Datatilsynet har utfärdat ett föreläggande mot en kommun för underlåtenhet att radera personuppgifter i enlighet med principen om lagringsminimering enligt dataskyddsförordningen (GDPR).
Bakgrund
Den 10 april 2026 inledde Datatilsynet en utredning på eget initiativ efter pressbevakning av kommunens årsrapport från dataskyddsombudet för 2025. Av rapporten framgår att kontroller av kommunens raderingsrutiner genomförts under 2022, 2023 och 2025, och att ingen av kommunens sju administrationer hade löst uppgiften tillfredsställande. Tre administrationer hade arbetat något med frågan medan fyra inte hade påbörjat arbetet. Kommunens dataskyddsombud rekommenderade mot denna bakgrund att kommunen prioriterar arbetet med att få kontroll över raderingsrutinerna.
Kommunens direktörsgrupp diskuterade årsrapporten vid ett möte den 4 mars 2026 och beslutade att digitaliseringscheferna skulle få i uppdrag att ta fram ett förslag på hur raderingsrutiner kan hanteras som ett gemensamt projekt mellan administrationerna.
Myndighetens bedömning
Datatilsynet konstaterade att kommunen hade brutit mot och fortsatte att bryta mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR samt skyldigheten att kunna påvisa efterlevnad enligt artikel 5.2 GDPR. Myndigheten bedömde att kommunen behandlade personuppgifter som borde ha raderats, och att detta bland annat berodde på att kommunen saknade en fullständig översikt över de system där personuppgifter lagrats längre än nödvändigt. Datatilsynet betonade att reglerna om radering har varit desamma i över 25 år och att myndigheten vid flera tillfällen har kommenterat hur reglerna ska förstås.
Datatilsynet utfärdade ett föreläggande enligt artikel 58.2 (d) GDPR med krav på att kommunen ska upprätta en förteckning över samtliga system där personuppgifter behandlas med information om raderingsmöjligheter och tillämpliga raderingsfrister, omedelbart radera personuppgifter som kan raderas manuellt eller automatiskt, samt ta fram en plan för hur återstående personuppgifter som kommunen inte längre har något syfte att lagra ska raderas i samarbete med systemleverantörerna. Tidsfristen för efterlevnad har satts till den 2 oktober 2026. Datatilsynet förbehåller sig rätten att vidta ytterligare korrigerande åtgärder.
Praktiska konsekvenser
Beslutet visar att interna raderingsfrister inte är tillräckligt. Den personuppgiftsansvarige måste också säkerställa att systemen faktiskt stöder radering och att radering sker inom de frister som satts. För offentliga verksamheter med många system och leverantörer är detta i praktiken en komplex uppgift som kräver kartläggning på systemnivå och samarbete med systemleverantörerna.
Beslutet understryker också att när dataskyddsombudet rapporterar om bristande efterlevnad till ledningen måste detta leda till dokumenterade åtgärder och en konkret handlingsplan.
Kontakta oss
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör lagringsminimering, raderingsrutiner och systematisk efterlevnad av GDPR i komplexa systemportföljer. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om dataskydd, GDPR eller IT-rättsliga frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Datatilsynet.