Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler

IUNO
10/05/2022
Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler
IUNO logo
Datatilsynet har netop indstillet en virksomhed til en bøde på 10 millioner kr. Det skyldes, at virksomheden ikke kunne dokumentere, at personoplysninger var blevet slettet i overensstemmelse med databeskyttelsesreglerne. Vi ser i den forbindelse nærmere på, hvad virksomheder skal være opmærksomme på i forbindelse med databeskyttelsesreglernes krav til sletning.

Datatilsynet indledte i november 2020 af egen drift en sag mod en stor bank, efter at virksomheden selv havde oplyst, at den havde fundet et problem med sletning af personoplysninger. Det betød, at virksomheden havde personoplysninger, uden at der nødvendigvis var en forretningsmæssig begrundelse, der berettigede behandlingsaktiviteterne.


Efter undersøgelsen viste det sig, at virksomheden i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Det var heller ikke dokumenteret, at der var sket manuel sletning af personoplysninger. Datatilsynet anmeldte herefter virksomheden til politiet med indstilling til en bøde på 10 millioner kr.


Brud på sletteregler er et grundlæggende brud på databeskyttelsesreglerne

Selvom personoplysninger bliver indsamlet og behandlet lovligt, er det et grundlæggende krav efter databeskyttelsesreglerne, at oplysningerne i alle tilfælde aldrig opbevares længere end nødvendigt. Personoplysninger skal enten slettes eller anonymiseres, når der ikke længere er brug for dem.


I den forbindelse skal der være systemer og rutiner på plads for at sikre, at reglerne bliver overholdt som led i virksomhedens daglige drift – og for at kunne dokumentere, at behandlingen er indrettet efter reglerne. Det er virksomheden selv, der som dataansvarlig skal vurdere hvornår oplysninger skal slettes eller anonymiseres. Det kræver som udgangspunkt, at der bliver foretaget en konkret vurdering af hver behandlingstype. Eksempelvis skal der fastsættes særlige regler for sletning af oplysninger indhentet som led i rekrutteringsprocessen – det har vi tidligere skrevet om, her. I praksis vil fristerne ofte fastsættes efter særlovgivning, såsom bogføringsloven, forældelsesloven eller hvidvasklovens regler.


For at overholde reglerne skal virksomheder også foretage en række tekniske og organisatoriske overvejelser. Det kan eksempelvis være overvejelser omkring, hvordan systemerne løbende tjekkes for oplysninger, der har nået slettefristen, hvem der skal sørge for sletning, og hvordan det kan dokumenteres, at sletning er sket efter reglerne. Det kan også være, at det er overvejelser omkring, hvorvidt sletning foregår automatisk eller manuelt, samt hvordan hvert system skal sættes op.


IUNO mener

Bøden, som Datatilsynet har indstillet virksomheden til med politianmeldelsen, er den største set hidtil. Bødestørrelsen stemmer dog overens med, at der er tale om et helt grundlæggende krav under databeskyttelsesreglerne, som virksomheder skal være meget opmærksomme på.

IUNO anbefaler, at virksomheder sikrer, at det løbende sikres, at der er taget stilling til de forskellige slettefrister, og at det er dokumenteret internt. Dokumentationen bør indeholde et klart overblik over proceduren for sletning, samt opfølgning på at sletning forløber som forventet. Sletning bør altså tænkes ind i behandlingsaktiviteterne allerede fra start for at sikre at reglerne overholdes.


[Datatilsynets pressemeddelelse om politianmeldelse af Danske Bank af den 5. april 2022]

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Bliv databeskyttelsesrådgiver (DPO) i Transportministeriets koncern. Vi har brug for dig!
Legal Counsel
Jurist med interesse for databeskyttelsesret til Statens Serum Institut
Vi søger 4 kollegaer til juridisk afdeling i Sikkerhedsstyrelsen i Esbjerg
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Kurser, der kunne være relevante for dig
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2022 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted