Nyt fra databeskyttelsesfronten

21-05-2026

Vi runder årets GDPR awareness-kampagne af med afgørelser og nyheder vedrørende databeskyttelse siden sidste års kampagne.

Der kommer løbende nyt på databeskyttelsesfronten, og du får her et sammendrag af nogle udvalgte afgørelser og nyheder, som er relevante for KFST og dermed dig som medarbejder.

Principiel dom: Bøde på 1,5 mio. kr. for manglende slettefrister

ILVA A/S havde ikke fastsat slettefrister og dermed ikke foretaget sletning i et ældre it-system, hvor der blev behandlet oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Datatilsynet politianmeldte med bødeindstilling på 1,5 mio. kr., da opbevaringsbegrænsning er et grundlæggende princip i GDPR. Byretten fastsatte bøden til 100.000 kr., men efter en tur forbi EU-Domstolen, skærpede Vestre Landsret bøden til 1,5 mio. kr.

Relevans for KFST og dig som medarbejder

I KFST er der fastsat slettefrister for alle systemer, hvori der behandles personoplysninger, og der føres kontrol med, at fristerne overholdes. I nogle systemer foretages sletning automatisk, mens det i andre er afhængigt af dig som medarbejder, fx Outlook, fællesdrev og samarbejdsrum. Det er også derfor, vi hvert år i forbindelse med awareness-kampagnen sætter fokus på slettefristerne i Outlook og fællesdrev mv. og booker alle til at foretage sletning. Hvis du er i tvivl om slettefristerne for Outlook og fællesdrev, kan du læse mere på Intra.

Alvorlig kritik for lang sagsbehandlingstid af indsigtsanmodninger

Skatteforvaltningens sagsbehandlingstid for indsigtsanmodninger havde i 2019-2024 i gennemsnit været ca. 100 dage pr. anmodning, selvom fristen efter GDPR er uden unødig forsinkelse og senest inden én måned fra modtagelsestidspunktet (medmindre det konkret er nødvendigt at forlænge den med op til to måneder). Datatilsynet udtalte alvorlig kritik, da der var tale om en betydelig mængde anmodninger, da der ikke måtte være fast praksis med forlængelse af sagsbehandlingstiden for en anmodning grundet behandling af andre anmodninger, og da prioritering af eller manglende ressourcer ikke kunne begrunde lange sagsbehandlingstider i ca. 6 år.

Relevans for KFST og dig som medarbejder

KFST kan modtage indsigtsanmodninger fra registrerede og skal i den forbindelse overholde de ovenfor angivne frister. ADM besvarer indsigtsanmodninger i samarbejde med det center, der primært behandler de pågældende personoplysninger. Hvis du modtager en indsigtsanmodning, er det derfor vigtigt, at du hurtigst muligt videresender den til styringogit@kfst.dk, så den behandles inden for fristen.

Derudover skal du være opmærksom på, at der er forskel på aktindsigt efter forvaltningsretten og indsigt efter databeskyttelsesretten. Aktindsigt vedrører dokumenter og oplysninger i sager, uanset om de angår den registrerede eller andre, og uanset om der er tale om personoplysninger, mens indsigt ”kun” omfatter den registreredes egne personoplysninger. Afgørelsen fra Datatilsynet og ovenstående afsnit vedrører indsigt efter databeskyttelsesretten. Du kan læse mere om retten til indsigt på Intra

Påbud om sletning samt implementering af systemliste og slettefrister

Aalborg Kommune havde ikke foretaget sletning af personoplysninger, som skulle have været slettet, i flere af kommunens systemer, ligesom kommunen manglede et samlet overblik over, hvilke systemer der blev behandlet personoplysninger i. Da kommunen herved overtrådte – og fortsat overtræder – principperne om opbevaringsbegrænsning og ansvarlighed, udstedte Datatilsynet påbud om sletning af personoplysninger samt udarbejdelse af en samlet systemliste og plan for sletning.

Relevans for KFST og dig som medarbejder

I KFST har vi en systemoversigt for alle styrelsens systemer, som opdateres og vedligeholdes af ADM i samarbejde med de systemansvarlige. Her fremgår en række oplysninger om systemerne, herunder slettefristerne, hvilket understøtter arbejdet med at overholde opbevaringsbegrænsningsprincippet samt sikre dokumentation herfor. 

Som tidligere nævnt er du med til at sikre overholdelsen af styrelsens slettefrister i flere systemer, fx Outlook og fællesdrev. Derudover er du som medarbejder med til at sikre en fyldestgørende systemoversigt – og sikre, at de fornødne sikkerheds- og databeskyttelsesvurderinger foretages – ved at kontakte ADM på styringogit@kfst.dk, hvis du overvejer eller er ved at indkøbe et nyt system.

Udsyn: Fransk rapport viser, at GDPR også indebærer gevinster

Det franske datatilsyns (CNIL) har offentliggjort en analyse om GDPR's økonomiske virkning for 2018-2023. Selvom der er omkostninger forbundet med GDPR-compliance, skaber det samtidig værdi i form af (kunde)tillid, cybersikkerhed, optimerede processer og strategisk styrkelse af CSR-arbejdet. Samtidig har GDPR givet borgerne større kontrol over egne data, færre genererede reklamer, øget tillid til digitale tjenester samt evne til at træffe mere informerede valg i digitale tjenester. Derudover vurderer CNIL, at forebyggelse af identitetstyveri alene har sparet virksomheder for skader mellem 585 millioner og 1,4 milliarder euro i EU.

Selvom analysen angår franske erfaringer, bekræfter Datatilsynet, at resultaterne kan overføres til bl.a. Danmark, og at lignende resultater er observeret i Tyskland.

Relevans for KFST og dig som medarbejder

Modsat virksomheder er KFST ikke drevet af at skabe omsætning i kroner og ører, men en væsentlig del af fundamentet for styrelsens arbejde er netop tillid fra borgere og virksomheder mv., cybersikkerhed og optimerede processer. Derved er det vigtigt, at vi alle fortsat bidrager til GDPR-compliance ved at behandle data sikkert og fortroligt, så det stærke fundament for det faglige arbejde opretholdes.

Vil du læse eller høre mere om databeskyttelse?

Du kan altid læse mere om databeskyttelse i KFST på Intra, men hvis du vil vide mere om GDPR generelt, læse flere afgørelser eller høre podcasts om databeskyttelse, kan vi anbefale at tilgå Datatilsynets hjemmeside