Hvordan demonstrere samsvar med GDPR artikkel 17

Artikkel 17 omhandler en av de viktigste aspektene ved EU og Storbritannia GDPR lov – en registrerts «rett til å bli glemt», også skrevet som «retten til sletting».

Artikkel 17 lister opp flere årsaker til hvorfor en registrert kan ønske å bli glemt, sammen med en organisasjons plikt til å informere andre behandlingsansvarlige som også kan behandle en persons data i samsvar med egen drift.

GDPR artikkel 17 juridisk tekst

EU GDPR-versjon

Artikkel 17 – Rett til sletting ('rett til å bli glemt')

1. Den registrerte skal ha rett til å få slettet personopplysninger om ham eller henne fra behandlingsansvarlig uten ugrunnet opphold, og behandlingsansvarlig skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom en av følgende grunner gjør seg gjeldende:
• personopplysningene er ikke lenger nødvendige i forhold til formålene de ble samlet inn eller på annen måte behandlet for;
• den registrerte trekker tilbake samtykket som behandlingen er basert på i henhold til punkt (a) i artikkel 6 nr. 1, eller nr. a) i artikkel 9 nr. 2, og der det ikke er noen annen juridisk grunn for behandlingen;
• den registrerte motsetter seg behandlingen i henhold til artikkel 21 nr. 1 og det er ingen overordnet legitime grunner for behandlingen, eller den registrerte motsetter seg behandlingen i henhold til artikkel 21 nr. 2;
• personopplysningene er ulovlig behandlet;
• personopplysningene må slettes for å overholde en juridisk forpliktelse i unions- eller medlemsstatslovgivningen som den behandlingsansvarlige er underlagt;
• personopplysningene er samlet inn i forbindelse med tilbudet om informasjonssamfunnstjenester nevnt i artikkel 8 nr. 1.
2. Der den behandlingsansvarlige har offentliggjort personopplysningene og er forpliktet i henhold til nr. 1 til å slette personopplysningene, skal den behandlingsansvarlige, under hensyntagen til tilgjengelig teknologi og kostnadene ved implementering, treffe rimelige skritt, inkludert tekniske tiltak, for å informere behandlingsansvarlige som er behandling av personopplysningene som den registrerte har bedt om sletting av slike kontroller av eventuelle lenker til, eller kopiering eller replikering av, disse personopplysningene.
3. Punkt 1 og 2 gjelder ikke i den grad behandlingen er nødvendig:
• for å utøve retten til ytrings- og informasjonsfrihet;
• for overholdelse av en juridisk forpliktelse som krever behandling i henhold til unions- eller medlemsstatslovgivningen som den behandlingsansvarlige er underlagt, eller for utførelse av en oppgave utført i allmennhetens interesse eller ved utøvelse av offentlig myndighet som den behandlingsansvarlige har;
• av hensyn til offentlig interesse på folkehelseområdet i samsvar med bokstav h) og i) i artikkel 9 nr. 2 samt artikkel 9 nr. 3;
• for arkiveringsformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål i samsvar med artikkel 89 nr. 1 i den utstrekning retten nevnt i nr. 1 er egnet til å umuliggjøre eller alvorlig svekke oppnåelsen av målene til den. behandling; eller
• for etablering, utøvelse eller forsvar av rettskrav.

UK GDPR-versjon

Artikkel 17 – Rett til sletting ('rett til å bli glemt')

1. Den registrerte skal ha rett til å få slettet personopplysninger om ham eller henne fra behandlingsansvarlig uten ugrunnet opphold, og behandlingsansvarlig skal ha plikt til å slette personopplysninger uten ugrunnet opphold dersom en av følgende grunner gjør seg gjeldende:
• personopplysningene er ikke lenger nødvendige i forhold til formålene de ble samlet inn eller på annen måte behandlet for;
• den registrerte trekker tilbake samtykket som behandlingen er basert på i henhold til punkt (a) i artikkel 6 nr. 1, eller nr. a) i artikkel 9 nr. 2, og der det ikke er noen annen juridisk grunn for behandlingen;
• den registrerte motsetter seg behandlingen i henhold til artikkel 21 nr. 1 og det er ingen overordnet legitime grunner for behandlingen, eller den registrerte motsetter seg behandlingen i henhold til artikkel 21 nr. 2;
• personopplysningene er ulovlig behandlet;
• personopplysningene må slettes for å overholde en juridisk forpliktelse i henhold til nasjonal lovgivning, som den behandlingsansvarlige er underlagt;
• personopplysningene er samlet inn i forbindelse med tilbudet om informasjonssamfunnstjenester nevnt i artikkel 8 nr. 1.
2. Der den behandlingsansvarlige har offentliggjort personopplysningene og er forpliktet i henhold til nr. 1 til å slette personopplysningene, skal den behandlingsansvarlige, under hensyntagen til tilgjengelig teknologi og kostnadene ved implementering, treffe rimelige skritt, inkludert tekniske tiltak, for å informere behandlingsansvarlige som er behandling av personopplysningene som den registrerte har bedt om sletting av slike kontroller av eventuelle lenker til, eller kopiering eller replikering av, disse personopplysningene.
3. Punkt 1 og 2 gjelder ikke i den grad behandlingen er nødvendig:
• for å utøve retten til ytrings- og informasjonsfrihet;
• for overholdelse av en juridisk forpliktelse som krever behandling i henhold til nasjonal lovgivning eller for utførelse av en oppgave utført i allmennhetens interesse eller i utøvelse av offisiell myndighet tillagt den behandlingsansvarlige;
• av hensyn til offentlig interesse på folkehelseområdet i samsvar med bokstav h) og i) i artikkel 9 nr. 2 samt artikkel 9 nr. 3;
• for arkiveringsformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål eller statistiske formål i samsvar med artikkel 89 nr. 1 i den utstrekning retten nevnt i nr. 1 er egnet til å umuliggjøre eller alvorlig svekke oppnåelsen av målene til den. behandling; eller
• for etablering, utøvelse eller forsvar av rettskrav.