Datatilsynet fastslår i SmartResponse-sagen, at fem års opbevaring af personoplysninger alene for at dokumentere samtykke strider mod GDPRs opbevaringsbegrænsning. Ny vejledning præciserer, at dokumentation skal være nødvendig, proportionel og underlagt korte slettefrister.
Datatilsynet har i SmartResponse-sagen fastslået, at en generel opbevaring i fem år alene for at kunne bevise et samtykkes gyldighed strider mod opbevaringsbegrænsningen i databeskyttelsesforordningen.
Myndigheden har derfor præciseret rammerne for opbevaring, når formålet udelukkende er at dokumentere overholdelse af samtykkereglerne. Dokumentationen skal begrænses til nødvendige oplysninger (fx tidspunkt, metode og bekræftelse), opbevares i kortest mulige periode og indgå i klare slettefrister. Længere frister kan ikke begrundes alene i henvisning til forældelsesfrister i databeskyttelsesloven. Læs afgørelsen om SmartResponse. Læs også vejledningen om påvisningskrav og dataminimering.
Søgeord
GDPR,
Samtykke,
Dokumentationskrav,
Risikobaseret tilgang,
Databeskyttelsesloven,
Datatilsynet,
Behandlingsgrundlag,
Databeskyttelsesforordningen,
Dataansvarlig,
Slettepolitik,
GDPR art 7,
Dataminimering,
Formålsbegrænsning,
Proportionalitet,
Opbevaringsperiode,
Forældelsesfrist,
GDPR art 5,
Tilsynsmyndighed,
Logning,
Audit trail,
Opbevaringsbegrænsning,
Dokumentation af samtykke,
Ansvarlighedsprincippet,
Databeskyttelse gennem design,
Register over behandlingsaktiviteter,
Compliance,
Slettefrister,
Behandling af personoplysninger,
Sletning af personoplysninger,
Opbevaring af personoplysninger,
Markedsføringssamtykke,
Påvisningskrav,
Internetkonkurrencer,
Fortegnelse artikel 30,
SmartResponse sagen
Ledige stillinger
