GDPR rettingsbegjæring Norge

GDPR rettingsbegjæring i Norge er en skriftlig begjæring der en registrert person påberoper seg retten til retting av uriktige eller ufullstendige personopplysninger etter personvernforordningen (GDPR) artikkel 16. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Den behandlingsansvarlige skal rette uriktige opplysninger og supplere ufullstendige opplysninger uten ugrunnet opphold, svare innen én måned etter artikkel 12, og underrette mottakere etter artikkel 19.

Retten til retting er knyttet til nøyaktighetsprinsippet i personvernforordningen (GDPR) artikkel 5 nr. 1 bokstav d, som fastsetter at personopplysninger skal være riktige og om nødvendig oppdateres. Den behandlingsansvarlige har en selvstendig plikt til å sørge for at opplysningene er nøyaktige, men i praksis avdekker den registrerte oftest feil og påberoper seg retten til retting. Retten til retting er gratis og krever ingen begrunnelse fra den registrerte.

Retten til retting gjelder to situasjoner etter personvernforordningen (GDPR) artikkel 16. Den første er retting av uriktige personopplysninger, for eksempel en feil adresse, fødselsdato, navn etter navneendring, eller feil kjøpsbeløp. Den behandlingsansvarlige skal rette slike opplysninger uten ugrunnet opphold. Den andre er supplering av ufullstendige personopplysninger, der den registrerte har rett til å supplere opplysningene med en tilleggserklæring. Dette kan være aktuelt der en beskrivelse er korrekt men ufullstendig på en måte som gir et misvisende bilde.

Svarfristen er én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3. Behandlingsansvarlig skal besvare begjæringen uten ugrunnet opphold og senest innen én måned fra mottak. Fristen kan forlenges med inntil to måneder ved særlig komplekse begjæringer eller mange begjæringer, med forhåndsvarsel innen én måned. Dersom behandlingsansvarlig nekter å etterkomme begjæringen, skal dette begrunnes og klageadgangen opplyses.

Underretning av mottakere er et sentralt element. Etter personvernforordningen (GDPR) artikkel 19 skal behandlingsansvarlig underrette alle mottakere som de uriktige opplysningene er utlevert til, om rettingen. Dette gjelder med mindre det er umulig eller innebærer uforholdsmessig innsats. Den registrerte har rett til å bli informert om hvem som er underrettet. Underretningsplikten er særlig viktig der opplysningene er delt med databehandlere, kredittvurderingsbyråer eller samarbeidspartnere.

Forskjellene mot beslektede begjæringer er viktige. Rettingsbegjæringen endrer feilaktige opplysninger uten å slette dem, mens slettingsbegjæringen etter personvernforordningen (GDPR) artikkel 17 fjerner opplysningene. Innsynsbegjæringen etter artikkel 15 gir bare innsyn. Begjæringen om begrensning etter artikkel 18 kan fremsettes parallelt med rettingsbegjæringen for å stoppe bruken av de uriktige opplysningene mens rettingen behandles. Det videre forms-legal.com biblioteket inneholder maler for alle disse begjæringene.

Dokumentasjon styrker rettingsbegjæringen vesentlig. Relevante dokumenter er utskrift fra Folkeregisteret (for adresse og navn), fødselsattest (for fødselsdato), offentlige vedtak, kvitteringer eller kontrakter som viser den korrekte informasjonen. Behandlingsansvarlig er ikke avskåret fra å be om dokumentasjon, men kan ikke systematisk kreve dokumentasjon for alle typer rettinger.

GDPR rettingsbegjæring i Norge trengs i alle situasjoner der en person oppdager at en virksomhet eller organisasjon behandler uriktige eller ufullstendige personopplysninger om vedkommende.

Feil adresse, navn eller kontaktopplysninger. Den vanligste situasjonen er at en virksomhet har registrert feil adresse, gammelt telefonnummer, gammelt etternavn etter navneendring, eller annen utdatert kontaktinformasjon. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 gir rett til å få slike opplysninger rettet uten ugrunnet opphold. Dokumentasjon fra Folkeregisteret styrker begjæringen.

Feil i kredittvurderinger og finansielle opplysninger. Feil i kredittvurderinger, gjeldsregistre eller finansielle profiler kan ha alvorlige konsekvenser for den registrertes evne til å få lån, forsikring eller andre finansielle tjenester. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 gir rett til å få slike feil rettet, og virksomheten skal underrette eventuelle mottakere av de feilaktige opplysningene etter artikkel 19. Gjeldsregisteret kan etter særskilte regler i gjeldsregisterloven (2017) også kontaktes direkte.

Feilaktige personalopplysninger i arbeidsforhold. Ansatte kan oppdage feil i personalregisteret, fraværsregistrering, lønnsopplysninger eller evalueringer. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 gir rett til å få slike opplysninger rettet. I arbeidsforhold er rettingsretten særlig viktig fordi feilaktige personalopplysninger kan påvirke lønnsfastsettelse, stillingsbeskrivelse eller attest.

Feil i helseopplysninger og pasientjournaler. Pasienter kan oppdage feil i pasientjournalen eller i helseopplysninger som behandles av helseforetak og fastleger. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 supplerer pasientrettigheter etter pasientjournalloven (2014) og pasient- og brukerrettighetsloven (1999). Korrekte helseopplysninger er avgjørende for at behandlingen man mottar er riktig og trygg.

Feilaktige opplysninger i offentlige registre. Feil i registre som Folkeregisteret, Enhetsregisteret, Løsøreregisteret og andre offentlige registre kan ha vidtrekkende konsekvenser. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 er ett virkemiddel, men mange offentlige registre har egne spesialregler for retting som kan gi enklere tilgang til retting. Det er viktig å bruke riktig kanal.

Feilaktig informasjon i nettbutikker og kundeprofiler. Feil i kundeprofiler, kjøpshistorikk, adresser for levering og returregistre i nettbutikker kan medføre feilakturer eller feillevering. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 gir rett til å få slike feil rettet, og er et alternativ til å kontakte kundeservice der denne ikke reagerer.

Feil i forsikringsopplysninger. Feilaktige opplysninger om helse, skadeshistorikk eller risikoklassifisering hos forsikringsselskaper kan medføre for høy premie eller feilaktig avslag. Rettingsbegjæringen etter personvernforordningen (GDPR) artikkel 16 gir rett til å få slike opplysninger rettet, med krav om bekreftelse og underretning av eventuelle mottakere etter artikkel 19.

En effektiv GDPR rettingsbegjæring Norge inneholder følgende nøkkelelementer for å oppfylle kravene etter personvernforordningen (GDPR) artikkel 16 og for å gjøre det enkelt for behandlingsansvarlig å foreta rettingen.

Identifikasjon av den registrerte. Begjæringen skal inneholde tilstrekkelige opplysninger til sikker identifikasjon av den registrerte, slik at opplysningene rettes for riktig person. Fullt navn og eventuelt fødselsdato eller kundenummer er som oftest tilstrekkelig. Etter personvernforordningen (GDPR) artikkel 12 nr. 6 kan behandlingsansvarlig ved rimelig tvil be om ytterligere identifikasjon, men kravet skal ikke være mer omfattende enn nødvendig.

Kontaktopplysninger for svar. Begjæringen skal angi e-postadresse eller postadresse for svar og bekreftelse på rettingen. Klare kontaktopplysninger bidrar til at behandlingsansvarlig besvarer begjæringen innen fristen på én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3.

Identifikasjon av behandlingsansvarlig. Begjæringen rettes til behandlingsansvarlig med navn og adresse. Kontaktopplysningene finnes som regel i virksomhetens personvernerklæring, på nettstedet eller i Enhetsregisteret hos Brønnøysundregistrene. Riktig adressering sikrer at begjæringen når frem og at fristen begynner å løpe.

Klar beskrivelse av feil og korrekte opplysninger. Begjæringen skal inneholde en presis beskrivelse av hvilke opplysninger som er feil eller ufullstendige, og hvilke korrekte opplysninger som skal erstatte dem. For eksempel: «Registrert adresse er Storgata 10 — korrekt adresse er Storgata 12 siden navneendring DD.MM.ÅÅÅÅ». Jo mer presis beskrivelsen er, desto raskere kan behandlingsansvarlig foreta rettingen.

Vedlegg av dokumentasjon. Relevante dokumenter styrker rettingsbegjæringen og gjør det enklere for behandlingsansvarlig å verifisere rettingen. Relevante dokumenter er utskrift fra Folkeregisteret (for adresse og navn), kontrakter eller kvitteringer som viser korrekte opplysninger, og offentlige vedtak. Dokumentasjonen bør vedlegges begjæringen dersom tilgjengelig. Disse elementene utfyller forms-legal.com bibliotekets maler for GDPR-rettigheter.

Krav om underretning av mottakere etter artikkel 19. Begjæringen bør be om at behandlingsansvarlig underretter eventuelle mottakere av de feilaktige opplysningene om rettingen etter personvernforordningen (GDPR) artikkel 19, og informerer om hvilke mottakere som er underrettet. Underretningsplikten er særlig viktig der opplysningene er delt med kredittvurderingsbyråer, databehandlere eller samarbeidspartnere.

Parallell begjæring om begrensning av behandlingen. Begjæringen kan kombineres med en begjæring om begrensning av behandlingen etter personvernforordningen (GDPR) artikkel 18 nr. 1 bokstav a, som gir rett til å stoppe bruken av de uriktige opplysningene mens rettingen behandles. Begrensning er aktuelt dersom det er fare for at de uriktige opplysningene brukes på en måte som skader den registrerte mens rettingssaken pågår.

Henvisning til svarfristen og klageadgangen. Begjæringen bør vise til svarfristen på én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3 og informere om at man vil klage til Datatilsynet etter artikkel 77 dersom begjæringen ikke etterkommes. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018).

Å fylle ut en GDPR rettingsbegjæring Norge korrekt krever at man følger trinnene nedenfor, slik at begjæringen oppfyller kravene etter personvernforordningen (GDPR) artikkel 16 og kan behandles effektivt av behandlingsansvarlig.

Trinn 1 — Oppgi dine egne opplysninger for identifikasjon. Oppgi fullt navn slik det fremgår av folkeregisteret, og ved behov fødselsdato i format DD.MM.ÅÅÅÅ eller et kundenummer som identifiserer deg hos virksomheten. Oppgi kun det som er nødvendig for sikker identifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6. Unngå å oppgi unødvendig sensitiv informasjon.

Trinn 2 — Oppgi kontaktopplysninger for svar. Oppgi din e-postadresse og eventuelt postadresse for bekreftelse på rettingen og for videre korrespondanse. E-postadresse er oftest mest praktisk for rask behandling.

Trinn 3 — Identifiser behandlingsansvarlig korrekt. Oppgi den behandlingsansvarliges navn og adresse. Kontaktopplysningene til personvernansvarlig eller personvernombudet finnes i virksomhetens personvernerklæring. Send begjæringen til e-postadressen for personvernspørsmål for å sikre rask behandling.

Trinn 4 — Beskriv hva som er feil og hva som er riktig. Beskriv presist hvilke opplysninger som er uriktige eller ufullstendige, og oppgi de korrekte opplysningene som skal erstatte dem. Angi gjerne når feilen oppstod dersom du vet dette. For eksempel: «Registrert e-post er [email protected] — korrekt e-post er [email protected] siden DD.MM.ÅÅÅÅ». En klar beskrivelse reduserer risikoen for misforståelser.

Trinn 5 — Vedlegg dokumentasjon dersom tilgjengelig. Vedlegg dokumenter som underbygger rettingen, for eksempel utskrift fra Folkeregisteret for adresse- og navneendring, kopi av kontrakt med korrekte opplysninger, eller annet relevant dokument. Dokumentasjon gjør det lettere for behandlingsansvarlig å verifisere rettingen og kan føre til raskere behandling.

Trinn 6 — Be om underretning av mottakere. Angi at du ber om at behandlingsansvarlig underretter alle mottakere av de feilaktige opplysningene om rettingen etter personvernforordningen (GDPR) artikkel 17 nr. 2 og 19, og at du ønsker informasjon om hvilke mottakere som er underrettet. Dette er særlig viktig ved kredittvurderingsopplysninger og finansielle opplysninger.

Trinn 7 — Vurder å be om begrensning av behandlingen. Dersom det er fare for at de uriktige opplysningene brukes på en skadelig måte mens rettingssaken behandles, kan du kombinere rettingsbegjæringen med en begjæring om begrensning etter personvernforordningen (GDPR) artikkel 18 nr. 1 bokstav a. Begrensning stopper bruken av opplysningene mens rettingen behandles.

Trinn 8 — Vis til svarfristen og klageadgangen. Vis til at behandlingsansvarlig skal svare innen én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3, og at du vil klage til Datatilsynet etter artikkel 77 dersom begjæringen ikke etterkommes.

Trinn 9 — Daterer og send begjæringen med notoritet. Oppgi sted og dato i format DD.MM.ÅÅÅÅ og underskriv. Send begjæringen på e-post med kvittering eller som rekommandert post, og ta vare på en kopi. Dersom behandlingsansvarlig ber om tilleggsidentifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6, samarbeid om dette, men oppgi ikke mer enn nødvendig.

Trinn 10 — Følg opp og klag ved behov. Dersom begjæringen ikke etterkommes innen fristen, send en påminnelse og klag til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 via datatilsynet.no. Datatilsynets vedtak kan påklages til Personvernnemnda.

GDPR rettingsbegjæring Norge er regulert av personvernforordningen (GDPR), personopplysningsloven (2018) og tilgrensende norsk lovgivning som fastlegger rettens omfang og behandlingsansvarliges plikter.

Rettingsretten etter personvernforordningen (GDPR) artikkel 16. Den registrerte har rett til å få uriktige personopplysninger om seg selv rettet uten ugrunnet opphold etter personvernforordningen (GDPR) artikkel 16. Den registrerte har i tillegg rett til å supplere ufullstendige personopplysninger, blant annet ved å avgi en tilleggserklæring, der dette er relevant for behandlingens formål. Rettingsretten er en del av de registrertes rettigheter i personvernforordningen (GDPR) kapittel 3.

Nøyaktighetsprinsippet etter personvernforordningen (GDPR) artikkel 5 nr. 1 bokstav d. Rettingsretten er nært knyttet til nøyaktighetsprinsippet, som fastsetter at personopplysninger skal være riktige og om nødvendig oppdateres. Behandlingsansvarlig har en selvstendig plikt til å sikre nøyaktigheten av opplysningene og til å treffe alle rimelige tiltak for å slette eller rette uriktige opplysninger. Rettingsbegjæringen er den praktiske måten å håndheve dette prinsippet på.

Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført ved personopplysningsloven (2018). De samme rettighetene gjelder i Norge som i EU. Datatilsynet er nasjonal tilsynsmyndighet, og Datatilsynets vedtak kan påklages til Personvernnemnda.

Svarfrist og prosessregler etter personvernforordningen (GDPR) artikkel 12. Behandlingsansvarlig skal besvare rettingsbegjæringen uten ugrunnet opphold og senest innen én måned etter artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder. Behandling er gratis etter artikkel 12 nr. 5, med unntak for åpenbart grunnløse eller overdrevne begjæringer. Avslag skal begrunnes og klageadgangen opplyses.

Underretning av mottakere etter personvernforordningen (GDPR) artikkel 19. Behandlingsansvarlig skal etter rettingen underrette alle mottakere som de uriktige opplysningene er utlevert til, om rettingen, med mindre dette er umulig eller innebærer uforholdsmessig innsats etter artikkel 19. Den registrerte har rett til å bli informert om hvem som er underrettet. Underretningsplikten sikrer at rettingen faktisk rekker alle steder der de uriktige opplysningene er registrert.

Retting i spesialregistre etter norsk lovgivning. Folkeregisteret reguleres av folkeregisterloven (2016). Gjeldsregisteret reguleres av gjeldsregisterloven (2017). Pasientjournaler reguleres av pasientjournalloven (2014) og pasient- og brukerrettighetsloven (1999). For disse registrene kan det finnes spesialregler om retting som supplerer eller delvis erstatter rettingsretten etter personvernforordningen (GDPR) artikkel 16. Det kan være enklere å benytte de spesifikke kanalene for retting i disse registrene.

Klageadgang etter personvernforordningen (GDPR) artikkel 77 og rettsmidler. Den registrerte kan klage til Datatilsynet etter artikkel 77 dersom rettingsbegjæringen ikke etterkommes. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Den registrerte har rett til effektivt rettsmiddel for domstolene etter artikkel 79 og rett til erstatning etter artikkel 82. Datatilsynet kan ilegge overtredelsesgebyr for brudd på rettingsplikten etter artikkel 83.

Vanlige feil ved utforming og bruk av GDPR rettingsbegjæring Norge kan forsinke behandlingen eller føre til at begjæringen ikke etterkommes.

Feil 1 — Uklar beskrivelse av hva som er feil. En begjæring som ikke klart angir hvilke opplysninger som er feil og hva de korrekte opplysningene er, gjør det vanskelig for behandlingsansvarlig å foreta rettingen. Løsning: beskriv presist de feilaktige opplysningene og de korrekte, helst i et «gammel verdi → korrekt verdi»-format.

Feil 2 — Manglende dokumentasjon. En rettingsbegjæring uten dokumentasjon kan møte motstand fra behandlingsansvarlig som ønsker å verifisere rettingen, noe som kan forsinke prosessen. Løsning: vedlegg relevante dokumenter, for eksempel utskrift fra Folkeregisteret, kopi av pass ved navneendring, eller kopi av kontrakt ved feil betalingsopplysninger.

Feil 3 — Begjæringen rettes til feil mottaker. Å sende begjæringen til feil avdeling gjør at fristen ikke begynner å løpe. Løsning: finn riktig kontaktadresse for personvernhenvendelser i virksomhetens personvernerklæring og send til e-postadressen for personvernspørsmål.

Feil 4 — Forveksling med sletting. Å fremsette en slettingsbegjæring etter personvernforordningen (GDPR) artikkel 17 når man egentlig ønsker retting, gir feil resultat. Løsning: bruk rettingsbegjæringen etter artikkel 16 der opplysningene er feil men skal beholdes i riktig form; bruk slettingsbegjæringen der opplysningene skal fjernes.

Feil 5 — Manglende krav om underretning av mottakere. En rettingsbegjæring som ikke ber om underretning av mottakere, risikerer at feilaktige opplysninger forblir hos tredjeparter. Løsning: be eksplisitt om at behandlingsansvarlig underretter alle mottakere etter personvernforordningen (GDPR) artikkel 19, og at du informeres om hvem som er underrettet.

Feil 6 — Ikke kombinere med begrensning der nødvendig. Dersom de uriktige opplysningene brukes på en aktiv og skadelig måte, for eksempel i kredittavgjørelser, bør rettingsbegjæringen kombineres med en begjæring om begrensning etter personvernforordningen (GDPR) artikkel 18 for å stoppe bruken mens rettingen behandles.

Feil 7 — Manglende oppfølging. Å la være å følge opp dersom begjæringen ikke besvares innen fristen. Løsning: send en påminnelse og klag til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 dersom begjæringen ikke etterkommes.