Εντολή συμμόρφωσης σε Δήμο της Δανίας μετά από ευρήματα του DPO για τη μη διαγραφή προσωπικών δεδομένων

Εντολή συμμόρφωσης επέβαλε η δανική αρχή προστασίας δεδομένων Datatilsynet στο Δήμο του Aalborg, μετά τη διαπίστωση της παραβίασης των απαιτήσεων νόμιμης διατήρησης και διαγραφής προσωπικών δεδομένων. Η υπόθεση παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς η παρέμβαση της δανικής αρχής δεν προήλθε από καταγγελία ή περιστατικό διαρροής, αλλά από τα ίδια τα ευρήματα του υπευθύνου προστασίας δεδομένων (DPO) του Δήμου, τα οποία περιλήφθηκαν στην ετήσια έκθεσή του και στη συνέχεια δημοσιοποιήθηκαν μέσω του Τύπου.

Σύμφωνα με την απόφαση, η Datatilsynet, λαμβάνοντας γνώση των δημοσιευμάτων, ζήτησε από τον Δήμο αντίγραφο της έκθεσης του DPO και τις σχετικές παρατηρήσεις της διοίκησης, προτού καταλήξει ότι ο Δήμος παραβίασε και εξακολουθεί να παραβιάζει το άρθρο 5 παρ. 1ε ́ ΓΚΠΔ περί περιορισμού της περιόδου αποθήκευσης, καθώς και το άρθρο 5 παρ. 2 περί λογοδοσίας. Η δανική αρχή έκρινε ότι ο Δήμος εξακολουθούσε να διατηρεί προσωπικά δεδομένα τα οποία έπρεπε να έχουν διαγραφεί, ενώ παράλληλα δεν διέθετε πλήρη εικόνα των πληροφοριακών συστημάτων στα οποία τηρούνταν δεδομένα πέραν των προβλεπόμενων προθεσμιών.

Κεντρικό ρόλο στην υπόθεση είχε η ετήσια έκθεση του DPO για το 2025, στην οποία καταγραφόταν ότι είχαν ήδη πραγματοποιηθεί έλεγχοι για τις διαδικασίες διαγραφής το 2022, το 2023 και εκ νέου το 2025. Όπως αναφερόταν στην έκθεση, κάθε διοικητική μονάδα του δήμου όφειλε να χαρτογραφήσει τα συστήματα που χρησιμοποιεί, να καθορίσει προθεσμίες διαγραφής, να δημιουργήσει διαδικασίες διαγραφής και να εξασφαλίσει μηχανισμό παρακολούθησης της εφαρμογής τους.

Παρά τις επανειλημμένες επισημάνσεις, το αποτέλεσμα των ελέγχων κρίθηκε ιδιαιτέρως προβληματικό. Η έκθεση του DPO διαπίστωνε ότι καμία από τις υπηρεσίες του Δήμου δεν είχε αντιμετωπίσει επαρκώς το ζήτημα, ενώ τέσσερις από τις επτά διοικητικές μονάδες δεν είχαν καν ξεκινήσει τη σχετική εργασία συμμόρφωσης. Ο ίδιος ο DPO συνέστησε στη διοίκηση να δώσει προτεραιότητα στην οργάνωση και εφαρμογή διαδικασιών διαγραφής δεδομένων.

Η δανική αρχή έδωσε ιδιαίτερη έμφαση στο γεγονός ότι οι επισημάνσεις του υπευθύνου προστασίας δεδομένων είχαν τεθεί εγκαίρως υπόψη της διοίκησης, επισημαίνοντας πως όταν ένας DPO αναφέρει παράνομες ή πλημμελείς πρακτικές στη διοίκηση του υπευθύνου επεξεργασίας, αυτό θα πρέπει να συνεπάγεται τεκμηριωμένη αξιολόγηση της κατάστασης και άμεσο σχέδιο συμμόρφωσης. Παράλληλα, χαρακτήρισε «ιδιαιτέρως σοβαρό» το γεγονός ότι ένας δημόσιος φορέας δεν είχε οργανώσει συστηματικά ένα ζήτημα όπως η διαγραφή δεδομένων, επισημαίνοντας μάλιστα ότι οι απαιτήσεις του νόμου για την πρόβλεψη περιόδων διατήρησης των δεδομένων δεν είναι νέες, αλλά ισχύουν για περισσότερα από 25 χρόνια.

Από τα στοιχεία που συγκέντρωσε η δανική αρχή προέκυψε επίσης ότι η παράνομη διατήρηση δεδομένων συνδεόταν και με τις τεχνικές δυνατότητες των πληροφοριακών συστημάτων που χρησιμοποιούσε ο Δήμος. Ορισμένα συστήματα δεν υποστήριζαν καθόλου αυτοματοποιημένη διαγραφή προσωπικών δεδομένων μετά την παρέλευση των προβλεπόμενων προθεσμιών διατήρησης, ενώ σε άλλες περιπτώσεις η διαγραφή μπορούσε να πραγματοποιηθεί μόνο χειροκίνητα. Ωστόσο, ακόμη και στις περιπτώσεις αυτές, οι απαιτούμενες διαδικασίες διαγραφής δεν είχαν εκτελεστεί, με αποτέλεσμα προσωπικά δεδομένα να εξακολουθούν να τηρούνται χωρίς νόμιμη βάση.

Με την απόφασή της, η Datatilsynet διέταξε τον Δήμο να καταρτίσει πλήρη κατάλογο όλων των συστημάτων επεξεργασίας προσωπικών δεδομένων, με αναφορά στις δυνατότητες διαγραφής και στις εφαρμοζόμενες προθεσμίες, να διαγράψει άμεσα όσα δεδομένα μπορούν ήδη να αφαιρεθούν χειροκίνητα ή αυτόματα και να εκπονήσει σχέδιο συνεργασίας με τους προμηθευτές λογισμικού για τη διαγραφή των υπόλοιπων δεδομένων που δεν είναι πλέον αναγκαία.