GDPR Erasure Request Norway

A GDPR Erasure Request in Norway (slettingsbegjæring) is a written request by which a data subject invokes the right to erasure under the General Data Protection Regulation (GDPR) article 17, also known as the right to be forgotten, which applies in Norway through the EEA Agreement and is implemented by the Personopplysningsloven (2018). The data controller must erase personal data without undue delay where the grounds in article 17(1) are met, respond within one month under article 12, and notify any recipients to whom the data was disclosed. The controller may refuse erasure only where the exceptions in article 17(3) apply, such as a statutory retention obligation under Norwegian law.

GDPR slettingsbegjæring Norge trengs i situasjoner der en person ønsker å fjerne personopplysninger som en virksomhet eller organisasjon behandler, og ett av grunnlagene i personvernforordningen (GDPR) artikkel 17 nr. 1 er oppfylt.

Når kundeforholdet er avsluttet. Etter avsluttet kundeforhold er opplysningene i mange tilfeller ikke lenger nødvendige for formålet de ble samlet inn for etter personvernforordningen (GDPR) artikkel 17 nr. 1 bokstav a. En slettingsbegjæring er aktuell der virksomheten beholder opplysningene ut over den lagringstiden som er nødvendig, eller som er angitt i personvernerklæringen. Merk at virksomheten kan ha lovpålagt plikt til å beholde regnskapsopplysninger i fem år etter bokføringsloven (2004).

Etter tilbaketrekkelse av samtykke. Dersom behandlingen bygger på samtykke etter personvernforordningen (GDPR) artikkel 6 nr. 1 bokstav a, og den registrerte trekker tilbake samtykket, og det ikke finnes annet grunnlag for behandlingen, har den registrerte rett til sletting etter artikkel 17 nr. 1 bokstav b. Dette er typisk aktuelt ved nyhetsbrev, markedsføringsprofiler og tilpassede annonser. Tilbaketrekkelsen av samtykket er i seg selv tilstrekkelig grunnlag; det kreves ikke at opplysningene er feilaktige.

Ved protest mot markedsføring. Etter personvernforordningen (GDPR) artikkel 21 nr. 2 har den registrerte alltid rett til å protestere mot behandling for direkte markedsføring. Virksomheten skal ved protest opphøre med markedsføringen. En slettingsbegjæring etter artikkel 17 nr. 1 bokstav c kan kombineres med protesten for å kreve at profilen og opplysningene slettes, ikke bare at markedsføringen stanses.

Ved ulovlig behandling. Dersom en virksomhet behandler personopplysninger uten gyldig rettslig grunnlag etter personvernforordningen (GDPR) artikkel 6, er behandlingen ulovlig og slettingsretten etter artikkel 17 nr. 1 bokstav d er oppfylt. Eksempler er behandling uten gyldig samtykke, uten hjemmel i avtale eller uten berettiget interesse. Slettingsbegjæringen kan i slike tilfeller kombineres med en klage til Datatilsynet etter artikkel 77.

Opplysninger om barn lagt ut på nett. Dersom personopplysninger ble gitt da man var barn, for eksempel profiler på sosiale medier opprettet under 13 år, og disse er samlet inn etter artikkel 8, har den voksne rett til å kreve sletting etter personvernforordningen (GDPR) artikkel 17 nr. 1 bokstav f. Etter artikkel 17 nr. 2 skal behandlingsansvarlig treffe rimelige tiltak for å slette opplysningene hos andre som har videreformidlet dem.

Etter nektet begjæring om begrensning. Dersom en virksomhet nekter å begrense behandlingen etter personvernforordningen (GDPR) artikkel 18, kan den registrerte vurdere om grunnlaget for sletting etter artikkel 17 er oppfylt, og fremsette en slettingsbegjæring. Begrensning og sletting er to alternative tiltak for å begrense en uønsket behandling.

Innhold på internett og i søkemotorer. Retten til å bli glemt er særlig kjent fra saker mot søkemotorer som Google, der den registrerte kan kreve at linker til uriktige, utilstrekkelige, irrelevante eller utdaterte opplysninger fjernes fra søkeresultatene. EU-domstolens avgjørelse i Google Spain-saken (C-131/12) klargjorde at søkemotorer er behandlingsansvarlige for personopplysninger i søkeresultatene, og at de registrertes rettigheter, herunder sletteretten, gjelder mot disse.

En effektiv GDPR slettingsbegjæring Norge inneholder følgende nøkkelelementer for å oppfylle kravene i personvernforordningen (GDPR) artikkel 17 og gjøre det enkelt for behandlingsansvarlig å ta stilling til begjæringen.

Identifikasjon av den registrerte. Begjæringen skal inneholde tilstrekkelige opplysninger til sikker identifikasjon av den registrerte, slik at opplysningene ikke slettes for feil person. Navn og eventuelt fødselsdato eller kundenummer er som regel tilstrekkelig. Den behandlingsansvarlige kan be om ytterligere identifikasjon ved rimelig tvil etter personvernforordningen (GDPR) artikkel 12 nr. 6, men kravet til identifikasjon skal ikke være mer omfattende enn nødvendig.

Kontaktopplysninger for svar. Begjæringen skal angi e-postadresse eller postadresse for svar og bekreftelse på at slettingen er utført. Klare kontaktopplysninger bidrar til at behandlingsansvarlig besvarer begjæringen innen svarfristen på én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3.

Identifikasjon av behandlingsansvarlig. Begjæringen rettes til behandlingsansvarlig med navn og adresse. Kontaktopplysningene finnes som regel i virksomhetens personvernerklæring eller i Enhetsregisteret hos Brønnøysundregistrene. Riktig adressering sikrer at begjæringen når frem til rett mottaker og at fristen begynner å løpe.

Angivelse av hvilke opplysninger som skal slettes. En presis beskrivelse av hvilke opplysninger eller kategorier av opplysninger begjæringen gjelder, gjør det enklere for behandlingsansvarlig å identifisere og slette de riktige opplysningene. Dersom begjæringen gjelder alle opplysninger, bør dette angis eksplisitt. En presis angivelse reduserer risikoen for misforståelser og forsinkelser.

Grunnlaget for slettingsretten etter artikkel 17 nr. 1. Begjæringen bør angi hvilke av grunnlagene i personvernforordningen (GDPR) artikkel 17 nr. 1 bokstavene a til f som påberopes, og kort begrunne hvorfor grunnlaget er oppfylt. Klar angivelse av grunnlaget gjør det enklere for behandlingsansvarlig å vurdere om slettingsretten er oppfylt og gir grunnlag for en begrunnet avgjørelse.

Krav om underretning av mottakere. Begjæringen bør be om at behandlingsansvarlig underretter eventuelle mottakere om slettingen etter personvernforordningen (GDPR) artikkel 17 nr. 2, og informerer om hvilke mottakere som er underrettet etter artikkel 19. Dette er særlig viktig der opplysningene er delt med databehandlere, samarbeidspartnere eller andre virksomheter.

Henvisning til svarfristen på én måned. Begjæringen bør vise til at behandlingsansvarlig skal svare uten ugrunnet opphold og senest innen én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder ved komplekse eller mange begjæringer, men den registrerte skal da informeres innen én måned. Disse elementene utfyller forms-legal.com bibliotekets maler for GDPR-rettigheter.

Krav om begrunnelse ved avslag og klageadgang. Begjæringen bør be om en skriftlig begrunnelse og informasjon om klageadgangen dersom begjæringen avslås. Behandlingsansvarlig kan bare avslå der et av unntakene i personvernforordningen (GDPR) artikkel 17 nr. 3 gjelder. Avslaget skal begrunne hvilket unntak som påberopes. Den registrerte kan klage til Datatilsynet dersom avslaget er ubegrunnet eller urettmessig.

Datering og underskrift. Begjæringen bør dateres og undertegnes. Datoen bekrefter tidspunktet for fremsettelsen og er relevant for beregningen av svarfristen. Underskriften bekrefter at begjæringen er ekte og ikke fremsatt av en annen på vegne av den registrerte.

Å fylle ut en GDPR slettingsbegjæring Norge korrekt krever at man følger trinnene nedenfor systematisk, slik at begjæringen oppfyller kravene etter personvernforordningen (GDPR) artikkel 17 og artikkel 12.

Trinn 1 — Oppgi dine egne opplysninger for identifikasjon. Oppgi fullt navn slik det fremgår av folkeregisteret, og ved behov fødselsdato i format DD.MM.ÅÅÅÅ. Oppgi bare det som er nødvendig for sikker identifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6. Bruk av kundenummer eller e-postadresse registrert hos virksomheten kan gjøre identifikasjonen enklere uten å oppgi sensitiv informasjon.

Trinn 2 — Oppgi kontaktopplysninger for svar. Oppgi din e-postadresse og postadresse slik at behandlingsansvarlig kan sende bekreftelse på utført sletting. E-postadresse er oftest mest praktisk for elektronisk bekreftelse, men postadresse kan brukes dersom du foretrekker dette.

Trinn 3 — Identifiser behandlingsansvarlig korrekt. Oppgi den behandlingsansvarliges navn og adresse. Kontaktopplysningene finnes i virksomhetens personvernerklæring, på nettstedet eller i Enhetsregisteret hos Brønnøysundregistrene. Send begjæringen til e-postadressen for personvernspørsmål, slik at den raskt når rett mottaker og fristen begynner å løpe.

Trinn 4 — Beskriv hvilke opplysninger som skal slettes. Beskriv så presist som mulig hvilke opplysninger eller kategorier av opplysninger du ber om å få slettet. Er det alle opplysninger, er ett kundeforhold, en profil, en e-postliste, eller bare bestemte elementer? Jo mer presis beskrivelsen er, desto raskere kan behandlingsansvarlig identifisere og slette de riktige opplysningene.

Trinn 5 — Velg grunnlaget for slettingsretten. Velg det eller de grunnlagene i personvernforordningen (GDPR) artikkel 17 nr. 1 som er oppfylt, og begrunn kort hvorfor. Vanlige grunnlag er at opplysningene ikke er nødvendige lenger (bokstav a), at du trekker tilbake samtykket (bokstav b), at du protesterer mot markedsføring (bokstav c), eller at behandlingen har vært ulovlig (bokstav d). Oppgi tilleggsinformasjon dersom dette styrker grunnlaget.

Trinn 6 — Be om underretning av mottakere. Angi at du ber om at behandlingsansvarlig underretter eventuelle mottakere av opplysningene om slettingen etter personvernforordningen (GDPR) artikkel 17 nr. 2, og at du ønsker informasjon om hvilke mottakere som er underrettet etter artikkel 19. Dette er særlig viktig der du vet at opplysningene er delt med tredjeparter.

Trinn 7 — Vis til svarfristen og klageadgangen. Vis til at behandlingsansvarlig skal svare innen én måned etter personvernforordningen (GDPR) artikkel 12 nr. 3, og at du vil klage til Datatilsynet etter artikkel 77 dersom begjæringen ikke etterkommes. Nevnelse av Datatilsynet understreker alvoret og kan bidra til raskere behandling.

Trinn 8 — Daterer og underskriv begjæringen. Oppgi sted og dato i format DD.MM.ÅÅÅÅ og underskriv. Datoen dokumenterer tidspunktet for fremsettelsen. Send begjæringen på en måte som gir notoritet, for eksempel rekommandert post eller e-post med kvittering, og ta vare på en kopi.

Trinn 9 — Følg opp og klag ved behov. Dersom behandlingsansvarlig ikke svarer innen fristen, eller svaret er utilfredsstillende, send en påminnelse. Klag deretter til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 via datatilsynet.no; Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018).

GDPR slettingsbegjæring Norge er regulert av personvernforordningen (GDPR), personopplysningsloven (2018) og tilgrensende norsk lovgivning som fastlegger rettens omfang, behandlingsansvarliges plikter og unntakene fra sletteretten.

Sletteretten etter personvernforordningen (GDPR) artikkel 17. Retten til å få personopplysninger slettet, den såkalte retten til å bli glemt, er fastlagt i personvernforordningen (GDPR) artikkel 17. Den registrerte har rett til å få sine personopplysninger slettet uten ugrunnet opphold der ett av de seks grunnlagene i artikkel 17 nr. 1 bokstavene a til f er oppfylt: opplysningene er ikke lenger nødvendige for formålet (a); samtykket trekkes tilbake uten annet grunnlag (b); protest mot behandlingen uten overstyring (c); ulovlig behandling (d); lovpålagt sletting (e); og barneopplysninger etter artikkel 8 (f).

Personvernforordningens (GDPR) rekkevidde i Norge. Personvernforordningen (GDPR) gjelder i Norge gjennom EØS-avtalen og er gjennomført ved personopplysningsloven (2018). De samme rettighetene og forpliktelsene gjelder i Norge som i EU. Datatilsynet er nasjonal tilsynsmyndighet, og Datatilsynets vedtak kan påklages til Personvernnemnda.

Svarfrist og prosessregler etter personvernforordningen (GDPR) artikkel 12. Behandlingsansvarlig skal svare uten ugrunnet opphold og senest innen én måned etter artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder ved særlig komplekse begjæringer, med forhåndsvarsel innen én måned. Avslag skal begrunnes og klageadgangen skal opplyses. Behandlingen er gratis etter artikkel 12 nr. 5, med unntak for åpenbart grunnløse eller overdrevne begjæringer.

Unntakene fra sletteretten etter personvernforordningen (GDPR) artikkel 17 nr. 3. Behandlingsansvarlig kan nekte sletting der behandlingen er nødvendig for: (a) ytringsfrihet og informasjonsfrihet; (b) oppfyllelse av en rettslig forpliktelse etter unionsretten eller norsk rett, for eksempel bokføringsloven (2004) § 13 (fem år) eller arkivloven (1992); (c) folkehelseinteresser etter artikkel 9 nr. 2 bokstavene h og i; (d) arkivformål i allmennhetens interesse, vitenskapelig eller historisk forskning eller statistikk etter artikkel 89 nr. 1; og (e) fastsettelse, utøvelse eller forsvar av rettskrav.

Underretning av mottakere etter personvernforordningen (GDPR) artiklene 17 nr. 2 og 19. Dersom opplysningene er utlevert til mottakere, herunder databehandlere og tredjeparter, skal behandlingsansvarlig underrette disse om slettingen, med mindre dette er umulig eller innebærer uforholdsmessig innsats. Den registrerte har rett til å bli informert om hvem som er underrettet etter artikkel 19.

Forholdet til lovpålagte oppbevaringsforpliktelser i norsk rett. Sletteretten begrenses av lovpålagte oppbevaringsforpliktelser. Bokføringsloven (2004) § 13 pålegger fem års oppbevaring av regnskapsopplysninger. Arkivloven (1992) gjelder for offentlige virksomheter. Helsepersonelloven (1999) og pasientjournalloven (2014) fastsetter lagringstider for helseopplysninger. Arbeidsgivere har lagringsplikt for personalmappeopplysninger i foreldelsestiden etter foreldelsesloven (1979). Disse forpliktelsene begrenser sletteretten, men behandlingsansvarlig skal slette opplysningene så snart oppbevaringsplikten er utløpt.

Klageadgang etter personvernforordningen (GDPR) artikkel 77 og rettsmidler. Den registrerte kan klage til Datatilsynet etter artikkel 77 dersom behandlingsansvarlig nekter å etterkomme en slettingsbegjæring. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Den registrerte har også rett til effektivt rettsmiddel mot behandlingsansvarlig for domstolene etter artikkel 79 og rett til erstatning for materielt og ikke-materielt tap etter artikkel 82.

Vanlige feil ved utforming og bruk av GDPR slettingsbegjæring Norge kan forsinke behandlingen, svekke begjæringen eller føre til at den ikke etterkommes.

Feil 1 — Manglende grunnlag for slettingsretten. En begjæring som ikke angir et grunnlag etter personvernforordningen (GDPR) artikkel 17 nr. 1, gir behandlingsansvarlig mulighet til å avslå eller be om presisering. Løsning: angi tydelig hvilket grunnlag som påberopes, for eksempel at samtykket trekkes tilbake eller at opplysningene ikke lenger er nødvendige, og begrunn kort hvorfor grunnlaget er oppfylt.

Feil 2 — Urealistiske forventninger om absolutt sletterett. Å forvente sletting av opplysninger som virksomheten har lovpålagt plikt til å beholde, for eksempel regnskapsopplysninger i fem år etter bokføringsloven (2004) § 13, fører til skuffelse. Løsning: sjekk om det foreligger lovpålagte oppbevaringsforpliktelser som begrenser sletteretten etter personvernforordningen (GDPR) artikkel 17 nr. 3; da kan du i stedet be om begrensning av behandlingen etter artikkel 18.

Feil 3 — Forveksling med retting eller begrensning. Å sende en slettingsbegjæring når man egentlig ønsker retting av feilaktige opplysninger etter personvernforordningen (GDPR) artikkel 16 eller begrensning av behandlingen etter artikkel 18, gir feil resultat. Løsning: vurder nøye hva man ønsker å oppnå; sletting fjerner opplysningene, retting endrer feilaktige opplysninger, og begrensning stopper bruken uten å slette.

Feil 4 — Begjæringen rettes til feil mottaker. Å sende begjæringen til feil avdeling eller feil virksomhet medfører at fristen ikke begynner å løpe. Løsning: finn riktig kontaktadresse for personvernhenvendelser i virksomhetens personvernerklæring; begjæringen bør sendes til e-postadressen for personvernspørsmål.

Feil 5 — Manglende dokumentasjon av avsendingen. Å sende begjæringen uten notoritet gjør det vanskelig å dokumentere at fristen er oversittet. Løsning: send begjæringen på en måte som gir notoritet, for eksempel rekommandert post eller e-post med kvittering, og ta vare på en kopi.

Feil 6 — Manglende oppfølging ved avslag. Å akseptere et ubegrunnet avslag uten å klage, gjør at man ikke får håndhevet sletteretten. Løsning: dersom avslaget mangler begrunnelse eller begrunnelsen ikke er overbevisende, send en ny henvendelse og klag deretter til Datatilsynet etter personvernforordningen (GDPR) artikkel 77.

Feil 7 — Ikke be om underretning av mottakere. En begjæring som ikke ber om at mottakere underrettes etter personvernforordningen (GDPR) artikkel 17 nr. 2, risikerer at opplysningene forblir hos tredjeparter. Løsning: be eksplisitt om at behandlingsansvarlig underretter alle mottakere og informerer om hvem som er underrettet etter artikkel 19.