Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler
Datatilsynet har netop indstillet en virksomhed til en bøde på 10 millioner kr. Det skyldes, at virksomheden ikke kunne dokumentere, at personoplysninger var blevet slettet i overensstemmelse med databeskyttelsesreglerne. Vi ser i den forbindelse nærmere på, hvad virksomheder skal være opmærksomme på i forbindelse med databeskyttelsesreglernes krav til sletning.
Datatilsynet indledte i november 2020 af egen drift en sag mod en stor bank, efter at virksomheden selv havde oplyst, at den havde fundet et problem med sletning af personoplysninger. Det betød, at virksomheden havde personoplysninger, uden at der nødvendigvis var en forretningsmæssig begrundelse, der berettigede behandlingsaktiviteterne.
Efter undersøgelsen viste det sig, at virksomheden i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Det var heller ikke dokumenteret, at der var sket manuel sletning af personoplysninger. Datatilsynet anmeldte herefter virksomheden til politiet med indstilling til en bøde på 10 millioner kr.
Brud på sletteregler er et grundlæggende brud på databeskyttelsesreglerne
Selvom personoplysninger bliver indsamlet og behandlet lovligt, er det et grundlæggende krav efter databeskyttelsesreglerne, at oplysningerne i alle tilfælde aldrig opbevares længere end nødvendigt. Personoplysninger skal enten slettes eller anonymiseres, når der ikke længere er brug for dem.
I den forbindelse skal der være systemer og rutiner på plads for at sikre, at reglerne bliver overholdt som led i virksomhedens daglige drift – og for at kunne dokumentere, at behandlingen er indrettet efter reglerne. Det er virksomheden selv, der som dataansvarlig skal vurdere hvornår oplysninger skal slettes eller anonymiseres. Det kræver som udgangspunkt, at der bliver foretaget en konkret vurdering af hver behandlingstype. Eksempelvis skal der fastsættes særlige regler for sletning af oplysninger indhentet som led i rekrutteringsprocessen – det har vi tidligere skrevet om, her. I praksis vil fristerne ofte fastsættes efter særlovgivning, såsom bogføringsloven, forældelsesloven eller hvidvasklovens regler.
For at overholde reglerne skal virksomheder også foretage en række tekniske og organisatoriske overvejelser. Det kan eksempelvis være overvejelser omkring, hvordan systemerne løbende tjekkes for oplysninger, der har nået slettefristen, hvem der skal sørge for sletning, og hvordan det kan dokumenteres, at sletning er sket efter reglerne. Det kan også være, at det er overvejelser omkring, hvorvidt sletning foregår automatisk eller manuelt, samt hvordan hvert system skal sættes op.
IUNO mener
Bøden, som Datatilsynet har indstillet virksomheden til med politianmeldelsen, er den største set hidtil. Bødestørrelsen stemmer dog overens med, at der er tale om et helt grundlæggende krav under databeskyttelsesreglerne, som virksomheder skal være meget opmærksomme på.
IUNO anbefaler, at virksomheder sikrer, at det løbende sikres, at der er taget stilling til de forskellige slettefrister, og at det er dokumenteret internt. Dokumentationen bør indeholde et klart overblik over proceduren for sletning, samt opfølgning på at sletning forløber som forventet. Sletning bør altså tænkes ind i behandlingsaktiviteterne allerede fra start for at sikre at reglerne overholdes.
[Datatilsynets pressemeddelelse om politianmeldelse af Danske Bank af den 5. april 2022]
Datatilsynet indledte i november 2020 af egen drift en sag mod en stor bank, efter at virksomheden selv havde oplyst, at den havde fundet et problem med sletning af personoplysninger. Det betød, at virksomheden havde personoplysninger, uden at der nødvendigvis var en forretningsmæssig begrundelse, der berettigede behandlingsaktiviteterne.
Efter undersøgelsen viste det sig, at virksomheden i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Det var heller ikke dokumenteret, at der var sket manuel sletning af personoplysninger. Datatilsynet anmeldte herefter virksomheden til politiet med indstilling til en bøde på 10 millioner kr.
Brud på sletteregler er et grundlæggende brud på databeskyttelsesreglerne
Selvom personoplysninger bliver indsamlet og behandlet lovligt, er det et grundlæggende krav efter databeskyttelsesreglerne, at oplysningerne i alle tilfælde aldrig opbevares længere end nødvendigt. Personoplysninger skal enten slettes eller anonymiseres, når der ikke længere er brug for dem.
I den forbindelse skal der være systemer og rutiner på plads for at sikre, at reglerne bliver overholdt som led i virksomhedens daglige drift – og for at kunne dokumentere, at behandlingen er indrettet efter reglerne. Det er virksomheden selv, der som dataansvarlig skal vurdere hvornår oplysninger skal slettes eller anonymiseres. Det kræver som udgangspunkt, at der bliver foretaget en konkret vurdering af hver behandlingstype. Eksempelvis skal der fastsættes særlige regler for sletning af oplysninger indhentet som led i rekrutteringsprocessen – det har vi tidligere skrevet om, her. I praksis vil fristerne ofte fastsættes efter særlovgivning, såsom bogføringsloven, forældelsesloven eller hvidvasklovens regler.
For at overholde reglerne skal virksomheder også foretage en række tekniske og organisatoriske overvejelser. Det kan eksempelvis være overvejelser omkring, hvordan systemerne løbende tjekkes for oplysninger, der har nået slettefristen, hvem der skal sørge for sletning, og hvordan det kan dokumenteres, at sletning er sket efter reglerne. Det kan også være, at det er overvejelser omkring, hvorvidt sletning foregår automatisk eller manuelt, samt hvordan hvert system skal sættes op.
IUNO mener
Bøden, som Datatilsynet har indstillet virksomheden til med politianmeldelsen, er den største set hidtil. Bødestørrelsen stemmer dog overens med, at der er tale om et helt grundlæggende krav under databeskyttelsesreglerne, som virksomheder skal være meget opmærksomme på.
IUNO anbefaler, at virksomheder sikrer, at det løbende sikres, at der er taget stilling til de forskellige slettefrister, og at det er dokumenteret internt. Dokumentationen bør indeholde et klart overblik over proceduren for sletning, samt opfølgning på at sletning forløber som forventet. Sletning bør altså tænkes ind i behandlingsaktiviteterne allerede fra start for at sikre at reglerne overholdes.
[Datatilsynets pressemeddelelse om politianmeldelse af Danske Bank af den 5. april 2022]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet