Millionbøde og kritik – nyt fra Datatilsynet om sen og manglende sletning

Ingen undskyldning hvis kommunes sene sletning skyldtes databehandlerens forhold

En borger, hvis patientjournal ved en fejl var blevet videregivet til en kommune, bad i maj 2018 kommunen om at slette journalen. Først næsten tre måneder senere bad kommunen sin databehandler om at slette journalen. Da borgeren i marts 2019 klagede til Datatilsynet, var sletteanmodningen endnu ikke imødekommet – det blev den først ved udgangen af april 2019, selvom det var ubestridt, at borgeren havde ret til sletning.

Over for Datatilsynet anførte kommunen, at den ikke selv kunne slette journalen, at den flere gange havde rettet henvendelse til databehandleren om det, og at det var databehandlerens skyld, der gik så lang tid. Først da kommunens borgerrådgivning gik ind i sagen og lagde pres på databehandleren, blev journalen slettet.

Datatilsynet udtalte alvorlig kritik af, at der gik næsten et år fra borgerens sletteanmodning, til patientjournalen blev slettet. Kommunen havde derved efter tilsynets opfattelse ikke overholdt borgerens ret til sletning.

Datatilsynet bemærkede i den forbindelse, at det er den dataansvarlige, som skal sikre iagttagelsen af de registreredes rettigheder, og at den dataansvarlige kun må benytte sig af databehandlere, som kan sikre beskyttelsen af de registreredes rettigheder. Kommunen kunne altså ikke undskylde sig med, at den alt for sene sletning skyldtes databehandlerens forhold.

Millionbøde til hotelkæde for 500.000 kundeprofiler, som burde være slettet

På et tilsynsbesøg opdagede Datatilsynet, at en hotelkæde i et bookingsystem opbevarede ca. 500.000 kundeprofiler, som efter kædens egne slettefrister burde være slettet – nogle endda flere år tidligere.

Hotelkæden havde derved efter tilsynets opfattelse ikke levet op til databeskyttelsesforordningens krav om opbevaringsbegrænsning, fordi kæden uden et sagligt formål havde opbevaret kundeprofilerne længere, end hvad der var nødvendigt.

Datatilsynet anmeldte på den baggrund hotelkæden til politiet og indstillede til en bøde på 1.100.000 kr.

Hvad viser sagerne?

Sagerne understreger vigtigheden af, at man som dataansvarlig ikke blot opstiller procedurer til iagttagelse af de registreredes rettigheder, men at man også løbende vedligeholder og kvalitetssikrer sine procedurer og håndhæver den praktiske efterlevelse af dem.

Den dataansvarlige skal med andre ord – udover at etablere de relevante procedurer – udøve egenkontrol, så complianceindsatsen slår igennem ikke bare på papiret, men også i dagligdagen.

Det er således ikke nok at bede sin databehandler efterleve en sletteanmodning, hvis det ikke også fører til, at oplysningerne faktisk bliver slettet. Ansvaret hviler på den dataansvarlige. Tilsvarende er det ikke nok at fastsætte slettefrister, hvis man ikke også sørger for, at de håndhæves i de systemer, hvor man opbevarer personoplysninger.

Når Datatilsynet udtalte alvorlig kritik af kommunen, men indstillede hotelkæden til en bøde på 1.100.000 kr., kan forskellen formentlig bl.a. ses i lyset af, at kommunens mangelfulde iagttagelse af de registreredes rettigheder berørte én borger, mens hotelkædens manglende sletning vedrørte ca. 500.000 tidligere kunder.

Videre kan det have haft betydning, at kommunen trods alt ad flere omgange forsøgte at få patientjournalen slettet, mens hotelkæden omvendt ikke slettede kundeprofilerne, selvom den havde mulighed for det og indirekte selv – i kraft af sin slettepolitik – havde vurderet, at oplysningerne burde være slettet.

Sidder I nu med en usikker fornemmelse af, om noget lignende kunne ske for jer, anbefaler vi, I benytter lejligheden til at efterse jeres compliance i forhold til sletning. Vi anbefaler i den forbindelse, at I gennemgår jeres slettepolitikker og -procedurer og identificere eventuelle huller i håndhævelsen af dem, evt. gennem stikprøvekontrol. Finder I huller, skal der tages hånd om dem, f.eks. ved at gennemføre sletningen, og udbedringen skal dokumenteres.