Registrering av personopplysninger krever samtykke fra den som registreres, eller at man har et rettslig grunnlag for å gjøre det. De som er registrert, har også rett til å bli slettet når forutsetningen for registreringen ikke lenger er til stede. I EUs personvernforordning GDPR omtales det som «retten til å bli glemt».
Noen offentlige virksomheter har rettslig grunnlag for registrering. Driver du i privat virksomhet, må dere normalt ha samtykke fra den enkelte. I personopplysningsloven er det klare vilkår for behandling av personopplysninger. I tillegg stilles krav til måten samtykke skal innhentes på. Det skal være et såkalt informert samtykke slik at hver enkelt har mulighet til å skjønne hva de samtykker til og konsekvensene av det.
Sletting og retting
Et informert samtykke betyr at både form og innhold i informasjon om hvordan dere behandler personopplysningene i din virksomhet - deriblant personvernerklæringen - må være lett tilgjengelig og forståelig for alle.
Uten det vil det være vanskelig for den registrerte å få oppfylt den viktige rettigheten til korrigering og sletting av personopplysninger om seg selv. Det vil si igjen å bli anonym både for den som har foretatt registreringen og andre med tilgang til opplysningene. Husk at kravet om sletting betyr at du må ha etablert sikre rutiner for makulering av personopplysninger på papir. 25. mai 2018 blir GDPR norsk lov. Da må du ha rutinene for retting og sletting på plass.
Slike rutiner er bare en del av det du må sørge for at virksomheten din har utarbeidet før ny personopplysningslov trer i kraft. Derfor haster det å komme i gang med arbeidet.
Vi har laget en gratis sjekkliste som kan være nyttig for deg i dette arbeidet. Last den gjerne ned.