Klage over manglende sletning

Publiceret 09-07-2019
Afgørelse Offentlige myndigheder

Det var i et konkret tilfælde i strid med reglerne om udøvelsen af de registreredes rettigheder, at en kommune først besvarede en borgers anmodning om sletning fem måneder og 21 dage efter anmodningen. Det var derimod ikke i strid med reglerne, at kommunen med henvisning til notat- og journaliseringspligten afviste at slette oplysningerne.

Journalnummer: 2018-32-0286

Resumé

Datatilsynet har den 5. juli 2019 truffet afgørelse i en sag, hvor en borger klagede over, at en kommune havde afvist at slette oplysninger om borgeren i forbindelse med borgerens afsluttede sag hos kommunen.

Datatilsynet fandt, at kommunen ved først at besvare borgerens anmodning om sletning efter fem måneder og 21 dage ikke havde levet op til databeskyttelsesforordningens artikel 12, stk. 3. Efter denne bestemmelse skal den dataansvarlige nemlig behandle en anmodning fra den registrerede om sletning uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Denne periode kan dog forlænges med to måneder, hvis det er nødvendigt under hensyntagen til anmodningernes kompleksitet og antal.

Efter Datatilsynets opfattelse var der derimod ikke grundlag for at tilsidesætte kommunens vurdering af, at en undtagelse til retten til sletning i dette tilfælde fandt anvendelse. I vurderingen henviste kommunen til databeskyttelsesforordningens artikel 17, stk. 3, litra b. Efter denne bestemmelse finder retten til sletning ikke anvendelse, hvis den fortsatte behandling af oplysninger om den registrerede er nødvendig for at 1) overholde en retlig forpligtelse eller 2) udøve en opgave i samfundets interesse eller 3) udføre en opgave, som henhører under offentlig myndighedsudøvelse, som den dataansvarlige, altså kommunen, er blevet pålagt.

I den pågældende sag havde kommunen oplyst, at kommunen som offentlig myndighed har pligt til at overholde notat- og journaliseringspligten, og at der ikke har været dokumenter, som har været fejljournaliseret på sagen.

Datatilsynet fandt på grundlag af sagens omstændigheder, at kommunens afvisning af at slette oplysningerne ikke var sket i strid med reglerne i databeskyttelsesforordningens artikel 17.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor X (herefter klager) den 25. juni 2018 har klaget til tilsynet over Y Kommunes behandling af personoplysninger om hende.

Reglerne om databeskyttelse findes i en generel forordning fra EU om beskyttelse af personoplysninger, som gælder i både den private og offentlige sektor[1], og databeskyttelsesloven[2], der supplerer reglerne i forordningen.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet grundlag for at udtale kritik af, at Y Kommunes behandling af personoplysninger ikke har været i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 3.

Herudover finder Datatilsynet, at Y Kommunes behandling af oplysninger har været i overensstemmelse med databeskyttelsesforordningens artikel 17 og artikel 5, stk. 1, litra e.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagens omstændigheder

Det fremgår af sagen, at klager den 25. maj 2018 har anmodet Y Kommune om at slette oplysninger om hende i forbindelse med hendes afsluttede sag hos kommunen.

Det fremgår endvidere af sagen, at Y Kommune den 15. november 2018 har afvist at slette oplysningerne om klager med henvisning til databeskyttelsesforordningens artikel 17, stk. 3, og kommunens journaliseringspligt.

2.1. Klagers bemærkninger

Klager har anført, at klager den 25. maj 2018 anmodede Y Kommune om at få slettet sine oplysninger i forbindelse med sin sag hos kommunen. Oplysningerne var ifølge klager ikke længere nødvendige for kommunen at opbevare, da sagen var afsluttet.

Klager har derudover anført, at Y Kommune i første omgang ikke bekræftede modtagelsen af hendes henvendelse, og at klager derfor igen rettede henvendelse til kommunen den 1. juni 2018. Den 4. juni 2018 svarede kommunen, at kommunen var opmærksomme på klagers henvendelse.

Klager har endeligt anført, at hun efterfølgende ikke hørte mere fra kommunen, og at klager derfor den 19. juni 2018 kontaktede kommunen igen, men at kommunen fortsat ikke svarede på hendes anmodning.

2.2. Y Kommunes bemærkninger

Y kommune har anført, at kommunen ved en beklagelig fejl ikke har behandlet klagers anmodning om sletning af 25. maj 2018 rettidigt.

Y Kommune har herudover anført, at kommunen den 15. november 2018 har afvist klagers anmodning om sletning med den begrundelse, at kommunen som offentlig myndighed har pligt til at overholde notat- og journaliseringspligten, og at der ikke har været dokumenter, som har været fejljournaliseret på sagen.

Y Kommune har endvidere anført, at behandlingen af oplysningerne er sket i overensstemmelse med kravet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, stk.1, litra e.

3. Begrundelse for Datatilsynets afgørelse

3.1. For sen besvarelse af sletningsanmodning

Det følger af databeskyttelsesforordningens artikel 12, stk. 3, 1. pkt., at den dataansvarlige skal besvare en anmodning fra den registrerede om sletning efter databeskyttelsesforordningens artikel 17 uden unødig forsinkelse og senest en måned efter modtagelsen af anmodningen. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige skal endvidere underrette den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen.

Datatilsynet finder, at Y Kommune ved først at have besvaret klagers anmodning 5 måneder og 21 dage efter anmodningen ikke har handlet i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 3. 

Datatilsynet har herved lagt vægt på, at klager den 25. maj 2018 anmodede Y Kommune om at slette oplysningerne, og at Y Kommune først besvarede klagers anmodning den 15. november 2018.

Datatilsynet har endvidere lagt vægt på, at der efter det oplyste ikke var tale om en omfattende og kompleks anmodning, og at Y Kommune dermed burde have besvaret anmodningen inden for fristen i de databeskyttelsesretlige regler.

3.1. Afvisning af sletning til oplysninger

Ifølge forordningens artikel 17, stk. 1, har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende: 

  1. Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.
  2. Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a, eller artikel 9, stk. 2, litra a, tilbage, og der er ikke et andet retsgrundlag for behandlingen
  3. Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.
  4. Personoplysningerne er blevet behandlet ulovligt.
  5. Personoplysningerne skal slettes for at overholde en retlig forpligtelse, som den dataansvarlige er underlagt.
  6. Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

I forordningens artikel 17, stk. 3, er der fastsat en række undtagelser til den registreredes ret til sletning.

Det følger af artikel 17, stk. 3, litra b, at retten til sletning ikke finder anvendelse, hvis den fortsatte behandling af oplysninger om den registrerede er nødvendig for at overholde en retlig forpligtelse eller er nødvendig for at udføre en opgave i samfundets interesse eller en opgave, som henhører under offentlig myndighedsudøvelse, som den dataansvarlige er blevet pålagt.

Det betyder bl.a., at en offentlig myndighed ikke er forpligtet til at slette personoplysninger om den registrerede, hvis andre regler gør, at myndigheden ikke må slette dem. Det kan f.eks. være offentlighedslovens regler om notatpligt og journaliseringspligt. Disse regler gør, at en offentlig myndighed kun i få tilfælde vil kunne slette et dokument. Sletning kan normalt kun ske, hvor der er lovhjemmel til det, eller hvor et dokument ved en fejl er journaliseret på en forkert sag, og hvor dokumentet derefter journaliseres på den korrekte sag.

På baggrund af ovenstående finder Datatilsynet, at der ikke er grundlag for at konkludere, at Y Kommune behandler oplysninger om klager, som kan kræves slettet efter databeskyttelsesforordningens artikel 17.

Datatilsynet har herved lagt vægt på, at en offentlig myndighed i almindelighed ikke er berettiget til at slette bestemte dokumenter, der indgår i en sag, under henvisning til offentlighedslovens regler om notat- og journaliseringspligt og arkivlovens regler, og at sletning normalt kun kan ske, hvis der er lovhjemmel dertil. Begrundelsen herfor er bl.a., at myndigheden senere – f.eks. i forbindelse med klager eller genoptagelse – skal kunne dokumentere, hvad der er passeret i en sag.

Datatilsynet finder på baggrund af ovenstående ligeledes, at behandlingen af oplysningerne ikke er gået ud over, hvad der kan ske i henhold til princippet om opbevaringsbegrænsning, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra e.

4. Afsluttende bemærkninger

Datatilsynet anser hermed sagen for afsluttet, og foretager sig herefter ikke yderligere i sagen. 

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 2. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 5. Personoplysninger skal:

  1. behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
  2. indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål; viderebehandling til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, skal ikke anses for at være uforenelig med de oprindelige formål (»formålsbegrænsning«)
  3. være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (»dataminimering«)
  4. være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (»rigtighed«)
  5. opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles; personoplysninger kan opbevares i længere tidsrum, hvis personoplysningerne alene behandles til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, under forudsætning af, at der implementeres passende tekniske og organisatoriske foranstaltninger, som denne forordning kræver for at sikre den registreredes rettigheder og frihedsrettigheder (»opbevaringsbegrænsning«)
  6. behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).

Stk. 2. Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«).

Artikel 12. Den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.

Stk. 2. Den dataansvarlige letter udøvelsen af den registreredes rettigheder i henhold til artikel 15-22. I de tilfælde, der er omhandlet i artikel 11, stk. 2, må den dataansvarlige ikke afvise at efterkomme den registreredes anmodning om at udøve sine rettigheder i henhold til artikel 15-22, medmindre den dataansvarlige påviser, at vedkommende ikke er i stand til at identificere den registrerede.

Stk. 3. Den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 15-22. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

Stk. 4. Hvis den dataansvarlige ikke træffer foranstaltninger i anledning af den registreredes anmodning, underretter den dataansvarlige straks og senest en måned efter modtagelsen af anmodningen den registrerede om årsagen hertil og om muligheden for at indgive en klage til en tilsynsmyndighed og indbringe sagen for en retsinstans.

Stk. 5. Oplysninger, der gives i henhold til artikel 13 og 14, og enhver meddelelse og enhver foranstaltning, der træffes i henhold til artikel 15-22 og 34, er gratis. Hvis anmodninger fra en registreret er åbenbart grundløse eller overdrevne, især fordi de gentages, kan den dataansvarlige enten:

  1. opkræve et rimeligt gebyr under hensyntagen til de administrative omkostninger ved at give oplysninger eller meddelelser eller træffe den ønskede foranstaltning, eller
  2. afvise at efterkomme anmodningen.

Bevisbyrden for, at anmodningen er åbenbart grundløs eller overdreven, påhviler den dataansvarlige.

Stk. 6. Uden at det berører artikel 11 kan den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning som omhandlet i artikel 15-21, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Artikel 17. Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

  1. Personoplysningerne er ikke længere nødvendige til at opfylde de formål, hvortil de blev indsamlet eller på anden vis behandlet.
  2. Den registrerede trækker det samtykke, der er grundlaget for behandlingen, jf. artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), tilbage, og der er ikke et andet retsgrundlag for behandlingen.
  3. Den registrerede gør indsigelse mod behandlingen i henhold til artikel 21, stk. 1, og der foreligger ikke legitime grunde til behandlingen, som går forud for indsigelsen, eller den registrerede gør indsigelse mod behandlingen i medfør af artikel 21, stk. 2.
  4. Personoplysningerne er blevet behandlet ulovligt.
  5. Personoplysningerne skal slettes for at overholde en retlig forpligtelse i EU-retten eller medlemsstaternes nationale ret, som den dataansvarlige er underlagt.
  6. Personoplysningerne er blevet indsamlet i forbindelse med udbud af informationssamfundstjenester som omhandlet i artikel 8, stk. 1.

Stk. 2. Hvis den dataansvarlige har offentliggjort personoplysningerne og i henhold til stk. 1 er forpligtet til at slette personoplysningerne, træffer den dataansvarlige under hensyntagen til den teknologi, der er tilgængelig, og omkostningerne ved implementeringen, rimelige foranstaltninger, herunder tekniske foranstaltninger, for at underrette de dataansvarlige, som behandler personoplysningerne, om, at den registrerede har anmodet disse dataansvarlige om at slette alle link til eller kopier eller gengivelser af de pågældende personoplysninger.

Stk. 3. Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

  1. for at udøve retten til ytrings- og informationsfrihed
  2. for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt
  3. af hensyn til samfundsinteresser på folkesundhedsområdet i overensstemmelse med artikel 9, stk. 2, litra h) og i), samt artikel 9, stk. 3
  4. til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål i overensstemmelse med artikel 89, stk. 1, i det omfang den rettighed, der er omhandlet i stk. 1, sandsynligvis vil gøre det umuligt eller i alvorlig grad hindre opfyldelse af denne behandling, eller
  5. for, at retskrav kan fastlægges, gøres gældende eller forsvares.

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).