksomhedens rekrutterings- og HR-system.

Under tilsynsbesøget oplyste virksomheden, at der løbende blev foretaget manuelle dobbelttjek af, at hverken rekrutterings- eller HR-systemet indeholdt oplysninger, som burde have været slettet. Virksomheden havde imidlertid ikke nedskrevet nogen procedurer for opfølgning på sletning af personoplysninger i de to systemer, men oplyste, at der dog var tale om faste processer, som skulle indskrives i eksisterende procedurer.

Ej påvist procedurer for opfølgning på sletning
I sin afgørelse understregede Datatilsynet, at dataansvarlige skal fastlægge og dokumentere opfølgning på sletning af personoplysninger – herunder at sletningen er foretaget korrekt og som forventet.

Under henvisning til, at virksomheden ikke i tilstrækkelig grad havde dokumenteret sine procedurer for opfølgning af sletning af personoplysninger i rekrutterings- og HR-systemet, fandt Datatilsynet, at virksomheden ikke havde levet op til sine forpligtelser i henhold til databeskyttelsesforordningen

På baggrund af dette – og tre yderligere kritisable forhold vedrørende manglende sletning af kundeoplysninger – udtalte Datatilsynet alvorlig kritik af virksomheden, ligesom Datatilsynet har indgivet politianmeldelse og indstillet virksomheden til en bøde på 1,5 mio. kr.

Datatilsynet udgav tidligere i år en tekst med en række gode råd vedrørende sletning af personoplysninger. Vores nyhed om Datatilsynets tekst herom kan læses her.

Norrbom Vinding bemærker

  • at afgørelsen understreger, at man som arbejdsgiver skal kunne dokumentere sine procedurer for sletning af personoplysninger, og
  • at Datatilsynet i den konkrete sag fandt, at virksomheden – som ikke havde nogen nedskrevne procedurer for sletning – ikke i tilstrækkelig grad havde dokumenteret sine procedurer for sletning af peronoplysninger.

Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.

Mere om emnet