GDPR innsynsretten

Med GDPR har den registrerte fått utvidede rettigheter. Hvordan skal din virksomhet behandle en begjæring om innsyn?

Den registrerte er den fysiske personen som personopplysningene knytter seg til. Den registrertes innsynsrett er videreført fra den tidligere personvernlovgivningen, og fremgår nå av GDPR artikkel 15.

Formålet med innsynsretten

Formålet med innsynsretten er at den registrerte skal kunne ivareta sitt eget personvern ved å få informasjon om opplysningene som lagres om han eller henne.

Innsyn kan avdekke forhold i uoverensstemmelse med GDPR. Innsynsretten har også en side til retten til sletting og retting, ved at den registrerte gjøres kjent med eventuelle feilaktige eller overflødige opplysninger.

Det er ikke alle innsynsbegjæringer som fører til at det må gis innsyn. GDPR gir nemlig en rett til å få bekreftet eller avkreftet om virksomheten behandler personopplysninger om vedkommende. Dersom dette ikke er tilfelle vil det være tilstrekkelig med en avkreftelse. I tillegg finnes det unntak fra retten til innsyn, dette omtales nedenfor.

Last ned gratis sjekkliste: Sjekkliste ved begjæring om innsyn

Hva innebærer innsynsretten for din virksomhet?

Innsynsretten innebærer at alle personer din virksomhet har personopplysninger om, kan rette en begjæring om innsyn til virksomheten. Den registrerte har en rett til innsyn i disse personopplysningene. Det er derfor viktig at din virksomhet har god oversikt og tilstrekkelige rutiner for å kunne oppfylle sine forpliktelser etter GDPR.

Den registrerte kan kreve å få alle opplysninger virksomheten har lagret om vedkommende. Dette kan være alt fra ordrehistorikk, overvåkningsbilder, besøkshistorikk og betalingsmetoder. Disse opplysningene lagres ofte på forskjellige systemer, og noen benytter seg også av databehandlere.

Innsynsbegjæringen

Utgangspunktet er at begjæringen skal være skriftlig. Dette kan blant annet skje på e-post, i skriftlig brev, via virksomhetens nettsider eller til og med over sosiale medier. Dersom den registrerte sender innsynsbegjæring elektronisk, kan også innsynet utføres elektronisk. Dette gjelder likevel ikke dersom den registrerte ber om å få kopien på en annen måte. Det er i utgangspunktet ingenting i veien for å ta imot en muntlig innsynsbegjæring.

Innsynsbegjæringen skal leveres til behandlingsansvarlig. Dersom databehandler mottar en innsynsbegjæring skal den registrerte henvises til riktig behandlingsansvarlig.

Det stilles ikke noe krav til at det må spesifiseres hva slags type personopplysninger som ønskes utlevert. Den registrerte kan kreve alle opplysningene som behandles, eller kategorier av personopplysninger. Sistnevnte er særlig praktisk hvor det er store mengder opplysninger som lagres. Deretter kan den registrerte be om detaljert innsyn i de kategoriene som er av interesse.

Dersom virksomheten mottar en begjæring om innsyn uten at det er spesifisert hva slags opplysninger det ønskes innsyn i, er det ingenting i veien for at virksomheten tar kontakt for å avklare hva slags personopplysninger forespørselen retter seg mot. Dette kan være hensiktsmessig både for den registrerte og virksomheten. Dersom virksomheten ikke får svar må det likevel gis innsyn i alle personopplysninger innen fristen.

Les også: GDPR: Hvordan påvirker de nye personvernreglene din virksomhet?

Identifikasjon

Det er viktig at virksomheten behandler personopplysningene på en forsvarlig måte. Dette innebærer at det ikke skal gis innsyn før den registrerte har bekreftet sin identitet. Dette er for å unngå at personopplysninger havner på avveie. Et typisk eksempel som ikke vil tilfredsstille kravet til identifikasjon vil være et kontaktskjema på virksomhetens nettside. Her kan alle skrive inn navn og e-postadresse.

Det er flere måter å foreta identitetssjekken på. Dersom kontaktskjemaet som nevnt overfor krever elektronisk signatur, for eksempel BankID, vil dette være tilstrekkelig. Andre metoder vil være fysisk signert dokument, kopi av gyldig legitimasjon eller sikkerhetsspørsmål.

Krav som stilles til din virksomhet

Din virksomhet må sammenfatte alle personopplysningene om vedkommende, med eller uten hjelp av databehandler. Innsynsretten knytter seg til å se opplysningene, altså å se den lagrede ordrehistorikk eller betalingsmetode. Det er ikke tilstrekkelig med en gjengivelse av opplysningene, det er de faktiske opplysningene som det skal gis innsyn i. Innsynsretten gir likevel ikke tilgang til saksdokumenter. Den registrerte har derfor ikke tilgang til selve dokumentet som personopplysningene er lagret i, men kun opplysningene i seg selv.

Les også: GDPR – Trenger din virksomhet personvernombud?

Rett på informasjon

I GDPR suppleres innsynsretten med en rett på informasjon. I tillegg til innsynet, skal virksomheten gi informasjon som i stor grad sammenfaller med informasjonen som ble gitt når innsamlingen begynte. Herunder formålet med behandlingen og kontaktinformasjon til behandlingsansvarlig. Her må det være samsvar med GDPR og mellom personopplysningene og de opplysningene virksomheten opplyste om på et tidligere tidspunkt.

Dersom innsynet viser at det behandles personopplysninger som ligger utenfor det formålet som det opprinnelig ble opplyst om, vil dette innebære et brudd på personvernreglene.

Les også: GDPR – strengere krav til samtykke

Gratis innsyn

Den registrerte har krav på gratis innsyn. Utgangspunktet er derfor at virksomheten ikke kan kreve dekket arbeidet som en innsynsbegjæring medfører. Dersom vedkommende vil ha mer enn en kopi, kan virksomheten kreve et rimelig gebyr basert på administrasjonskostnadene. For ikke å bruke unødvendig mye ressurser på innsynsbegjæringer er det derfor viktig at virksomheten har gode rutiner, samt velregulerte databehandleravtaler med eventuelle databehandlere.

Innsynet

Etter at alle personopplysningene som det skal gis innsyn i er klargjort, skal disse gjøres tilgjengelige for den registrerte. Utgangspunktet er at dette skal skje skriftlig. Det stilles krav til språket som benyttes. Det skal være enkelt og forståelig, så enhver kan ivareta sine rettigheten uten vanskeligheter.

Innsynet må gis på en sikker måte. Dersom innsynet gis over e-post vil det være tilstrekkelig med kryptert e-post eller annen sikker metode.

Det kan lønne seg å ha portalløsninger: Et system med innlogging for den registrerte, for eksempel «min side» med informasjon om hva som er lagret. Dette vil være mindre ressurskrevende på sikt, og gjøre at den registrerte enkelt kan få innsyn i personopplysningene.

Last ned gratis guide: GDPR og personvern – en guide for virksomheter som behandler personopplysninger 

Frist

Det skal gis innsyn i personopplysninger uten ugrunnet opphold. Dette skal skje senest innen en måned, og fristen starter å løpe fra mottakelse av gyldig forespørsel. Fristen kan unntaksvis forlenges, men dette vil sjeldent være aktuelt.

Unntak fra innsynsretten

Det finnes en rekke unntak fra innsynsretten. Mange av unntakshjemlene følger av GDPR artikkel 23. Her følger de mest relevante unntakene:

  • Dersom opplysningene er omfattet av taushetsplikt fastsatt ved lov
  • Dersom innsynsbegjæringen er overdrevet omfattende. Eventuelt kan virksomheten pålegge et gebyr
  • Dersom det er begrunnet i rikets interesser: den nasjonale sikkerhet, forsvaret eller den offentlige sikkerhet
  • Dersom tilbakeholdelse av opplysninger er påkrevd for å forebygge, etterforske, avsløre eller straffeforfølge straffbare forhold eller iverksettelse av strafferettslige sanksjoner eller brudd på yrkesetiske regler i lovregulerte yrker
  • For å beskytte rettsvesenets uavhengighet samt retterganger
  • For å verne den registrertes interesser eller andres rettigheter og friheter
  • For å sørge for håndheving av sivilrettslige krav

 Dersom vilkårene for å nekte innsyn er tilstede, må virksomheten informere den registrerte om dette. Dette skal skje skriftlig, innen utløpet av fristen og det skal informeres om unntakshjemmelen.

Hjelp med personvern?

Etter innsyn

For å ivareta virksomhetens egne interesser vil det være hensiktsmessige å lagre kommunikasjonen mellom databehandler og behandlingsansvarlig, og den registrerte og behandlingsansvarlig, samt den kopien som sendes til den registrerte. Dette vil kunne vise at virksomhetens fremgangsmåte har vært forsvarlig, samtidig som man kan finne grunnlag for forbedringer. For eksempel vil fremgangsmåten for å sikre identifikasjon være viktig for å kunne bevise at man hadde en forsvarlig metode, dersom det senere viser seg at opplysningene ble levert til noen andre.

Denne nye informasjonen vil utgjøre personopplysninger om den registrerte. Lagringen av disse personopplysningene må derfor skje etter samme regler som de opprinnelige personopplysningene. Ved ny begjæring om innsyn vil disse opplysningene derfor inngå i informasjonen som det må gis innsyn i.

Konsekvenser

Dersom man ikke etterlever reglene om innsyn, eller innsynet avdekker brudd på GDPR, vil dette kunne medføre bøter for behandlingsansvarlig og databehandler. I tillegg kan det blir aktuelt med et erstatningskrav fra den eller de registrerte som er berørt av avviket.

Last ned gratis sjekkliste: Begjæring om innsyn i personopplysninger