Digitale tjenester og forbrukeres personopplysninger

Avslutning av kundeforholdet

Dataportabilitet

Gjennom retten til dataportabilitet har forbrukere rett til å få utlevert opplysninger om seg selv som de selv har gitt til tjenesten din. Retten til dataportabilitet skal gjøre det enklere for forbrukeren å bytte eller bruke flere tjenesteleverandører samtidig, og dermed forhindre at forbrukere låses til en tjeneste eller tilbyder.

Retten til dataportabilitet gjelder kun opplysninger du har behandlet på bakgrunn av samtykke eller at de var «nødvendig for å gjennomføre en avtale». Videre må det være snakk om data som forbrukeren aktivt har gitt til tjenesten, eller rådata om observert aktivitet, slik som logger og historikk. Retten gjelder ikke bearbeidede data, slik som dine egne analyser og profiler.

Husk:

  • Informer om retten til dataportabilitet på en kortfattet, lett forståelig og lett tilgjengelig måte.
  • Legg til rette for at forbrukeren kan bruke retten til dataportabilitet på en enkel måte.
    - For eksempel bør det legges til rette for at slike henvendelser kan gjøres
    elektronisk.
  • Hvis vilkårene om dataportabilitet er oppfylt, må du utlevere opplysningene så raskt som mulig, og normalt senest innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
  • Utlever opplysningene i et strukturert, alminnelig anvendt og maskinlesbart format, slik at disse kan overføres til en annen tjenesteleverandør.
  • Gi begrunnelse dersom du gir avslag på anmodning om dataportabilitet, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
  • Ikke ta gebyr for å imøtekomme kravet om dataportabilitet.
  • Ikke oversend opplysningene ukryptert, for eksempel via en ukryptert e-post.

Sletting av personopplysninger

Tjenesten din har plikt til å legge til rette for at forbrukere får ivaretatt sine rettigheter, slik som retten til sletting. Du har imidlertid også plikt til å vurdere sletting av eget tiltak. Hvis avtaleforholdet med forbrukeren avsluttes, vil det normalt ikke lenger være grunnlag for eller nødvendig å behandle personopplysningene til forbrukeren – avtalen er avsluttet, og formålet med opplysningene er oppnådd.

Det er forbudt å oppbevare personopplysninger lengre enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om forbrukeren ikke har bedt om det. I noen tilfeller kan man imidlertid ha plikt til å ta vare på opplysningene i lengre tid, for eksempel etter bokførings- loven.

Husk:

  • Informer om retten til sletting på en kortfattet, lett forståelig og lett tilgjengelig måte.
  • Sørg for å ha systemer og rutiner som sikrer at virksomheten din på eget tiltak gjennomfører fortløpende sletting dersom personopplysningene ikke lenger er nødvendige å behandle.
  • Slett opplysningene av eget tiltak dersom behandlingen er basert på samtykke og forbrukeren trekker tilbake samtykket sitt, eller dersom behand- lingen er basert på avtale og avtalen avsluttes, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
  • Legg til rette for at forbrukeren kan bruke retten til sletting på en enkel måte.
    - For eksempel bør det legges til rette for at slike henvendelser kan gjøres
    elektronisk.
  • Hvis vilkårene for sletting er oppfylt, må du slette opplysningene så raskt som mulig, og normalt innen én måned. Dersom vilkårene ikke er oppfylt, må du si fra om dette innen den samme tidsfristen.
  • Gi begrunnelse dersom du gir avslag på anmodning om sletting, og gi samtidig informasjon om retten til å klage avslaget inn for Datatilsynet.
  • Ikke ta gebyr for å slette personopplysninger om forbrukere.