Artikkel 15 GDPR
Rett til innsyn
Retten til innsyn innebærer at de registrerte har rett til innsyn i sine personopplysninger som behandles av et selskap. Artikkel 15 i GDPR regulerer denne rettigheten. Retten til tilgang er en av de åtte (8) grunnleggende rettighetene til registrerte under GDPR.
Kopi av den registrertes personopplysninger som behandles av selskapet
Hvis en registrert kontakter et selskap for å få vite hvilke personopplysninger om den registrerte som behandles av selskapet, skal selskapet gi den registrerte tilgang til informasjonen. Inkludert ved å gi en kopi av de aktuelle personopplysningene.
Selskapet er imidlertid ikke pålagt å utlevere dokumentene som inneholder de aktuelle personopplysningene. Det er ofte tilstrekkelig å gi et sammendrag av alle personopplysninger i dokumentet. Det er viktig at selskapet lager et sammendrag som er forståelig for den registrerte. Den skal utformes på en slik måte at den registrerte kan kontrollere lovligheten og nøyaktigheten av personopplysningene.
Gi en kopi av personopplysningene elektronisk
Vær oppmerksom på at hvis forespørselen mottas elektronisk, skal selskapet gi sammendraget eller kopien av personopplysningene elektronisk. Dette forutsetter at den registrerte ikke ber om tilgang i et annet format. Dersom det overføres elektronisk, skal det være i et alminnelig maskinlesbart format.
I tillegg til en kopi av personopplysningene som behandles, må selskapet også gi visse opplysninger om behandlingen.
Opplysninger som de registrerte har rett til innsyn i i henhold til retten til innsyn
- Formålene med behandlingen.
- Kategoriene av personopplysninger som behandles av foretaket.
- Hvis selskapet overfører personopplysningene til en annen part eller et tredjeland (land utenfor EU/EØS). Inkludert informasjon om hvem mottakerne er.
- De organisatoriske og tekniske sikkerhetstiltakene som foretaket iverksetter når det overfører personopplysninger til en tredjestat.
- Tidsrammen for behandlingen.
- Den registrertes rett til å få personopplysninger rettet eller slettet.
- Den registrerte har rett til å sende inn en klage til den nasjonale tilsynsmyndigheten hvis de mener at selskapet bryter med GDPR.
- Hvordan selskapet samlet inn personopplysningene hvis det ikke gjorde det gjennom den registrerte.
- Om foretaket bruker automatisert beslutningstaking.
- Hvilken innvirkning behandlingen kan ha på de registrerte.
Bedrifter som behandler personopplysninger og mottar en forespørsel om innsyn fra en registrert, skal behandle saken uten unødig forsinkelse. Selskapet må som hovedregel behandle saken senest innen én måned. Det er imidlertid mulig å forlenge fristen i visse tilfeller. I så fall kan fristen forlenges med høyst to måneder. Selskapet må imidlertid kunne rettferdiggjøre utvidelsen og informere den registrerte tilsvarende innen den første måneden.
Det er imidlertid svært få situasjoner som kan rettferdiggjøre en forlengelse. Anbefalingen er derfor alltid å forsøke å følge hovedregelen. Det vil si å håndtere saken innen en måned etter mottak av forespørselen.
Avslå forespørsel fra datasubjektet
Et selskap kan i visse unntakstilfeller avslå en forespørsel om tilgang til personopplysninger fra registrerte. Dette reguleres av artikkel 12 nr. 5 og artikkel 15 nr. 4 i GDPR. Dersom selskapet beslutter å avslå den registrertes anmodning, skal selskapet begrunne beslutningen og underrette den registrerte om dette. Dette må gjøres innen en måned etter mottak av forespørselen.
Eksempel på når et selskap kan nekte å oppfylle den registrertes rett
Utgjør en risiko
Hvor utlevering av personopplysningene kan utgjøre en risiko for den registrertes andre rettigheter og friheter. Eller hvor det kan skape en risiko eller ulempe for andre registrerte.
Tilbakevendende
Når en registrert ber om å få tilgang til de samme dataene regelmessig i en kort periode. Det samme gjelder dersom det er åpenbart uberettiget. Eller hvis forespørselen er urimelig og ubegrunnet. Vær oppmerksom på at selskapet må kunne bevise dette.
Beskytte nasjonale interesser
Hvorvidt personopplysningene som behandles av selskapet, kan utgjøre en risiko for den nasjonale interessen hvis en registrert har tilgang til dem.
Kostnad for de registrerte ved å utøve sin rett i henhold til GDPR
Som hovedregel bør det være gratis for de registrerte å få sin rett til innsyn respektert. Det finnes imidlertid unntak. For eksempel kan selskaper få lov til å kreve et gebyr hvis datasubjektet ber om flere kopier av de samme dataene. Vær oppmerksom på at gebyret må være rimelig for å dekke administrasjonskostnadene. Den kan med andre ord ikke være for høy.
Bevise identitet
Det kan være nødvendig for selskapet å først bevise identiteten til den registrerte som ber om tilgang til personopplysninger. Hvis selskapet avslører personopplysningene til feil person, er det et brudd på personopplysningssikkerheten. Dette er noe selskapene bør prøve å forhindre. Å bevise identiteten til en registrert betyr ikke nødvendigvis at selskapet alltid har rett til å be om en kopi av et ID-dokument. Det kan til og med bli forbudt. I stedet bør foretaket vurdere å stille andre typer kontrollspørsmål.
Flere rettigheter i GDPR
Rett til korrigering
Selskapene må sørge for at personopplysningene de behandler, er nøyaktige og fullstendige. På den annen side kan det være unøyaktige eller ufullstendige personopplysninger. Hvis selskapet finner at personopplysningene er feil, bør de rettes. I tillegg har de registrerte rett til å kontakte selskapet hvis de mener at personopplysningene er unøyaktige eller ufullstendige. I henhold til retten til korrigering i GDPR har en registrert rett til å be om korrigering eller fullføring av hans eller hennes personopplysninger. Vær oppmerksom på at selskapet skal informere den registrerte etter at de har korrigert personopplysningene.