Hvad ved dit teleselskab om dig
Dit teleselskab ved mere, end du tror. Hver gang du ringer, sms'er eller bruger mobildata, logges det. De ved hvem du taler med, hvornår, og hvor du var, da det skete. Dertil kommer alt det administrative: navn, adresse, CPR-nummer, betalingsoplysninger og abonnementshistorik.
Noget af det er teleselskabet lovpligtigt til at gemme. Resten må de kun beholde, så længe der er en god grund. Problemet er, at "god grund" har det med at blive glemt, længe efter den er udløbet.
Det de skal gemme (låst)
To ting kan du ikke få slettet, uanset hvor godt din anmodning er formuleret.
Teledata i 12 måneder. Efter logningsreglerne skal teleselskaber gemme oplysninger om dine opkald, sms'er og din mobils omtrentlige lokation i et år. Formålet er at give politiet adgang til data i forbindelse med efterforskning af grov kriminalitet. Det er ikke teleselskabets eget valg, men en lovpligt fastsat i logningsbekendtgørelsen. Der er ingen vej udenom: du kan ikke kræve teledata slettet, før de 12 måneder er gået.
Fakturaoplysninger i op til 5 år. Bogføringsloven kræver, at virksomheder gemmer regnskabsmateriale i 5 år efter udløbet af det regnskabsår, bilaget vedrører. Dine fakturaer og betalingsoplysninger hos teleselskabet falder ind under det. Også låst, og med god grund: det er en lovpligt, ikke teleselskabets vilkårlige beslutning.
Begge dele er eksempler på, at GDPR ikke står alene. Anden lovgivning kan pålægge en virksomhed at gemme data, og så vinder den lovpligt over din sletteret efter artikel 17.
Det du kan kræve slettet (over-opbevaring)
Ud over de to lovpligtige kategorier gælder et enkelt princip: teleselskabet må kun gemme dine data, så længe der er et sagligt formål. Ikke længere.
Det betyder i praksis:
- Gamle abonnementsdata fra kontrakter, du opsagde for flere år siden, og som ikke er omfattet af bogføringslovens 5 år.
- Marketingprofiler bygget på dit forbrugsmønster, som teleselskabet bruger til at målrette tilbud, også efter du er stoppet som kunde.
- Support- og kontakthistorik fra sager, der er lukket og afsluttet.
- Lokationsdata brugt til andet end lovpligtig logning, for eksempel til interne analyser.
Det er her det udbredte GDPR-problem ligger. Mange virksomheder, teleselskaber inklusive, er gode til at indsamle data og mindre gode til at rydde op, når formålet er væk. Det er ikke nødvendigvis bevidst lovbrud. Ofte er det bare gamle systemer og manglende rutiner for sletning.
Vi kan ikke sige, at dit teleselskab bryder loven. Det kan kun en konkret gennemgang af deres data om dig vise. Men du har ret til at bede dem dokumentere, hvorfor de stadig har det, de har.
Sådan gør du
To artikler i GDPR er dine værktøjer.
- Bed om indsigt (artikel 15). Du har ret til at få at vide, hvilke oplysninger teleselskabet har om dig, hvorfor de har dem, og hvor længe de opbevares. Send anmodningen skriftligt, og bed specifikt om opbevaringsperioder for hver kategori af data, ikke bare en generel bekræftelse.
- Kræv sletning af det uden formål (artikel 17). Når du har svaret i hånden, kan du pege på de kategorier, der ikke længere tjener et formål, og bede om at få dem slettet. Skriv tydeligt, hvilke data det gælder, og hvorfor du mener formålet er bortfaldet.
Teleselskabet har som udgangspunkt en måned til at svare på begge typer anmodninger. Får du intet svar, eller et svar uden reelt indhold, kan du klage til Datatilsynet.
Sådan hjælper Privio
Privio kortlægger, hvor dine data ligger, og sender indsigts- og sletteanmodninger på dine vegne, formuleret så teleselskabet skal forholde sig til konkrete kategorier og opbevaringsperioder, ikke bare afvise med en standardformulering. Vi kan ikke garantere, at teleselskabet sletter noget: det afhænger af, hvad de rent faktisk finder, og om de retter sig efter reglerne. Men vi sikrer, at anmodningen er korrekt stillet, og at du får et svar at forholde dig til.