Kort svar
Rettigheter som retting, sletting og begrensning fungerer dårlig uten en konkret intern prosess som vet hvem som bestemmer, hva som skal kontrolleres og hvor endringene må gjøres.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke situasjoner som utløser retting, sletting eller begrensning, hvordan virksomheten finner alle relevante kopier og kilder og hvordan beslutningen dokumenteres og kommuniseres.
Når dette blir aktuelt
- når virksomheten får krav om sletting eller retting
- når opplysninger finnes i mange systemer og backupflater
- når ansatte er usikre på når noe skal slettes og når det må beholdes
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke situasjoner som utløser retting, sletting eller begrensning | avgjør hvilken vurdering som faktisk skal gjøres |
| Hvordan virksomheten finner alle relevante kopier og kilder | er viktig for å unngå halvveis oppfølging |
| Hvordan beslutningen dokumenteres og kommuniseres | reduserer risikoen for at den registrerte mister tillit eller klager |
Slik bør dere gå fram
- Lag en enkel beslutningsflyt for hvilke spørsmål som må avklares før tiltak gjennomføres.
- Kartlegg hvilke systemer, eksportflater og arkiver som typisk må sjekkes.
- Gjennomfør endringene konsekvent i relevante systemer eller dokumenter hvorfor noe må beholdes.
- Svar den registrerte tydelig og oppdater interne rutiner hvis saken avdekket svakheter.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- forespørsel fra registrert og intern vurdering av grunnlaget
- systemoversikt som viser hvor opplysningene behandles
- logg over hvilke endringer som er gjort eller avslått
- kommunikasjon til den registrerte om utfallet
Typiske feil
- virksomheten sletter i ett system og glemmer de andre
- rette- og sletterutiner er ikke koblet til faktisk datakart
- svarene blir så generelle at den registrerte ikke forstår hva som er gjort
Når bør dere få konkret hjelp?
Når virksomheten har mange systemer eller håndterer sensitive eller konfliktfylte saker, bør rutinene kvalitetssikres før neste rettighetskrav kommer.
Relaterte guider
- Tilgangsstyring ved fratreden: hvordan sikre data når noen slutter?
- Privat bruk av arbeidsutstyr og innsyn fra arbeidsgiver: hva gjelder?
- Innsynsbegjæring fra kunde eller ansatt: hvordan svare?