Datatilsynet undersøger Aalborg Kommunes GDPR-brud

Datatilsynet har indledt en undersøgelse af Aalborg Kommune efter det er kommet frem, at kommunen har brudt et centralt princip i databeskyttelsesforordningen GDPR: retten til sletning. Kommunen har beholdt borgernes persondata langt ud over, hvad lovgivningen tillader.

Hvad har Aalborg gjort forkert?

GDPR's grundprincip om opbevaringsbegrænsning kræver, at persondata slettes, når formålet med behandlingen er opfyldt. Aalborg Kommune har tilsyneladende ikke haft tilstrækkelige procedurer for systematisk datasletning, hvilket har resulteret i at data er gemt langt ud over den tilladte periode.

Version2 beskriver det som et brud med et 'centralt GDPR-princip', og sagen har allerede mødt kritik fra databeskyttelseseksperter, inden Datatilsynet officielt gik ind i sagen.

Hvad undersøger Datatilsynet?

Datatilsynets undersøgelse vil sandsynligvis fokusere på hvilke kategorier af data der er bevaret ulovligt, om der er tale om særligt følsomme oplysninger, og om kommunens databeskyttelsespolitikker er tilstrækkelige.

Kommuner håndterer enorme mængder af borgernes persondata – fra sociale sager til sundhedsoplysninger og skolejournaler. Forkert håndtering kan have alvorlige konsekvenser for borgernes privatliv.

Hvad kan konsekvenserne blive?

Datatilsynet kan udstede påbud om forbedring af procedurer, offentlig kritik eller i alvorlige tilfælde bøder. For offentlige myndigheder er den straf oftest i form af påbud og offentliggørelse, mens private virksomheder kan risikere bøder på op til 4% af den globale omsætning.

Sagen er et eksempel på at GDPR-overholdelse fortsat er en udfordring for mange kommuner, seks år efter forordningen trådte i kraft.