Retten til at blive glemt – er din virksomhed klar?

Som en del af Det Europæiske Databeskyttelsesråds (EDPB) årlige koordinerede undersøgelse har Datatilsynet igangsat en række tilsyn med private dataansvarlige for at undersøge, om reglerne om sletning af personoplysninger bliver overholdt i virksomheder, der udbyder onlinekasino.

Men retten til sletning er ikke kun relevant for onlinekasinoer – den gælder for alle dataansvarlige.

Den registrerede har ifølge GDPR en række rettigheder, der skal overholdes, når der behandles personoplysninger – herunder retten til sletning, også kendt som retten til at blive glemt. 

I henhold til artikel 17 i databeskyttelsesforordningen skal den dataansvarlige slette personoplysninger uden unødig forsinkelse, når visse betingelser er opfyldt.

Derudover fastslår de grundlæggende principper i artikel 5, at personoplysninger kun må behandles, når der er et konkret og lovligt formål. Det betyder samtidig, at der skal være et gyldigt behandlingsgrundlag jf. artikel 6 – f.eks. opfyldelse af en kontrakt eller en legitim interesse.

Med andre ord: Er der ikke længere et gyldigt formål eller behandlingsgrundlag, skal oplysningerne slettes.

Manglende overholdelse af retten til sletning kan få alvorlige konsekvenser for en virksomhed. Der er tidligere blevet udstedt store bøder til virksomheder, som ikke har efterlevet den registreredes ret til at få slettet oplysninger om sig – og det er netop brud på sletningsretten, der ofte fører til de største bøder fra Datatilsynet.

Den første bøde, som Datatilsynet nogensinde indstillede til, handlede netop om manglende sletning. Taxa 4x35 blev idømt en bøde på 250.000 kr., fordi de opbevarede kunders personoplysninger uden et konkret og lovligt formål.

Men det handler ikke kun om at slette personoplysninger, når det er påkrævet. Det handler også om at kunne dokumentere, at sletningen er gennemført, og at der findes klare interne sletteprocedurer. Hotelkæden Arp-Hansen lærte dette på den hårde måde, da de blev idømt en bøde på 1 mio. kr. for ikke at have slettet omkring 500.000 kundeprofiler.

Derfor er det afgørende, at virksomheder implementerer klare procedurer og politikker for sletning, og at disse indarbejdes i virksomhedens årshjul. For at leve op til kravene i GDPR er det ikke nok at slette data, når der ikke længere er et lovligt behandlingsgrundlag – virksomheden skal kunne dokumentere, hvordan og hvornår det sker. 

Det er netop her, Roesgaard kan hjælpe. Vi rådgiver om etablering af slettepolitikker og procedurer, så din virksomhed både kan efterleve GDPR og undgå de ubehagelige bøder.

#GDPR #compliance #retTilsletning #Datatilsynet #persondata #datasikkerhed #slettepolitik