Til Datatilsynet

Til startsiden til Datatilsynet

Veileder

De registrertes rettigheter etter nytt regelverk

Mange av kravene til behandling av personopplysninger videreføres fra dagens regelverk. Veilederen beskriver de registrertes rettigheter knyttet til behandling av personopplysninger. Den er basert på kapittel 3 i forordningen. 

Skriv ut veileder
De registrertes rettigheter etter nytt regelverk

Informasjon om behandling av personopplysninger

De registrerte har krav på informasjon om hvordan virksomheter behandler personopplysninger. 

Det viktigste med informasjonsplikten er at den skal sikre at de registrerte forstår hvordan personopplysninger blir behandlet, hvilke konsekvenser behandlingen kan ha, hvilke rettigheter han eller hun har og hvordan disse rettighetene kan tas i bruk. Først da vil vedkommende være i stand til å benytte rettighetene sine. Ved å informere, legger den behandlingsansvarlig til rette for at de registrerte kan benytte sine øvrige rettigheter som retten til innsyn, retting, sletting, trekke samtykke og så videre. 

Informasjon som gis til den registrerte skal:

  • være lett tilgjengelig
  • være i et klart språk tilpasset målgruppen

Dersom behandlingen innebærer automatiserte avgjørelser eller profilering skal den registrerte også informeres om konsekvenser, ulemper og risiko ved behandlingen.

Er det informasjon som skal rettes mot barn er det særlig viktig at språket er klart og enkelt og at informasjonen er tilpasset barnets forståelsesnivå. 

Informasjon skal være skriftlig og helst også tilgjengelig elektronisk.

Informasjon kan gjerne fremstilles grafisk om det bidrar til å gi en lett synlig, forståelig, lettlest og meningsfull oversikt over behandlingen. Hvis den grafiske fremstillingen er elektronisk må den også være maskinleselig.

Informasjon som skal gis ved innsamling av personopplysninger fra den registrerte

Følgende informasjon skal gis:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige eller en representant for den behandlingsansvarlige
  • kontaktopplysninger til personvernombudet
  • formålene med behandlingen, samt det rettslige grunnlaget
  • hvilke legitime interesser den behandlingsansvarlige eller en tredjepart har dersom behandlingen er basert på interesseavveining
  • mottakere av personopplysninger eller kategorier av slike mottakere
  • informasjon om eventuell overføring av personopplysninger til et tredjeland eller internasjonal organisasjon
  • det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke 

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis: 

  • hvor lenge personopplysningene vil bli lagret, hvis dette ikke er mulig, skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • at den registrerte har følgende rettigheter:
    • innsyn i personopplysninger registrert om seg selv
    • korrigering av personopplysninger om seg selv
    • sletting av personopplysninger om seg selv
    • begrensning av behandlingen som gjelder seg selv
    • innsigelsesrett (rett til å protestere på behandlingen)
    • å få ta med seg personopplysninger om seg selv (dataportabilitet)
  • retten til når som helst å trekke tilbake samtykke
  • retten til å klage til en tilsynsmyndighet
  • om det foreligger et lovfestet eller avtalefestet krav om å gi personopplysninger eller et krav som er nødvendig for å inngå en avtale, samt om den registrerte har plikt til å gi personopplysningene og om mulige konsekvenser dersom vedkommende ikke gjør det
  • om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette. Da må informasjonen til den registrerte oppdateres. Det skal da gis informasjon om det nye formålet og annen relevant informasjon for eksempel om og hvordan man kan protestere på behandlingen til det nye formålet eller om man er forpliktet til å akseptere behandlingen. Det er ikke nødvendig å gi ovennevnte informasjon dersom den registrerte har informasjonen fra før.

Informasjon som skal gis når personopplysningene ikke er samlet inn fra den registrerte selv

Følgende informasjon skal gis:

  • identiteten og kontaktopplysningene til den behandlingsansvarlige, eller en representant for den behandlingsansvarlige
  • kontaktopplysninger til personvernombudet
  • formålene med behandlingen, samt det rettslige grunnlaget
  • hva slags personopplysninger som er samlet inn
  • mottakere eller kategorier av mottakere av personopplysningene
  • informasjon om at personopplysninger skal overføres til et tredjeland eller internasjonal organisasjon
  • det som kreves av informasjon for at den registrerte skal vite om opplysningene er tilstrekkelig beskyttet eller ikke

Når det er nødvendig for å sikre en rimelig og gjennomsiktig behandling skal også følgende informasjon gis: 

  • hvor lenge personopplysningene blir lagret, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • de berettigede interessene som den behandlingsansvarlige eller en tredjepart har når behandlingsgrunnlaget er interesseavveining
  • at den registrerte har følgende rettigheter:
    • innsyn i personopplysninger registrert om seg selv
    • rett til å korrige egne personopplysninger
    • sletting av egne personopplysninger
    • begrensning av behandlingen som gjelder seg selv
    • å motsette seg behandlingen
    • å få ta med seg egne personopplysninger (dataportabilitet)
  • retten til når som helst å trekke tilbake et samtykke 
  • retten til å klage til en tilsynsmyndighet
  • fra hvilken kilde personopplysningene stammer og dersom det er relevant, om de stammer fra offentlig tilgjengelige kilder
  • om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den underliggende logikken bak de automatiserte avgjørelsene, samt forventede konsekvenser for de registrerte

Frist for å gi informasjon

Informasjonen må gis innen følgende frister:

  • innen rimelig tid etter innsamling, men senest innen en måned
  • dersom formålet med innsamling er å kommunisere med den registrerte, skal informasjonen gis senest ved den første kommunikasjonen med vedkommende
  • dersom det er planlagt å utlevere personopplysningene til en annen mottaker, skal informasjonen gis senest når opplysningene utleveres første gang
  • dersom den behandlingsansvarlige har planer om å behandle personopplysningene til et annet formål enn det opplysningene opprinnelig ble samlet inn for, skal de registrerte ha informasjon om dette

Når gjelder ikke informasjonsplikten?

Informasjonsplikten gjelder ikke i følgende tilfeller:

  • når informasjonen er allerede kjent for de registrerte
  • når det er umulig eller uforholdsmessig vanskelig å informere
  • når iformasjonsplikt vil gjøre det umulig eller i alvorlig grad hindre at formålene med behandlingen kan nås
  • når innsamling eller utlevering av personopplysningene er uttrykkelig fastsatt ved lov
  • når unntak er begrunnet i taushetsplikt

Innsyn i egne personopplysninger

Når den registrerte ber om innsyn skal vedkommende få vite om virksomheten behandler personopplysninger om han eller henne. Hvis det er tilfellet skal den registrerte få tilgang til egne personopplysninger. Den registrerte har også krav på å få utlevert kopi av opplysningene som er registrert.

Når den registrerte ber om innsyn skal følgende informasjon gis:

  • formålene med behandlingen
  • hva slags personopplysninger som behandles
  • mottakerne eller kategorier av mottakere som personopplysningene er blitt eller vil utleveres til, særlig mottakere i tredjeland eller internasjonale organisasjoner
  • hvor lenge personopplysningene skal lagres, hvis dette ikke er mulig skal det gis informasjon om kriteriene som brukes for å fastsette dette tidsrommet
  • om den registrerte har rett til å kreve retting, sletting eller begrensning av behandling av personopplysninger
  • om vedkommende har rett til å gjøre innsigelse mot behandlingen
  • om retten til å klage til en tilsynsmyndighet
  • dersom opplysningene ikke er samlet inn fra den registrerte, hvor personopplysningene stammer fra
  • om det treffes automatiserte avgjørelser inkludert profilering, basert på de innhentede opplysningene, i så fall skal det gis informasjon om den bakenforliggende logikken bak de automatiserte avgjørelsene samt betydningen og de mulige konsekvenser behandlingen har for de registrerte
  • hvis den behandlingsansvarlige skal overføre personopplysninger til et tredjeland eller internasjonal organisasjon skal den registrerte få vite dette og om opplysningene er tilstrekkelig beskyttet eller ikke

Korrigering av personopplysninger

Både i det offentlige og det private blir det tatt mange beslutninger basert på registrerte personopplysninger. Hvis personopplysninger som er registrert er unøyaktige eller feil kan det få konsekvenser for den det gjelder, for eksempel feil forskringspremie eller skattenivå. 

  • De registrerte har rett til å få korrigert personopplysninger som er feil eller unøyaktige.
  • Et eksempel på korrigering er at den registerte ønsker å ha med tilleggsopplysninger for å gi et riktigere bilde av saken. 
  • Korrigering skal gjøres så snart som mulig. 

Sletting av personopplysninger

I den nye forordningen er retten til sletting omtalt som "retten til å bli glemt". Dette henger tett sammen med muligheten til å legge ting bak seg og å starte med "blanke ark". 

Sletting skal skje når:

  • opplysningene ikke lenger er nødvendig for å oppnå formålet med behandlingen
  • samtykket til behandlingen er trukket tilbake og det ikke finnes et annet rettslig grunnlag for behandlingen
  • den registrerte har fremsatt en berettiget innsigelse, for eksempel at vedkommende ikke ønsker direkte markedsføring 
  • personopplysninger er blitt behandlet på en måte som ikke er lovlig
  • det er nødvendig for å overholde en rettslig forpliktelse i EU-retten
  • det er nødvendig for å overholde en forpliktelse i den nasjonale retten den behandlingsansvarlige er underlagt
  • opplysningene er samlet inn i forbindelse med informasjonssamfunnstjenester rettet mot barn

Dersom en behandlingsansvarlig har offentliggjort personopplysninger som skal slettes, skal andre behandlingsansvarlige som behandler de samme personopplysningene varsles. De som varsles skal da få informasjon om at den registrerte har bedt om at alle lenker kopier eller reproduksjoner av disse opplysningene skal slettes.

Sletteplikten gjelder ikke dersom videre behandling er nødvendig for:

  • å utøve retten til ytrings- og informasjonsfrihet
  • at den behandlingsansvarlige skal oppfylle en rettslig forpliktelse 
  • å utføre en oppgave i samfunnets interesse eller for å utøve offentlig myndighet som den behandlingsansvarlige er pålagt.
  • allmenhetens interesse knyttet til folkehelse
  • arkivformål i allmennhetens interesse, vitenskapelig eller historisk forskning eller statistiske formål forutsatt at sletting vil gjøre det umulig eller i alvorlig grad hindre at formålene med behandlingen her oppnås
  • at et rettskrav kan fastlegges, gjøres gjeldende eller forsvares 

Begrensning av behandling av personopplysninger

Den registrerte kan ha rett til å kreve begrensning av behandling av egne personopplysninger. Dette innebærer at personopplysningene ikke kan brukes til noe, kun lagres. 

Eksempel på metoder for å begrense en behandling:

  • at utvalgte opplysninger midlertidig flyttes til et annet behandlingssystem
  • at utvalgte opplysninger gjøres utilgjengelige for brukere
  • at offentlige opplysninger fjernes fra et nettsted

I følgende situasjoner kan den registrerte ha krav på å begrense behandlingen av personopplysninger:

  • hvis han eller hun mener personopplysningene er unøyaktige, kan behandlingen begrenses i en periode slik at den registrerte kan kontrollere om personopplysningene er riktige
  • behandlingen er ulovlig, men den registrerte motsetter seg sletting og krever isteden at de kun lagres
  • den behandlingsansvarlige trenger ikke lenger opplysningene til formålet med behandlingen, men den registrerte har behov for opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav og ønsker derfor at de lagres
  • den registrerte har protestert på behandlingen og avventer tilbakemelding på klagen

Den behandlingsansvarlige plikter å informere den registrerte før en begrenset behandling oppheves.

Opplysningene kan behandles delvis hvis:

  • den registrerte samtykker til enkelte behandlinger
  • når det er nødvendig for å fastlegge, gjøre gjeldende eller forsvare et rettskrav
  • for å beskytte en annen persons rettigheter
  • av hensyn til viktige samfunnsinteresser

Dataportabilitet

Retten til å ta med seg sine personopplysninger fra en virksomhet til en annen er en ny rettighet i personvernforordningen. Dette kalles dataportabilitet. 

Formålet med dataportabilitet er å gi den registrerte kontroll over egne opplysninger. Rettigheten gjelder kun egne opplysninger som den registrerte selv har gitt til den behandlingsansvarlige. Personopplysningene samlet fra andre kilder er ikke omfattet av denne retten. Informasjon eller analyse den behandlingsansvarlige har generert på bakgrunn av opplysningene må ikke utleveres.

Utøvelsen av retten til dataportabilitet må heller ikke krenke andre individers rettigheter eller friheter. For eksempel hvis den registrertes opplysninger er lagret sammen med andre personers opplysninger, må de skilles før utlevering.

Dataportabilitet kan skje på to måter:

  • Den registrerte kan få utlevert personopplysninger i et strukturert, alminnelig anvendt og maskinlesbart format slik at disse kan overføres til en annen behandlingsansvarlig.
  • Den registrerte kan kreve at personopplysningene overføres direkte til den nye behandlingsansvarlige når dette er teknisk mulig.

For å ha krav på dataportabilitet må følgende vilkår være innfridd:

  • Behandlingen av personopplysninger skjer på bakgrunn av et samtykke eller en kontrakt. Rettigheten gjelder altså ikke for behandlinger som foretas med andre rettslige grunnlag.
  • Behandlingen av personopplysninger skjer elektronisk. Rettigheten gjelder altså ikke personopplysninger som kun finnes på papir.

Innsigelse mot behandling av personopplysninger

Den registrerte har rett til å protestere på behandling av egne personopplysninger.

Den registrerte har rett til å protestere på behandling som skjer på basis av:

  • å ivareta en oppgave i samfunnets interesse
  • å utøve offentlig myndighet
  • å ivareta berettigede interesser som ikke overstyres av den registrertes interesser og grunnleggende rettigheter og friheter 

Innsigelsen fra den registrerte må være knyttet til vedkommendes særlige situasjon. Dette kan for eksempel være et særlig behov for beskyttelse av identitet eller at vedkommende tilhører en særlig sårbar gruppe. Hvis den registrerte har rett til innsigelse, plikter den behandlingsansvarlige å avslutte behandlingen av personopplysningene. Unntaket er hvis det foreligger tungtveiende og berettigede grunner for behandlingen som går foran hensynet til den registrertes interesser eller at behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.

Hvis personopplysningene behandles i forbindelse med direkte markedsføring, kan den registrerte alltid protestere på behandlingen. Ved en slik innsigelse må behandlingen til dette formålet opphøre.

Automatiserte avgjørelser og profilering

Med automatiserte avgjørelser menes avgjørelser som foretas av dataprogrammer uten menneskelig innblanding eller påvirkning. Når slike avgjørelser har juridisk eller tilsvarende vesentlig betydning for den enkelte, setter forordningen strenge grenser. Hovedregelen er at slike avgjørelser er forbudt.

Et eksempel på denne typen behandling av personopplysninger er når virksomheter lar en algoritme bestemme om en person skal få lån basert på en profil. Automatiserte avgjørelser kan ofte basere seg på profiler, men de behøver ikke å gjøre det.

Automatiserte avgjørelser er kun tillatt dersom de:

• er nødvendige for å inngå eller gjennomføre en avtale med de registrerte,
• er hjemlet i lov som samtidig gir tilfredsstillende garantier for personvernet til de registrerte,
• er basert på eksplisitt og gyldig samtykke.

I det første og siste tilfellet må den behandlingsansvarlige også implementere tiltak som varetar den enkeltes rettigheter på en tilstrekkelig måte. I det minste må den enkelte ha en mulighet til å få avgjørelsen overprøvd av en fysisk person og muligheten til å bestride avgjørelsen. I tillegg sier fortalen til forordningen (punkt 71) at den enkelte bør få en forklaring av beslutningen og at slike avgjørelser ikke bør omhandle barn. Andre relevante tiltak kan være:

  • Tekniske og organisatoriske tiltak for å oppdage uriktige personopplysninger og for å sørge for at personopplysningene er oppdaterte
  • Test av systemene og gjennomgang av algoritmene for å påse at behandlingen er rettferdig og ikke diskriminerende

Systemene som brukes må selvsagt følge regelen om plikt til innebygd personvern.

Automatiserte avgjørelser som bygger på sensitive personopplysninger, er kun lov med eksplisitt og gyldig samtykke eller dersom behandlingen har vesentlig offentlig interesse og har hjemmel i lov. Også her må det foreligge tiltak for å vareta den enkeltes rettigheter. De nærmere reglene om automatiserte avgjørelser finnes i forordningen artikkel 22.