Et eiendomsselskap har satt tysk rekord i GDPR-bot. Da det tyske datatilsynet tok en sjekk hos selskapet, konkluderte de med at det ikke hadde gode nok rutiner for sletting og hadde dessuten ikke slettet personopplysninger som de ikke lenger hadde grunnlag for å ha lagret. Om lag 150 millioner kroner syntes datatilsynet var en passende bot for dette bruddet på EUs personvernforordning GDPR).
Retten til å bli slettet er en av de viktige rettighetene registrerte har i henhold til personopplysningsloven, hvor GDPR er innlemmet. Retten innebærer at personer som har samtykket til å bli registrert, kan kreve at opplysningene om dem blir slettet. Da skal norske virksomheter ha et system som gjør det mulig med slik sletting, og det skal skje på en sikker måte.
Selv om samtykke er hovedregelen for å registrere personopplysninger, vil det også kunne skje av andre grunner, for eksempel fordi det er en naturlig del av virksomheten eller nødvendig for oppfyllelsen av formålet. Når grunnlaget for denne registreringen bortfaller, har virksomheten plikt til å slette informasjonen. Datatilsynet trekker fram dette som en av de viktige nye pliktene virksomhetene har fått som følge av GDPR.
Et av formålene med GDPR er å sikre at personopplysninger og særlig sensitiv informasjon ikke skal komme på avveie. Den tyske dommen viser imidlertid at det ikke er nødvendig at slike data har kommet på avveie for å få bot. Det er mangelen på et system og rutiner for sletting som var årsaken til boten. Boten ble stor fordi det dreide seg om sensitive personopplysninger som helse- og forsikringsopplysninger om tidligere leietakere. Grunnlaget for å beholde slike opplysninger, var ikke lenger til stede.
Det tyske eiendomsselskapet har brakt tilsynets kjennelse inn for domstolene. Derfor er ikke bøteleggingen rettskraftig. Likevel gir saken en god illustrasjon på hva som kreves av virksomhetene og hva de risikerer hvis de ikke oppfyller kravene i GDPR. Det kreves at virksomhetene har et system for sletting. Det skal inngå i virksomhetens internkontroll. Risikoen ved mangelfulle rutiner er store bøter.
Selv om de ikke er på størrelse med den tyske, har også virksomheter i Norge fått millionbøter. Den største er på 2 millioner kroner. Datatilsynet har utført mange GDPR-kontroller på eget initiativ og etter klager og avviksmeldinger. Flere er i vente. Er dere klare for å motta dem?
Når sletting er pålagt eller nødvendig, skal det skje på en sikker måte. Bruk av papirkurv og søppelkontainer for papirdokumenter eller hammer, drill eller tang på harddisker, er ikke gode nok løsninger. Derimot kan NG Secure tilby kverning av både for papirdokumenter og digitale lagringsmedier. Etter kverning kan ikke det opprinnelige innholdet gjenskapes. Vi har investert flere millioner i spesialkverner og i en sikker prosess fra vi henter utplasserte beholdere til innholdet blir kvernet og går til gjenbruk.