Ved siden av retten til informasjon (omtalt over), vil de ha rett til innsyn, retting og sletting av egne personopplysninger. De har også rett til dataportabilitet (når samtykke utgjør rettslig grunnlag for behandlingen), eller rett til å protestere mot behandlingen (når behandlingen har annet rettslig grunnlag). Alle registrerte har i tillegg rett til å kreve begrensning av behandlingen, og rett til vern mot automatiserte avgjørelser (sistnevnte er lite aktuell i forskning/kvalitetssikring). Du kan lese mer om rettighetene i Normens veileder for rettigheter ved behandling av helse og personopplysninger.
Prosjektet må tilrettelegge for at den registrerte kan utøve disse rettighetene.
Retten til informasjon er omtalt i et eget kapittel (11) over, fordi du før oppstart av prosjektet må gjøre en konkret forhåndsvurdering av hvordan prosjektet kan innfri denne rettigheten, eventuelt om unntak gjør seg gjeldende. En slik generell forhåndsvurdering kan du vanskelig gjøre for de øvrige personvernrettighetene.
Den konkrete vurderingen av om rettighetene skal innfris eller om unntak gjelder, må du – i samråd med institusjonen din – gjøre hvis en registrert tar kontakt og ønsker å utøve rettighetene.
Det du må gjøre før oppstart av prosjektet, er å organisere prosjektet slik at de registrerte kan utøve rettighetene sine.
For det første er det viktig at du kjenner til følgende:
- Rettighetene gjelder så lenge de registrerte kan identifiseres i datamaterialet.
- Hovedregelen er at rettighetene gjelder. Loven åpner for unntak fra rettighetene i enkelte situasjoner, men avslag må ikke gis uten begrunnelse og lovhjemmel.
- Innsyn må kun gis til den som personopplysningene gjelder, ikke til andre. I noen tilfeller kan det være vanskelig å vurdere hvem som har rett til innsyn i hvilke opplysninger. Det vil f.eks. gjelde prosjekter som behandler personopplysninger om deltager/tredjeperson, og prosjekter der barn deltar og foreldre forvalter personvernrettighetene på deres vegne.
- Feilvurdering av rettigheter kan føre til ulovlig behandling. Rådfør deg med din institusjon, særlig før du gir innsyn eller avslag.
- Institusjonen din har plikt til å vurdere om rettighetene skal/kan innfris, og svare den registrerte innen en måned.
- Du bør før oppstart av prosjektet ha gjort deg kjent med hva hver rettighet innebærer. Vi anbefaler derfor at du leser om rettighetene i Normens faktaark.
- Du bør også ha kartlagt hvilke rettigheter som i utgangspunktet gjelder i ditt prosjekt (avhengig av behandlingsgrunnlag), og i hvilke situasjoner unntak fra rettighetene kan gjøre seg gjeldende. Denne kartleggingen er i noen tilfeller nødvendig for å kunne gi rett informasjon til de registrerte, bl.a. om hvem som har innsynsrett.
For det andre må prosjektet ha på plass en infrastruktur som gjør at det mulig for de registrerte å ta kontakt og få behandlet sin henvendelse på rett måte:
- Når du informerer om prosjektet (individuelt eller kollektivt), må den registrerte få kontaktinformasjon til prosjektansvarlige og personvernombud, slik at de vet hvor de kan henvende seg for å utøve rettighetene.
- Data bør lagres slik at prosjektet lett kan gjenfinne opplysningene om den registrerte (f.eks. via en koblingsnøkkel som prosjektet har – eller kan få – tilgang til). Vær likevel oppmerksom på at prosjektet ikke skal lagre flere personopplysninger enn nødvendig for formålet, bare for å kunne innfri rettighetene.
- Du og andre kontaktpersoner (ved egen eller samarbeidende institusjoner) må vite hva dere skal gjøre hvis registrerte henvender seg, slik at de får rett svar innen tidsfristen.
- Institusjonen din må ha kompetanse om reglene som gjelder for de registrertes rettigheter, slik at dere gjør riktige vurderinger og oppfyller rettighetene når de gjelder, og unntar fra rettighetene når det er lovlig grunnlag for det.