Påbud og hjemmel efter GDPR art. 58
Datatilsynet har udstedt påbud til Aalborg Kommune efter en undersøgelse iværksat på baggrund af pressens omtale af kommunens DPO-rapport. Efter modtagelse af rapporten og kommunens bemærkninger pålagde tilsynet kommunen at sikre sletning af personoplysninger, der ikke længere er nødvendige.
Påbuddet retter sig mod øjeblikkelig efterlevelse af opbevaringsbegrænsningen i GDPR art. 5, udstedt med hjemmel i art. 58 om tilsynets beføjelser. Myndigheden forbeholder sig mulighed for yderligere korrigerende foranstaltninger. Læs afgørelsen på datatilsynet.dk.
Manglende sletning og organisatorisk forankring
Tilsynet vurderer det som alvorligt, at sletning ikke er systemisk forankret i en offentlig forvaltning. Regler og forventninger har længe været klare, og kommuner bør have faste processer for slettefrister og dokumenteret styring på tværs af systemporteføljen.
Som praktisk rettesnor henviser tilsynet til afgørelsen om Mariagerfjord Kommune, der beskriver en model for lovliggørelse af sletning i it-systemer. Se afgørelsen fra 2022 på datatilsynet.dk.
Forventninger til kommunal compliance og opfølgning
Når DPO’en rapporterer ulovlige forhold til ledelsen, skal der ske dokumenteret refleksion og udarbejdes en konkret plan for lovliggørelse. Planen bør sikre skærpede slettepolitikker, klare opbevaringsfrister og sporbar opfølgning på tværs af systemer og forvaltninger.
Efterlevelse kan styrkes gennem kortlægning af behandlingsaktiviteter, tydelig ansvarsplacering og test af automatiserede sletterutiner. Se Datatilsynets vejledning om behandlingssikkerhed og sletning.
