Allerede i dag, setter personopplysningsloven begrensninger for når man kan behandle personopplysninger og hvor lenge disse kan lagres. Personopplysninger kan bare behandles dersom den registrerte personen har samtykket, det er fastsatt i lov at det er adgang til slik behandling eller behandlingen er nødvendig for eksempelvis å oppfylle en avtale med den registrerte.

Når vilkåret for å behandle personopplysningene er bortfalt, skal personopplysningene slettes, med mindre det foreligger en lovpålagt arkiveringsplikt. Det er mange som ikke er klar over at bedrifter allerede i dag har en plikt til å slette personopplysninger fortløpende.

Denne slettingsplikten blir videreført i det nye regelverket. Videre, blir det innført en plikt til å «treffe rimelige tiltak» for å underrette andre som behandler personopplysningene om at den registrerte har anmodet om sletting. I tillegg, skal enhver mottaker som har fått utlevert personopplysninger underrettes, med mindre dette viser seg å være «umulig eller innebærer en uforholdsmessig stor innsats».

Dersom en person anmoder om å bli slettet, skal den som behandler/sletter personopplysningene informere om de tiltak som er gjort «uten ugrunnet opphold og senest én måned etter mottak av anmodningen». Hvis personopplysningene ikke blir slettet, skal personen informeres om årsaken til dette, og om muligheten for å klage til tilsynsmyndighet og for rettslig prøving.

«Retten til å bli glemt» innebærer at dersom en kunde, potensiell arbeidstaker eller annen som har gitt bedriften personopplysninger, ber om å bli «slettet», må man sørge for at alle personopplysninger om vedkommende slettes i sine egne systemer. Videre, må man som hovedregel kontakte alle andre man har videreformidlet personopplysningene til, eksempelvis regnskapsfører, revisor e.l.

I denne sammenheng, er det viktig å være oppmerksom på hvor omfattende begrepet «personopplysning» er. Dette er definert som «enhver opplysning om en identifisert eller identifiserbar fysisk person». Dette innebærer at eksempelvis e-postadresser, telefonnummer og IP-adresser er omfattet av regelverket.

Reglene er i endring og i løpet av de neste årene vil man erfare hvor langt grensene for behandling og oppbevaring av personopplysninger kan strekkes. Allerede nå, kan brudd på reglene føre til erstatningsplikt og etter lovens ikrafttredelse kan det ilegges overtredelsesgebyr av vesentlig størrelse. Det er således grunn til å gjennomgå egne rutiner så fort som mulig og i god tid før 25. mai i år.

 

Aktuelt

  • Demens som grunnlag for ugyldige testamentariske disposisjoner

    • 29. mars 2019

    I enkelte skifteoppgjør hvor det foreligger testament fra avdøde dukker det opp spørsmål knyttet til om avdøde var ved «sine fulle fem» ved opprettelse av testamentet. Særlig aktuelt er spørsmål om testator var dement på tidspunkt for opprettelse av testament.

  • Forslag til ny arvelov:

    • 29. mars 2019

    Regjeringen foreslår at pliktdelsarvens beløpsbegrensning nedjusteres

  • Foreldelse av fordringer – fristens utgangspunkt

    • 5. mars 2019

    Den alminnelige foreldelsesfristen er 3 år. Når denne fristen er ute, kan man ikke kreve betaling for sine fordringer. Et praktisk spørsmål er imidlertid når foreldelsesfristen begynner å løpe.