Overholder I slettefristerne for personoplysninger?

Overholder I slettefristerne for personoplysninger?

Compliance EU-ret Persondata og cybersikkerhed
Manglende sletning af personoplysninger kan udløse påbud og bøder. GDPR kræver formålsbaserede slettefrister, dokumenteret praksis og teknisk understøttelse. Få overblik over krav, undtagelser efter bogføringsloven og hvidvaskloven samt centrale kontroltiltag og myndighedspraksis.

GDPR’s opbevaringsbegrænsning og sanktioner

GDPR’s opbevaringsbegrænsning kræver, at personoplysninger ikke kan henføres til registrerede længere end nødvendigt for formålet, jf. art. 5, stk. 1, litra e. Manglende rettidig sletning kan udløse påbud, politianmeldelse og bøder fra Datatilsynet.

Flere sager illustrerer håndhævelsen, bl.a. mod en hotelkæde, et taxaselskab og et møbelfirma. Myndigheden vurderer bl.a., om frister er fastlagt, dokumenteret og efterlevet i praksis.

Fastlæggelse af slettefrister i praksis

Den dataansvarlige skal for hver behandling definere formål, datatyper og opbevaringsperiode samt beskrive eventuelle undtagelser. Sletteregler bør afspejle datakategorier og systemlandskab og omfatte både produktionsdata og logs.

Særlove kan kræve længere opbevaring. Efter bogføringsloven skal regnskabsmateriale typisk bevares i fem år, og hvidvaskloven kan pålægge opbevaring af kundedata i en given periode. I sådanne tilfælde må data ikke anvendes til nye formål under opbevaringen, og fristerne bør være dokumenteret og sporbare. Se Datatilsynets generelle vejledning om sletning her.

Governance, kontrol og dokumentation

Overholdelse forudsætter klare politikker, procedurer og tekniske kontroller, herunder automatiske slettejobs, adgangsstyring og sikker destruktion, også i backup og arkiver. Anonymisering kan anvendes, når forretningsbehov består uden personhenførbarhed.

Virksomheder bør indarbejde slettefrister i fortegnelser over behandlingsaktiviteter og sikre løbende opfølgning via intern audit, stikprøver og ledelsesrapportering. Databehandlere skal kontraktuelt forpligtes til rettidig og uigenkaldelig sletning.

Følgende tiltag er typisk nødvendige for en robust praksis:

  • Slettepolitik med dataklassifikation og konkrete frister pr. behandlingsformål.
  • Systemunderstøttelse med automatiske sletninger, logning og bevis for udført sletning.
  • Styring af undtagelser, herunder retlig opbevaringspligt og midlertidig legal hold.
  • Regelmæssig kontrol, dokumenteret opfølgning og korrigerende handlinger ved afvigelser.
  • Sikker sletning hos databehandlere samt håndtering af kopier, testdata og backup.

Datatilsynet har yderligere vejledning om sletning af personoplysninger. Se guiden om sletning på datatilsynet.dk.

Læs hele artiklen hos WTC advokaterne →
Søgeord
GDPR, Databehandleraftale, Tilsyn, Risikovurdering, Retshåndhævelse, Complianceprogram, Datatilsynet, Databeskyttelse, Fortegnelse over behandlingsaktiviteter, Dataansvarlig, Pseudonymisering, Anonymisering, DPO, Slettepolitik, Dataminimering, Bøder, Hvidvaskloven, Formålsbegrænsning, Databehandler, Behandlingssikkerhed, Logningskrav, Tilsynsafgørelser, Intern audit, Tekniske og organisatoriske foranstaltninger, Dokumentationspligt, Opbevaringsbegrænsning, Ansvarlighedsprincippet, Kontrolspor, Slettefrister, GDPR art 17, Opbevaringspolitik, Bogføringsloven, Adgangsbegrænsning, Automatisk sletning, Datasletning, GDPR art 5 stk 1 litra e, Sletning af backup, Sletteprocedurer, Bevaringspligt, Undtagelser fra sletning

Relaterede artikler

Lovforslag om lempelse af de nye regler for brug af samleklientbankkonto – og orienteringsmøder
Advokatsamfundet

Lovforslag om lempelse af de nye regler for brug af samleklientbankkonto – og orienteringsmøder

Nyt lovforslag præciserer, at advokater ikke skal identificere reelle ejere af juridiske personer ved brug af samleklientbankkonto. Pligten til at indhente og dele identitetsoplysninger om fysiske og juridiske personer består. Ikrafttrædelse forventes 1. januar 2026.
Opdateret temaside om skoler og daginstitutioner
Datatilsynet

Opdateret temaside om skoler og daginstitutioner

Datatilsynet udvider temasiden for skoler og daginstitutioner med praksisnære værktøjer og en omfattende FAQ. Vejledningen dækker samtykke, brug af billeder, indsigt, opbevaring og sikkerhed samt rollefordeling mellem dataansvarlige og databehandlere ved digitale læringsmidler.
Designregistrering var afgørende: Dansk virksomhed dømmes for kopi af populær Skechers-skoserie
TVC Advokatfirma

Designregistrering var afgørende: Dansk virksomhed dømmes for kopi af populær Skechers-skoserie

Sø- og Handelsretten fastslog krænkelse af fire registrerede EF-designs tilhørende Skechers, men afviste nærgående efterligning efter markedsføringsloven. Dommen udløste forbud, destruktion og erstatning og viser, at målrettet designregistrering kan være afgørende for effektiv håndhævelse.
Datatilsynet har undersøgt DR’s obligatoriske login
Datatilsynet

Datatilsynet har undersøgt DR’s obligatoriske login

Datatilsynet udtaler kritik af DR for at have opfordret DRTV-brugere til at angive deres navn i login-flowet i strid med dataminimering. Obligatorisk login accepteres med hjemmel i GDPR art. 6, stk. 1, litra e. DR har ændret praksis og beder nu om et profilnavn.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Fynbus
FynBus søger en juridisk leder til Jura
Fynbus
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Lægemiddelstyrelsen
Jurastuderende til spændende opgaver med bl.a. kontrol af lægemiddelvirksomheder
Lægemiddelstyrelsen
Københavns Kommune
GDPR-jurist til Center for Digitalisering, Data og Analyse i Socialforvaltningen
Københavns Kommune
Forsvarets Efterretningstjeneste
FE søger en erfaren kontorchef til Direktionssekretariatet
Forsvarets Efterretningstjeneste
Lægemiddelstyrelsen
Erfarne jurister til komplekse opgaver i spændingsfeltet mellem forvaltningsretten og lægemiddellovgivningen
Lægemiddelstyrelsen
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere – og holder dig foran.
Opret gratis profil →