Datatilsynet giver Aalborg Kommune påbud om at lovliggøre kommunens behandling af personoplysninger, efter at kommunen ikke havde sikret tilstrækkelige sletterutiner på tværs af sine systemer.

Baggrund og sagens kerne
Datatilsynet indledte den 10. april 2026 en egendriftssag mod Aalborg Kommune på baggrund af pressens omtale af kommunens databeskyttelsesrådgivers årsrapport for 2025 (”DPO-rapport”).

DPO-rapporten viste, at kommunen ikke havde fået tilstrækkeligt styr på sine sletterutiner. DPO’en havde ført kontrol med området i både 2022, 2023 og 2025, men ifølge rapporten havde ingen af kommunens forvaltninger løst opgaven fyldestgørende. Tre ud af syv forvaltninger havde påbegyndt arbejdet med slette-opgaven, mens fire forvaltninger endnu ikke var begyndt.

På baggrund af DPO’ens rapport samt det oplyste fra Aalbprg Kommune har Datatilsynet konstateret, at Aalborg Kommune behandler personoplysninger, som skulle have været slettet, men hvor sletning ikke er sket.

Sagen handler derfor grundlæggende om, at Aalborg Kommune ikke havde sikret et samlet og systematisk overblik over, hvilke systemer der indeholder personoplysninger, hvilke slettefrister der gælder, og om oplysningerne faktisk kan slettes automatisk eller skal slettes manuelt.

Afgørelsen
Datatilsynet fandt, at Aalborg Kommune har overtrådt og fortsat overtræder databeskyttelsesforordningens artikel 5, stk. 1, litra e, om opbevaringsbegrænsning samt artikel 5, stk. 2, om ansvarlighed.

Efter artikel 5, stk. 1, litra e, må personoplysninger ikke opbevares i længere tid, end det er nødvendigt (opbevaringsbegrænsning). Efter artikel 5, stk. 2, skal den dataansvarlige kunne påvise, at princippet overholdes.

Datatilsynet gav Aalborg Kommune påbud om at:

1. Udarbejde en liste over kommunens systemer, hvor der behandles personoplysninger. Listen skal vise, om det enkelte system kan slette, hvordan sletning kan ske, og hvilke slettefrister der gælder.
2. Slette personoplysninger, der har overskredet kommunens egne slettefrister, og som kommunen ikke længere har behov for at opbevare. Oplysninger, der umiddelbart kan slettes manuelt eller automatisk, skal slettes straks.
3. Udarbejde en plan for, hvordan kommunen sammen med sine systemleverandører kan få slettet de resterende personoplysninger, som kommunen ikke længere har et formål med at opbevare.

Med påbuddet er der anvendt en mildere sanktion, end hvad vi har set i lignende sager om manglende sletning, hvor private virksomheder er blevet mødt med bøder på helt op til 1,5 mio. kr. Se nærmere her.

Fristen for at efterleve påbuddet er fastsat til fredag den 2. oktober 2026.

Konsekvenser for virksomheder
Selvom afgørelsen vedrører en kommune, er den også relevant for virksomheder.

Datatilsynet signalerer med påbuddet, at sletning ikke må være en løs eller uformel opgave. Virksomheder skal kunne dokumentere, at de har taget stilling til, hvor længe personoplysninger opbevares, hvornår de skal slettes, og hvordan sletningen faktisk gennemføres i de enkelte systemer.

Det er ikke tilstrækkeligt at have generelle slettefrister i en politik, hvis virksomheden ikke samtidig har praktiske procedurer og tekniske muligheder for at gennemføre sletningen.

Virksomheder bør derfor overveje at gennemgå:

• hvilke systemer der indeholder personoplysninger
• hvilke slettefrister der gælder for de enkelte oplysninger
• om systemerne understøtter automatisk eller manuel sletning
• om der er oplysninger, som burde have været slettet
• om leverandøraftalerne understøtter de nødvendige slettefunktioner
• om ledelsen får og følger op på DPO’ens eller compliancefunktionens rapportering

Afgørelsen viser også, at Datatilsynet forventer dokumenteret handling, når en DPO peger på ulovlig behandling af personoplysninger. Det gælder ikke mindst, når problemet har været kendt over en længere periode.