På di.dk anvender vi cookies til en række forskellige formål i forbindelse med funktion, webanalyse og marketing. Klikker du videre på sitet, accepterer du, at der sættes cookies til disse formål. Du kan læse mere om cookies og fravælge brugen af dem på denne side.

Sletning af personoplysninger – når Datatilsynet modtager en klage

Nogle virksomheder oplever nu GDPR i praksis, når kunder beder om at blive slettet eller måske klager til Datatilsynet over, at virksomheden ikke imødekommer en sådan anmodning. Opgaven med at slette personoplysninger kan være ganske omfattende.

Ifølge databeskyttelsesforordningen har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har omvendt pligt til at slette personoplysninger uden unødig forsinkelse, hvis den registrerede gør indsigelse mod behandlingen.

Frister
Virksomheden skal uden unødig forsinkelse eller i alle tilfælde senest en måned efter modtagelsen af anmodningen oplyse den registrerede om de foranstaltninger, der træffes på baggrund af en anmodning om sletning. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningens kompleksitet og antal.

Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Der gælder således en absolut frist for besvarelse af anmodninger fra en registreret på tre måneder.

Langt de fleste anmodninger antages dog for ikke at være komplicerede, hvorfor de skal besvares senest en måned efter modtagelsen. I de tilfælde, hvor en anmodning fra en registreret afvises, skal afslaget begrundes, og der skal gives vejledning om, at den pågældende kan klage til Datatilsynet eller indbringe sagen for domstolene.

Pas på med at stille unødige krav
Vær opmærksom på, at der ikke kan stilles krav om, at den registrerede følger en bestemt procedure, udfylder bestemte skemaer eller skal møde personligt op. Der må gerne og der bør stilles krav om, at den registrerede skal legitimere sig.

Ikke pligt til at slette alle oplysninger
Det er ikke alle personoplysninger, der kan kræves slettet. Er virksomheden ved lov (registreringsafgiftsloven, bogføringsloven, bekendtgørelse om udlejning uden fører, markedsføringsloven, køretøjsregistreringsloven m.fl.) blevet pålagt at foretage den konkrete behandling af personoplysninger, vil virksomheden allerede af den grund ikke kunne imødekomme indsigelsen.

Det samme gør sig gældende, hvis behandlingen af oplysningerne er nødvendig for, at virksomheden kan fastlægge, forsvare eller gøre et retskrav gældende. Det kan eksempelvis være tilfældet, hvis en kunde er i restance eller har krav på opfyldelse af en garanti.

Hvad spørger Datatilsynet om?
Når Datatilsynet modtager en klage vil tilsynet kontakte den pågældende virksomhed med en række opklarende spørgsmål. Disse spørgsmål kan være følgende:

  • har virksomheden behandlet oplysninger om klager, og i givet fald om behandlingen er omfattet af databeskyttelsesforordningens anvendelsesområde.
  • har virksomheden modtaget en anmodning om sletning af oplysninger fra klager
  • i bekræftende fald, hvornår virksomheden har modtaget den pågældende anmodning om sletning,
  • hvordan denne anmodning er blevet besvaret,
  • om virksomheden i lyset af klagen agter at imødekomme anmodningen om sletning af oplysningerne,
  • i benægtende fald, hvad virksomhedens begrundelse er for at afvise at slette oplysningerne,
  • om behandlingen af oplysningerne efter virksomhedens opfattelse er i overensstemmelse med kravet om ”opbevaringsbegrænsning” i databeskyttelsesforordningen. Dette indebær, at der ikke må opbevares personoplysninger, som ikke længere er nødvendige i forhold til de formål, hvortil de er indsamlet.  

Oplysningerne skal ikke kunne genskabes
Forpligtelsen til at slette personoplysningerne betyder, at oplysningerne skal slettes på en sådan måde, at de ikke kan genskabes. Man skal derfor også slette de pågældende oplysninger fra sin backup mv., hvis dette er teknisk muligt og fra medarbejdernes pc’ere.

Det er vigtigt, at være opmærksom på, at retten til at få slettet personoplysninger ikke ændrer ved, at man også – som dataansvarlig – af egen drift er forpligtet til at slette personoplysninger, når det ikke længere er nødvendigt for virksomheden at have dem af hensyn til de formål, hvormed oplysningerne behandles. En anmodning om sletning medfører med andre ord, at personoplysninger skal slettes før, virksomheden af egen drift selv ville have gjort det.

Kontakt image
Seniorchefkonsulent
Tlf: +45 3377 3567
Mobil: +45 2949 4413
E-mail: kartdi.dk
PUBLICERET: 17-01-2019 OPDATERET: 17-01-2019