GDPR Learning Hub

Meny
  • Ta quizer
  • Last ned brukerveiledninger
  • Kjøp kurs
  • Kjøp maler
  • GDPR-kursene er under oppbygging

Artikkel 17 GDPR

Rett til sletting

The right to erasure of personal data means that data subjects can request that a company erase their personal data processed by the company. The data subject’s right to erasure of personal data is also known as the “right to be forgotten”. 

Den registrertes rett til sletting

Artikkel 17 i GDPR regulerer denne rettigheten. Dette er en av de åtte (8) grunnleggende rettighetene til registrerte under GDPR. 

Anonymiser personopplysninger i stedet for å slette dem

Et selskap kan imidlertid velge å anonymisere personopplysningene i stedet for å slette dem. GDPR dekker ikke anonymiserte personopplysninger. Derimot er behandlingen av personopplysninger i anonymiseringsprosessen selvfølgelig underlagt GDPR. 

Personopplysninger som anonymiseres, blir bare vanlige ”data”. De er ikke lenger ”personopplysninger”, da de ikke lenger kan knyttes til en fysisk levende person. Vi gjør oppmerksom på at anonymisering og pseudonymisering (en form for anonymisering) ikke er det samme. Pseudonymiserte personopplysninger forblir personopplysninger og faller innenfor rammen av GDPR.

What breaches of the GDPR can lead to an administrative fine?

Selskapet skal informere om slettingen til tredjeparter som har fått tilgang til personopplysningene

Når et selskap sletter personopplysninger på forespørsel fra en registrert, skal det også informere om slettingen. Selskapet skal informere eventuelle tredjeparter som de har delt personopplysningene med. Dette er betinget av at det er mulig og ikke innebærer for byrdefull innsats for å gjennomføre. 

I tillegg bør selskapet informere den registrerte om at slettingen er fullført. Videre har den registrerte rett til å vite hvilke tredjeparter personopplysningene er blitt utlevert til. 

Når et selskap er i stand til å beholde personopplysninger til tross for den registrertes forespørsel om sletting

Det er visse situasjoner der et selskap ikke trenger å slette personopplysninger, selv om den registrerte ber om det. Her er eksempler på unntak fra når retten til å slette personopplysninger ikke gjelder: 

Ytringsfrihet

Når det gjelder retten til ytringsfrihet.

Lovpålagt plikt

Om det foreligger en lovpålagt forpliktelse for selskapet til å behandle personopplysningene for å overholde loven.

Alminnelig interesse

Når behandlingen av personopplysninger utføres av hensyn til allmennhetens interesse.

Offentlig helserelatert

Når behandlingen av personopplysninger gjelder et spørsmål av offentlig interesse i forbindelse med folkehelsen.

Arkiveringsformål

Når behandlingen utføres for arkiveringsformål.

Formål knyttet til vitenskapelig eller historisk forskning

Når behandlingen er for formål knyttet til vitenskapelig eller historisk forskning.

Rettslige krav

Når et selskap beholder personopplysninger med det formål å forsvare et juridisk krav.

Når et selskap sletter personopplysningene på forespørsel fra den registrerte

Her er noen eksempler på når et selskap skal slette personopplysninger på forespørsel fra den registrerte. Vær oppmerksom på at dette er underlagt betingelsen om at ingen av unntakene nevnt ovenfor gjelder. Retten til sletting av personopplysninger i GDPR krever at selskapet sletter personopplysningene til:

  • Selskapet trenger ikke lenger personopplysningene til det formålet de ble samlet inn for. 
  • Den registrerte har gitt samtykke som han eller hun trekker tilbake; Dette gjelder dersom virksomheten ikke har annet rettslig grunnlag for å fortsette behandlingen. 
  • Personopplysningene vil bli behandlet for direkte markedsføringsformål som den registrerte protesterer mot. 
  • Behandlingen er i strid med gjeldende lovgivning.

Etablere interne prosedyrer for korrekt sletting av personopplysninger under GDPR

Den generelle regelen i GDPR krever at selskaper sletter personopplysninger som ikke lenger er nødvendige. Selskaper bør derfor regelmessig slette personopplysninger. Det er viktig å etablere interne prosedyrer for sletting og anonymisering av personopplysninger. På denne måten kan ansatte ha retningslinjer å følge for å sikre overholdelse av GDPR i denne forbindelse. 

Foretaket kan for eksempel fastsette visse forhåndsbestemte dager i året da personopplysninger skal slettes. I tillegg er personopplysninger tilgjengelige på et svært bredt spekter av steder. Som i e-post, dokumenter, regnskapsposter, digitale lagringssteder og systemer, etc. Det er derfor nyttig å registrere alle lagringssteder i et register. Dette vil gjøre det lettere for bedriftens ansatte å holde oversikt over hvor personopplysninger befinner seg og gjøre de nødvendige slettingene lettere.

Selskaper som ikke slettet personopplysninger på forespørsel fikk en reprimande

Den svenske databeskyttelsesmyndigheten (IMY) utstedte en reprimande til et selskap. Årsaken til dette var at selskapet ikke slettet personopplysninger på forespørsel fra en registrert. I tillegg ga den feil informasjon til den registrerte, og hevdet at personopplysningene var slettet. 

Flere rettigheter i GDPR

Rett til begrensning av behandling av personopplysninger

Under GDPR har de registrerte rett til å be selskapet om å begrense behandlingen av deres personopplysninger. Retten gjelder i visse tilfeller og kombineres ofte med en forespørsel om korrigering av personopplysninger. Når et foretak skal overholde retten til begrensning, skal det merke personopplysningene. Formålet med merkingen er å sikre at de bare behandles for det definerte formålet. 

Lyst til å lære mer?

Les mer
Skroll til toppen