NSD / Personverntjenester / Oppslagsverk for personvern i forskning / Rettighetene til de registrerte

Rettighetene til de registrerte

Så lenge deltakerne i forskningsprosjektet kan identifiseres i datamaterialet ditt, har de visse rettigheter. Les mer om disse rettighetene, hva institusjonen din er forpliktet til å gjøre, og hvilke eventuelle unntak som kan gjøres.

De registrertes rettigheter

Så lenge deltakerne kan identifiseres i datamaterialet, har de rett til å:

  • motta informasjon om behandlingen
  • be om innsyn i hvilke personopplysninger som er registrert om dem,
  • få sine opplysninger rettet
  • få sine opplysninger slettet
  • be om begrensning
  • få utlevert dataene (dataportabilitet) (hvis prosjektet er samtykkebasert)
  • protestere mot behandlingen
  • sende en klage angående behandlingen av personopplysninger til Datatilsynet

Nedenfor går vi nærmere gjennom hva de ulike rettighetene innebærer, samt noen av de vanligste unntakene fra rettighetene.

Rett til informasjon

Retten til informasjon er en grunnleggende rettighet i personvernlovverket, og skal sikre at personopplysninger blir behandlet på en åpen måte. Dette innebærer at deltakerne må få vite hvilke opplysninger som behandles om dem, formålet med behandlingen, hvem som vil ha tilgang til opplysninger, og hvor lenge.

Her kan du lese mer om hva du må informere om.

Lovverket stiller krav til hvordan informasjonen skal gis, når den skal gis, og hva du må informere om.

Informasjonen skal i hovedsak gis skriftlig eller elektronisk. Kun i spesielle tilfeller kan informasjon gis muntlig.

Informasjonen skal være kortfattet, åpen, lett forståelig og presentert på en lett tilgjengelig måte. Språket skal være klart og enkelt, og tilpasset målgruppen du skal forske på.

Retten til informasjon gjelder både når opplysningene hentes fra deltakeren selv og hvis du får opplysningene fra andre kilder (for eksempel fra register eller gjennom tredjepersoner). Retten til informasjon gjelder også uavhengig av om du skal innhente samtykke eller ikke.

Rett til innsyn

Retten til innsyn innebærer at deltakerne har rett til å få vite om det behandles personopplysninger om dem, og i så tilfelle få innsyn i hvilke personopplysninger som behandles om dem.

Retten til innsyn innebærer også retten til å få en kopi av alle personopplysningene som er lagret om dem. Kopien skal utleveres på samme måte som henvendelsen om innsyn ble sendt. Hvis henvendelsen ble sendt elektronisk, skal kopien også være elektronisk og i et vanlig filformat.

Rett til retting

Hvis deltakeren mener at du behandler personopplysninger om dem som ikke er riktige, kan de be om at opplysningene rettes.

Hvis det ikke er praktisk mulig å rette opplysningene, eller hvis deltakeren mener at opplysningene gir feil inntrykk selv om de er riktige, kan dette rettes ved at du innhenter supplerende informasjon.

Rett til sletting – retten til å bli glemt

Deltakerne har rett til å få sine personopplysninger slettet dersom de ber om det. Retten til sletting gjelder så lenge

  • personopplysningene ikke lenger er nødvendige for formålet
  • deltakeren trekker tilbake sitt samtykket (hvis samtykkebasert)
  • deltakeren protesterer mot behandlingen (hvis ikke samtykkebasert)
  • opplysningene har blitt behandlet ulovlig

Rett til begrensning

Retten til begrensning handler om at behandlingen av personopplysninger «fryses» i en periode. I denne perioden skal opplysningene kun lagres, og kan ikke brukes til noe uten at deltakeren samtykker til det.

Retten til begrensning gjelder når deltakeren

  • har gitt beskjed om at opplysningene som behandles om dem er feilaktige. Mens du kontrollerer opplysningene, kan behandlingen begrenses i en periode
  • deltakeren har brukt sin rett til å protestere, og du vurderer om protesten kan etterfølges
  • du ikke lenger har behov for å behandle opplysningene, men deltakeren har behov for dem i forbindelse med et rettskrav

Du må alltid gi beskjed til deltakeren når begrensningen oppheves.

Rett til å protestere

Hvis du behandler personopplysninger uten at det er innhentet samtykke, kan deltakeren protestere mot dette.

En protest innebærer at personopplysningene skal slettes.

Rett til dataportabilitet

Retten til dataportabilitet innebærer at deltakeren skal få utlevert sine opplysninger slik at de kan gjenbrukes på tvers av ulike systemer og tjenester. Opplysningene skal da utleveres i et maskinlesbart og vanlig brukt filformat.

Retten til dataportabilitet gjelder kun for opplysninger du har innhentet fra deltakeren selv. Retten gjelder også kun i de tilfeller behandlingen er basert på deltakeren sitt samtykke.

Institusjonens plikter

Institusjonen din har plikt til å legge til rette for at deltakerne i ditt prosjekt har mulighet til å få oppfylt rettighetene sine på en enkel måte. Hvis en deltaker tar kontakt angående sine rettigheter, har dere plikt til å svare innen 30 dager.

Unntak fra de registrertes rettigheter

Det finnes en rekke begrensninger og unntak fra rettighetene i lovverket, som i spesielle tilfeller kan være nødvendige å bruke. Nedenfor finner du noen av de vanligste unntaksbestemmelsene som kan brukes i forskning.

Unntak fra retten til informasjon

I hovedsak vil det kun være aktuelt å unnta fra informasjon hvis opplysningene ikke innhentes fra den registrerte selv, for eksempel ved registerstudier, internettforskning eller du får informasjonen via noen andre (tredjepersonopplysninger).

Den vanligste unntaksbestemmelsen er at det krever en uforholdsmessig stor innsats å gi informasjon, og du må da begrunne at innsatsen som kreves overstiger nytten den enkelte vil ha av å motta informasjon. Dersom du ønsker fritak fra plikten til å informere, må du begrunne dette godt i meldeskjemaet.

Følgende punkter kan være aktuelle ved vurdering av unntak fra informasjon:

  • utvalgets størrelse (flere tusen personer)
  • om du har tilgang til direkte personidentifiserbare opplysninger
  • datamaterialets omfang og karakter (antall variabler/grad av sensitiv informasjon)
  • etiske betraktninger

Selv om du argumenterer godt for unntak fra informasjonsplikten, gjelder fortsatt kravet om å informere offentlig (kollektiv informasjon), og det er de samme innholdsmessige krav til informasjonen. Informasjonen bør offentliggjøres et sted der det er sannsynlig å nå de registrerte. Dette kan være på en nettside, i en avis, oppslagstavle eller lignende.

Unntak fra retten til innsyn

Noen ganger kan det være problematisk å gi deltakeren innsyn i hvilke opplysninger som er registrert om han eller henne. Det vanligste unntaket her vil være dersom innsynet kan medføre brudd på taushetsplikten ovenfor noen andre, eller dersom innsynet fra en deltaker vil gå utover rettighetene og frihetene til noen andre.

Andre unntaksbestemmelser kan være aktuelle i tilfeller der det kreves uforholdsmessig stor innsats å gi innsyn, eller hvis innsynsretten sannsynligvis vil gjøre det umulig eller i alvorlig grad hindrer formålet med prosjektet.

Unntak fra retten til sletting

Retten til sletting gjelder ikke i tilfeller der sletting sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at formålet med prosjektet ditt kan oppnås. Hvis du mener at det er nødvendig å unnta fra retten til sletting, må du argumentere godt for det i meldeskjema.

NB! Vær oppmerksom på at dersom prosjektet ditt er samtykkebasert, og samtykket trekkes tilbake, skal i utgangspunktet opplysningene slettes. Bytting av behandlingsgrunnlag vil stride mot prinsippene om åpenhet og rettferdighet som er viktige prinsipp i personvernlovverket, og er ikke anbefalt. I enkelte tilfeller kan bytte av behandlingsgrunnlag være et alvorlig lovbrudd.