Sletting av personopplysninger er et endelig tiltak som ikke kan omgjøres. Virksomhetens plikt til å slette personopplysninger, og unntakene fra plikten, er derfor grundig regulert i personvernlovgivningen.
Dette delkapittelet gir en beskrivelse av de tilfellene hvor virksomheten må slette opplysninger, unntakene og hvordan sletting skal gjennomføres.
Reglene som beskrives i dette delkapittelet ikke gjelder for helse- og personopplysninger i behandlingsrettede helseregistre.
Hvilke personopplysninger skal slettes?
Personvernforordningen definerer ulike situasjoner der virksomheten har en plikt til å slette personopplysninger. De mest aktuelle tilfellene for helse- og omsorgssektoren er:
Personopplysningene er ikke lenger nødvendig for formålet
Personopplysninger skal slettes hvis personopplysningene ikke lenger er nødvendig for formålene opplysningene ble samlet inn eller behandlet for.
Behandlingen av personopplysninger er basert på samtykke og samtykket trekkes tilbake
Personopplysninger skal også slettes hvis virksomheten har brukt samtykke som rettslig grunnlag for behandling av personopplysninger, og den registrerte trekker tilbake samtykket.
Der virksomheten har en rettslig plikt til oppbevaring, og virksomheten har glemt å definere dette som et behandlingsgrunnlag, vil virksomheten likevel ikke være forpliktet til å slette personopplysningene.
Personopplysningene har blitt behandlet ulovlig
Virksomheten er forpliktet til å slette personopplysninger som har blitt behandlet ulovlig. Behandling av personopplysninger er først og fremst ulovlig hvis virksomheten ikke har et rettslig behandlingsgrunnlag, men behandlingen kan også være ulovlig hvis den strider mot andre regler i personvernforordningen.
Personopplysningene må slettes for å oppfylle en rettslig forpliktelse
Når lov eller forskrift pålegger virksomheten å slette personopplysninger, så har virksomheten en plikt til å gjennomføre dette.
Hvilke personopplysninger er unntatt fra sletteplikten?
Personvernforordningen inneholder flere unntak fra plikten til å slette personopplysninger som er beskrevet over. Virksomheter i helse- og omsorgssektoren bør kjenne til at det blant annet gjøres unntak for følgende situasjoner:
Lagring er nødvendig for å oppfylle en rettslig forpliktelse, for å utføre en oppgave i allmennhetens interesse eller for å utøve offentlig myndighet
Virksomheten er ikke forpliktet til å slette personopplysninger når personopplysningene oppbevares for å oppfylle en rettslig plikt som virksomheten er underlagt. Med rettslig plikt menes plikt i lov eller forskrift.
Et eksempel kan være virksomhetens plikter til å bevare pasientjournaler etter pasientjournalloven og arkivlovgivningen eller oppbevaring av regnskapsopplysninger etter regnskapslovgivningen.
Siden bevaringspliktene er rettslige plikter, så gjelder ikke personvernforordningens regler om sletting etter ønske fra den registrerte. Sletting i behandlingsrettede helseregistre er underlagt egne regler i helselovgivningen. Se mer om dette kapittelet om retten til sletting i behandlingsrettede helseregistre
Lagring er nødvendig av hensyn til allmennhetens interesse på området folkehelse
Når lagring er nødvendig av hensyn til allmennhetens interesse på området folkehelse, er ikke virksomheten forpliktet til å slette personopplysningene.
Unntaket gjelder for eksempel når behandlingen av personopplysninger er nødvendig for å bekjempe en epidemi eller pandemi.
Lagring er nødvendig for arkivering i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål
Virksomheten skal ikke slette personopplysninger hvis de er nødvendig for arkivformål i allmenhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål. Unntaket gjelder så lenge sletting i alvorlig grad vil hindre at formålene nås.
Dette unntaket kan være aktuelt for helse- og personopplysninger som behandles i forskriftsregulerte helseregistre og helserelaterte forskningsprosjekter.
Lagring er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav
Virksomheten har heller ikke en plikt til å slette personopplysninger som det er nødvendig å bevare for å fastsette, gjøre gjeldende eller forsvare et rettskrav.
Hvordan skal sletting av personopplysninger skje?
Sletting innebærer at personopplysningene destrueres eller anonymiseres på en måte som ikke kan reverseres. Å gjøre personopplysninger mindre tilgjengelige, for eksempel gjennom sperring, regnes ikke som sletting.
Hvis virksomheten ikke har et system som legger opp til at den kan slette personopplysninger i systemet på egenhånd, må virksomheten pålegge systemleverandøren plikter som gjør at virksomheten kan håndtere registrertes forespørsler.
Sletting av personopplysninger kan være utfordrende for virksomheter. Virksomheter er avhengig av at systemene som brukes har en slettefunksjon, og det kan være tidkrevende og kostbart å opprette en slettefunksjon hvis systemer mangler dette.
I noen tilfeller kan oppretting av en slettefunksjon være praktisk umulig, slik at virksomhetens eneste alternativ vil være å anskaffe nye systemer.
En annen utfordring er sletting av personopplysninger i back up-filer. Det kan være utfordrende både å identifisere alle back up-versjoner av de aktuelle filene, samt å sikre systemstøtte.
Virksomheter som mangler støtte og funksjon som gjør det mulig å ivareta sletteplikter, bør vise at virksomheten har et bevisst forhold til dette. Virksomheten bør dokumentere hvilke vurderinger og eventuelle risikodempende tiltak som virksomheten har iverksatt.
Dette kan være skjuling, merking og begrensning av tilgang til personopplysninger som skulle vært slettet. Slike tiltak kan bedre personvernet, selv om de ikke er tilstrekkelige for å oppfylle en sletteplikt.
Når virksomheter behandler opplysninger for flere formål vil man f.eks. kunne flytte opplysningene til et nytt system og/eller begrense tilgangen slik at de kun kan behandles i tråd med behandlingsgrunnlaget og formålet som fortsatt er tilstede.
Plikt til å varsle mottakere når opplysninger slettes
Når personopplysninger slettes, skal virksomheten varsle tredjeparter som har fått utlevert personopplysninger. Mottakeren må vurdere om også denne har plikt til å slette personopplysningene. Varslingsplikten gjelder ikke når gjennomføring av varslingen vil være en uforholdsmessig anstrengelse eller umulig oppgave for virksomheten.
