EDPB's 2025 Håndhævelsesaktion
Den Europæiske Databeskyttelsesmyndigheds 2025 Koordinerede Håndhævelsesramme (CEF) målrettede GDPR Artikel 17 — retten til sletning. Toogtredive Databeskyttelsesmyndigheder i EU og EEA undersøgte samtidig, hvordan organisationer reagerer på anmodninger om sletning. Den koordinerede tilgang var designet til at identificere systemiske fejl frem for individuelle afvigelsessager.
Resultaterne identificerede syv tilbagevendende overholdelsesudfordringer på tværs af de undersøgte organisationer:
- Dårligt dokumenterede interne procedurer for behandling af sletningsanmodninger
- Overdrevent bred afvisning af legitime anmodninger (ved at bruge tilladte undtagelser for bredt)
- Urimelige byrder pålagt individer, når de indsender sletningsanmodninger
- Manglende evne til at lokalisere alle personoplysninger på tværs af systemer, når der behandles en sletningsanmodning
- Overdrevne forsinkelser i behandlingen af anmodninger ud over GDPR's 30-dages svarvindue
- Utilstrækkelig kommunikation til registrerede om udfaldet af deres anmodninger
- Ineffektive anonymiseringsteknikker brugt som et alternativ til sletning — specifikt flaget som organisationer, der bruger teknisk defekt "anonymisering", der efterlader data re-identificerbare
Ni DPA'er indledte formelle undersøgelser baseret på CEF-resultaterne. Den syvende tilbagevendende udfordring — ineffektiv anonymisering — er direkte relevant for organisationer, der bruger anonymisering som deres primære data-minimeringsstrategi.
Anonymiseringsalternativet til Sletning
GDPR's ret til sletning kræver ikke sletning i alle tilfælde. Betragtning 65 bemærker, at sletning kan opnås gennem anonymisering, hvor sletning ikke er teknisk muligt (for eksempel i backup-bånd eller integrerede analyseteknologier, hvor individuel post-sletning ville kræve systemgenopbygning).
EDPB's CEF-resultater indikerer, at dette alternativ misbruges: organisationer hævder "anonymisering" for datatransformation, der efterlader data teknisk re-identificerbare — ved at bruge ordet for at undgå den operationelle byrde ved faktisk sletning snarere end at opnå det databeskyttelsesresultat, som anonymisering skal give.
Den skelnen, EDPB drager: ægte anonymisering — hvor forbindelsen mellem dataene og individet ikke kan genoprettes med nogen midler tilgængelige for dataansvarlige eller nogen tredjepart — fjerner dataene fra GDPR's anvendelsesområde og opfylder sletningsanmodningen. Pseudonymisering — hvor re-identifikation er mulig med den rette nøgle — opfylder ikke sletningsanmodningen; den registreredes personoplysninger eksisterer stadig og skal slettes, eller nøglen skal destrueres.
Praktisk Overholdelsesstrategi
For organisationer, der bruger anonymisering som et alternativ til sletning i analyseteknologier:
Den korrekte arkitektur adskiller dataindtagelse (rå personoplysninger) fra dataanalyse (anonymiserede afledninger). Personoplysninger i indtagelseslaget er underlagt sletningsanmodninger — når en registreret udøver Artikel 17-rettigheder, slettes personoplysningerne i indtagelseslaget. De anonymiserede afledninger i analyseteknologilaget — hvis anonymiseringen var omfattende og irreversibel — behøver ikke at blive ændret, fordi de ikke længere er personoplysninger.
Denne arkitektur kræver, at anonymiseringen ved grænsen mellem indtagelse og analyse er teknisk solid: irreversibel (ikke tokenisering), omfattende (alle identifikatorer adresseret) og dokumenteret (organisationen kan demonstrere for en DPA, at anonymiseringsmetoden opfylder EDPB's standarder). Detailvirksomheden, der anonymiserer kundernes købsdata før analysebehandling, og erstatter navne og kontaktoplysninger med tokens under reversibel kryptering, har pseudonymiseret (ikke anonymiseret) dataene — analysetdatasættet indeholder stadig personoplysninger, der er underlagt sletningsanmodninger.
Kilder: