Kort svar
Rettigheter som retting, sletting og begrensning fungerer dårlig uten en konkret intern prosess som vet hvem som bestemmer, hva som skal kontrolleres og hvor endringene må gjøres.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke situasjoner som utløser retting, sletting eller begrensning, hvordan virksomheten finner alle relevante kopier og kilder og hvordan beslutningen dokumenteres og kommuniseres.
Når dette blir aktuelt
- når virksomheten får krav om sletting eller retting
- når opplysninger finnes i mange systemer og backupflater
- når ansatte er usikre på når noe skal slettes og når det må beholdes
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke situasjoner som utløser retting, sletting eller begrensning | avgjør hvilken vurdering som faktisk skal gjøres |
| Hvordan virksomheten finner alle relevante kopier og kilder | er viktig for å unngå halvveis oppfølging |
| Hvordan beslutningen dokumenteres og kommuniseres | reduserer risikoen for at den registrerte mister tillit eller klager |
Slik bør dere gå fram
- Lag en enkel beslutningsflyt for hvilke spørsmål som må avklares før tiltak gjennomføres.
- Kartlegg hvilke systemer, eksportflater og arkiver som typisk må sjekkes.
- Gjennomfør endringene konsekvent i relevante systemer eller dokumenter hvorfor noe må beholdes.
- Svar den registrerte tydelig og oppdater interne rutiner hvis saken avdekket svakheter.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- forespørsel fra registrert og intern vurdering av grunnlaget
- systemoversikt som viser hvor opplysningene behandles
- logg over hvilke endringer som er gjort eller avslått
- kommunikasjon til den registrerte om utfallet
Typiske feil
- virksomheten sletter i ett system og glemmer de andre
- rette- og sletterutiner er ikke koblet til faktisk datakart
- svarene blir så generelle at den registrerte ikke forstår hva som er gjort
Når bør dere få konkret hjelp?
Når virksomheten har mange systemer eller håndterer sensitive eller konfliktfylte saker, bør rutinene kvalitetssikres før neste rettighetskrav kommer.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på retting, sletting og begrensning i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
- Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
- Innsynsbegjæring fra kunde eller ansatt: hvordan svare?