Retting og sletting

Virksomheten har plikt til å legge til rette for at de registrerte får ivaretatt sine rettigheter slik som retting og sletting. Men den har også plikt til å vurdere dette av eget tiltak.

Virksomheter som behandler personopplysninger, må sørge for at opplysningene har god kvalitet og er korrekte. Det kommer klart frem i personvernprinsippene (se artikkel 5 i personvernforordningen). Der det er nødvendig må opplysningene holdes oppdatert. Dersom en virksomhet blir kjent med at personopplysninger ikke er korrekte, må man sørge for retting uten opphold selv om personen det gjelder ikke eksplisitt har bedt om det.

Plikten til å sørge for at opplysningene er korrekte, må sees i forhold til hva formålet med opplysningene er. Hvor omfattende tiltak man skal iverksette for å sikre at opplysningene er korrekte, kommer altså an på hva de skal brukes til. For eksempel kreves det mer når det er snakk om en pasientjournal enn når det er snakk om en kundeprofil.

Sletting av personopplysninger

Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om de som er registrert ikke har bedt om det. Virksomhetene må ha systemer og rutiner som sikrer at sletting blir gjennomført.

Virksomheten må også slette opplysningene av eget tiltak dersom behandlingen er basert på samtykke og enkeltpersoner trekker tilbake samtykket sitt, med mindre opplysningene samtidig behandles for andre formål basert på andre behandlingsgrunnlag.
Les mer om behandlingsgrunnlag og samtykke

Tilsvarende gjelder dersom de som er registrert protesterer mot behandlingen og virksomheten må ta protesten til følge.

Andre plikter

Når en virksomhet foretar retting og sletting, har den også plikt til å kommunisere dette til andre som har mottatt opplysningene.
Les mer om retten til retting 
Les mer om retten til sletting

Når det gjelder den enkeltes rett til å ikke være gjenstand for automatiserte individuelle avgjørelser, innebærer regelen at slike avgjørelser er forbudt med mindre det finnes et unntak, ikke at den enkelte selv må protestere mot denne formen for avgjørelser.
Les mer om rettigheter ved automatiserte avgjørelser

Plikt til å oppfylle rettigheter

Alle virksomheter har plikt til å legge til rette for at brukere/kunder får oppfylt rettighetene sine på en enkel måte. Det skal som hovedregel gjøres uten kostnad for kunden og innen 30 dager.

Plikt til å oppfylle rettigheter
13