Datatilsynets praksis om opbevaring efter tilbagekaldt samtykke
Datatilsynet har i en sag om en internetkonkurrence fastslået, at fortsat opbevaring af kontaktoplysninger efter tilbagekaldt samtykke strider mod principperne om dataminimering og nødvendighed. En virksomheds registrering af e‑mail og telefonnumre på en nej tak liste for at dokumentere tidligere samtykke blev ikke anset for nødvendig. Henvisning til forældelsesregler i databeskyttelsesloven § 41 kunne ikke i sig selv begrunde flerårig opbevaring, som stred mod GDPR art. 5, stk. 1, litra e.
Tilsynet bemærkede også mangelfuld information om opbevaringens omfang og formål. Når et samtykke trækkes tilbage, skal der ske sletning uden unødig forsinkelse, jf. GDPR art. 17, stk. 1, litra b. Opbevaring alene for en sikkerheds skyld er ikke lovlig.
Behandlingsgrundlag og dokumentation
Markedsføring kræver gyldigt samtykke, jf. GDPR art. 6, stk. 1, litra a. Den dataansvarlige skal kunne dokumentere samtykket, mens behandlingen pågår. Når formålet ophører, eller samtykket tilbagekaldes, bortfalder grundlaget, og fortsat opbevaring er som udgangspunkt ulovlig.
Generelle forældelsesfrister kan ikke erstatte en konkret nødvendighedsvurdering. Dokumentation bør begrænses til kortvarige, minimalt indgribende registreringer, der ikke muliggør kontakt eller profilering.
Hvad bør virksomheder gøre nu
Revider samtykkeløsninger, privatlivs- og opbevaringspolitikker, så oplysningspligt, formålsbegrænsning, dataminimering og slettefrister er klare og efterleves. Tilbagetrækning af samtykke bør automatisk udløse sletning på tværs af systemer.
Etabler faste sletterutiner, kontroller og logning af efterlevelse i behandlingsfortegnelsen. Overvej kun at bevare nødvendige beviser for samtykke i en begrænset periode og uden mulighed for videre brug til markedsføring.
