I november i fjor ila ett av de tyske datatilsynene et eiendomsselskap en bot på nær 150 millioner kroner for manglende sletting av personopplysninger som ikke lenger var nødvendig å oppbevare (jeg omtalte saken her).
Nå har vi fått en tilsvarende sak i Norge om slike «datakirkegårder», og det er Statens vegvesen som har unnlatt å slette personopplysninger i et eldre it-system. Lagringen av opplysningene er derfor ulovlig. Systemet støtter ikke automatisk sletting etter en viss tid, og er derfor ikke i overensstemmelse med kravene til innebygd personvern.
Dette er den største boten som er ilagt av Datatilsynet etter GDPR. Merk at dette er et varsel om vedtak av Datatilsynet, og vedtaket er derfor ikke endelig. Varselet finnes her.