Datatilsynet giver påbud til Aalborg Kommune

Dato: 05-05-2026
Afgørelse Offentlige myndigheder Påbud Tilsyn / egendriftssag Behandlingssikkerhed Grundlæggende principper

Datatilsynet giver påbud til Aalborg Kommune om at bringe behandling af personoplysninger i overensstemmelse med reglerne.

Journalnummer: 2026-432-0055.

Resumé

Den 10. april 2026 indledte Datatilsynet en undersøgelse af Aalborg Kommunes manglende sletning af personoplysninger. Undersøgelsen blev iværksat på baggrund af pressens omtale af forhold, der var beskrevet i kommunens databeskyttelsesrådgivers årsrapportering (DPO-rapport).

Datatilsynet har den 4. maj 2026 – efter at have rekvireret DPO-rapporten og fået Aalborg Kommunes bemærkninger til denne – meddelt kommunen et påbud, der bl.a. skal sikre at de personoplysninger, som ikke længere er nødvendige for kommunen at opbevare, bliver slettet.

- Datatilsynet finder det særdeles alvorligt, at et område som sletning ikke systemisk er forankret og håndteret hos en offentlig aktør. Reglerne har været de samme i over 25 år, og Datatilsynet har ved flere lejligheder udtalt sig om reglernes forståelse. I 2022 offentliggjorde vi for eksempel en afgørelse på baggrund af et tilsyn i Mariagerfjord Kommune, der er en køreplan for, hvordan man som kommune kan lovliggøre netop sletning i en systemportefølje, udtaler Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

- Når databeskyttelsesrådgiveren afrapporterer om ulovlige forhold til den dataansvarliges ledelse, bør det altid give anledning til dokumenteret refleksion, og ved erkendelsen af forholdet bør udarbejdes en plan for handling med henblik på lovliggørelse.

Datatilsynet bemærker i afgørelsen, at påbuddet alene er fastsat for at bringe behandling af personoplysninger i overensstemmelse med reglerne nu og her. Datatilsynet forbeholder sig i øvrigt muligheden for at anvende yderligere korrigerende foranstaltninger i den konkrete sag.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, som tilsynet – på baggrund af oplysninger i pressen – indledte af egen drift den 10. april 2026 vedrørende Aalborg Kommunes manglende sletning og overholdelse af interne slettefrister.

1. Påbud

Datatilsynet finder, at Aalborg Kommune har overtrådt og stadigvæk overtræder databeskyttelsesforordningens[1] artikel 5, stk. 1, litra e og artikel 5, stk. 2 jf. artikel 5, stk. 1, litra e.

Datatilsynet skal derfor meddele Aalborg Kommune påbud om:

  • at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger. Listen skal indeholde oplysninger om, hvorvidt det enkelte system kan
    slette, og i givet fald hvordan, og hvilke slettefrister der er for det pågældende system.
  • at slette personoplysninger, som har overskredet de af kommunen fastsatte slettefrister, og hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne, ved
  • straks at slette de personoplysninger der umiddelbart kan slettes manuelt eller automatisk.
  • at udarbejde en plan for, hvordan kommunen i samarbejde med kommunens systemleverandører kan få slettet de resterende personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare, og som sikrer, at disse personoplysninger bliver slettet hurtigst muligt.

Datatilsynet har – henset til kommende ferieperioder – fastsat fristen for opfyldelse af påbuddet til fredag den 2. oktober 2026. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

På baggrund af omtale i pressen, har Datatilsynet den 10. april 2026 indledt en undersøgelse af egen drift i forhold til Aalborg Kommune.

Datatilsynet har i den forbindelse gjort Aalborg Kommune opmærksom på, at det er tilsynets forventning, at Aalborg Kommune følger tidligere offentliggjort praksis fra tilsynet, og derfor som minimum implementerer samme indhold og fremgangsmåde, som tilsynets påbud i en tidligere afgørelse, og at Aalborg Kommune effektuerer dette indenfor en tilsvarende tidsramme.

Datatilsynet orienterede i den forbindelse om en tidligere afgørelse, i en sag vedrørende Mariagerfjord Kommune, hvor tilsynet meddelte Mariagerfjord Kommune et påbud som følgende:

” […] Det givne påbud indeholdt følgende dele:

  • at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger. Listen skal indeholde oplysninger om, hvorvidt det enkelte system kan slette, og i givet fald hvordan, og hvilke slettefrister der er for det pågældende system.
  • at slette personoplysninger, som har overskredet de af kommunen fastsatte slettefrister, og hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne, i det omfang personoplysningerne kan slettes manuelt eller automatisk.
  • at udarbejde en plan for hvordan kommunen i samarbejde med kommunens systemleverandører kan få slettet personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare. […] ”.

Datatilsynet anmodede i høringsbrevet Aalborg Kommune om en udtalelse til brug for tilsynets videre behandling af sagen, heriblandt om Aalborg Kommune agter at følge den ovenfornævnte skitserede plan og fremgangsmåde, eller om Aalborg Kommune allerede har en forventning om og en plan for at have slettet alle oplysninger, der opbevares i strid med kommunens interne slettefrister og/eller databeskyttelsesforordningens artikel 5, stk. 1, litra e, indenfor en relativ kort tidshorisont.

Aalborg Kommune er den 17. april 2026 fremkommet med en udtalelse til sagen samt en række bilag, heriblandt en kopi af databeskyttelsesrådgiverens årsrapport for 2025 (herefter benævnt ’årsrapporten’).

Datatilsynet kontaktede telefonisk Aalborg Kommune den 21. april 2026 med henblik på at orientere om, at en af de vedlagte bilag ses at vedrøre Byrådets drøftelse af borgerrådgiverens beretning for 2025. Senere samme dag fremsendte Aalborg Kommune det rette bilag til Datatilsynet.  

2.1. Aalborg Kommunes bemærkninger

Aalborg Kommune har overordnet i udtalelsen anført, at kommunen er enige med Datatilsynet i, at kommunen skal følge tilsynets praksis, som anført i høringsbrevet.

Herudover har Aalborg Kommune oplyst, at kommunens Direktørgruppe på et møde den 4. marts 2026 har drøftet årsrapporten og bl.a. besluttet, at:

” […] digitaliseringscheferne får til opgave at udarbejde et bud på, hvordan der som et fælles projekt på tværs af forvaltningerne kan arbejdes med sletterutiner jf. årsrapporten. Bud skal afleveres til direktørgruppen, hvorefter ambitionsniveau og omfang for opgaven kan drøftes. […] ”.

Aalborg Kommune har endvidere anført, at det igangsatte arbejde flugter med Datatilsynets skitserede plan og fremgangsmåde, og at kommunen derfor agter at følge den skitserede plan og fremgangsmåde, som Datatilsynet har anført i høringsbrevet. Aalborg Kommune har i den forbindelse oplyst, at det på nuværende tidspunkt er kommunens vurdering henset til antallet af systemer, der indeholder personoplysninger og antallet af leverandører, at Aalborg Kommune vil kunne udføre den skitserede plan inden den 31. december 2026.

2.1.1.      Databeskyttelsesrådgiverens årsrapport for 2025

Det fremgår af den vedlagte årsrapport, at der i 2025 bl.a. blev ført kontrol med Aalborg Kommunes sletterutiner, og at kontrollen af sletterutiner til dels var en opfølgning på tidligere gennemførte kontroller.

Det fremgår endvidere af rapporten, at der tillige er blevet ført kontrol med sletterutiner i Aalborg Kommune i henholdsvis 2022, 2023 og atter i 2025.

Det fremgår af årsrapporten, at:

" […] Kontrollen er gennemført ved at hver forvaltning skulle skabe et overblik over deres systemer, og for hvert system skulle der fastsættes en slettefrist, udarbejdes en procedure for sletning og etableres en proces, hvorved der bliver fulgt op på, at sletning sker i overensstemmelse med proceduren. […] ”. 

Det fremgår endvidere af årsrapporten, at kontrollens resultat er følgende:

” […] Ingen af forvaltningerne har løst opgaven fyldestgørende, og det må således konstateres, at Aalborg Kommune stadig ikke har fået styr på sine sletterutiner. Tre ud af syv forvaltninger har arbejdet lidt med opgaven, mens fire forvaltninger ikke er begyndt på opgaven […] ”. 

På den baggrund har Aalborg Kommunes databeskyttelsesrådgiver anbefalet kommunen at prioritere opgaven med at få styr på sletterutinerne.

3. Relevante retsregler

Behandling af personoplysninger skal bl.a. altid ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5, stk. 1.

Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra e, at oplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (»opbevaringsbegrænsning«).

Den dataansvarlige skal herudover kunne påvise, at de grundlæggende principper overholdes, hvilket følger af databeskyttelsesforordningens artikel 5, stk. 2.

4. Begrundelse for Datatilsynets afgørelse om påbud

Datatilsynet lægger – på baggrund af databeskyttelsesrådgiverens årsrapport og det af Aalborg kommune i øvrigt oplyste – til grund, at Aalborg Kommune behandler personoplysninger, som skulle have været slettet, men hvor sletning ikke er sket.

Datatilsynet lægger yderligere til grund, at årsagerne hertil er flere, bl.a. behandles personoplysninger i systemer der ikke understøtter automatisk sletning, eller i systemer der kun understøtter manuel sletning, og hvor en sådan manuel slettekørsel ikke er sket. Datatilsynet lægger herudover til grund, at Aalborg Kommune ikke – til fulde – har et samlet overblik over i hvilke systemer, der sker behandlinger af personoplysninger, som skulle have været slettet.

På denne baggrund finder Datatilsynet, at Aalborg Kommune har overtrådt og stadigvæk overtræder databeskyttelsesforordningens[3] artikel 5, stk. 1, litra e og artikel 5, stk. 2 jf. artikel 5, stk. 1, litra e.

Datatilsynet skal derfor meddele Aalborg Kommune påbud om:

  • at udarbejde en liste over kommunens systemer, hvori der bliver behandlet personoplysninger. Listen skal indeholde oplysninger om, hvorvidt det enkelte system kan
    slette, og i givet fald hvordan, og hvilke slettefrister der er for det pågældende system.
  • at slette personoplysninger, som har overskredet de af kommunen fastsatte slettefrister, og hvor det ikke længere er nødvendigt for kommunen at opbevare oplysningerne, ved
  • straks at slette de personoplysningerne der umiddelbart kan slettes manuelt eller automatisk.
  • at udarbejde en plan for hvordan kommunen i samarbejde med kommunens systemleverandører kan få slettet de resterende personoplysninger i kommunens systemer, som kommunen ikke længere har et formål med at opbevare, og som sikrer, at disse personoplysninger bliver slettet hurtigst muligt.

Datatilsynet har – henset til kommende ferieperioder – fastsat fristen for opfyldelse af påbuddet til fredag den 2. oktober 2026. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.

Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.

Ifølge databeskyttelseslovens[4] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d. I henhold til lovens § 41, stk. 6, 2. pkt., kan offentlige myndigheder ligeledes straffes.

Datatilsynet bemærker at det givne påbud alene er fastsat for – konstaterbart – at bringe den ulovlige tilstand til ophør. Datatilsynet forbeholder sig derfor muligheden for – på et senere tidspunkt – at benytte yderligere korrigerende foranstaltninger jf. databeskyttelsesforordningens artikel 58, stk. 2.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[4] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).