<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">
Hoppe til hovedinnhold
Norges skatteblogg

Norges skatteblogg – om skatter, avgifter
   og forretningsjus

Norges skatteblogg - om skatter, avgifter og forretningsjus

Nye personvernregler - retten til innsyn

Av Audur A. Olafsdottir , 27. mars 2019

EU’s nye personvernregler ble innført som norsk lov i 2018 og de registrerte skal nå ha fått bedre kontroll over sine personopplysninger og hvordan de behandles. En viktig del av nye personvernrettigheter er retten til innsyn. Men hva innebærer den retten i praksis og hva må virksomheter tenke på når de behandler innsynsbegjæringer?

 Som min kollega Henning Gravklev skrev i sitt blogginnlegg «Personvernforordningen og hvitvaskingsloven. Godzilla vs. King Kong?» må du ha hatt et friår for å bo sammen med en isolert stamme i det indre av Brasil eller tilbrakt et år på en forskningsstasjon i Antarktis hvis du ikke har fått med deg den nye personvernforordningen (GDPR) og kravene som settes til etterlevelse.

I media har imidlertid fokuset vært på nye sanksjonsmuligheter og mye har vært skrevet om de strenge kravene som innføres. I noen tilfeller er den oppfatningen riktig og det nye regelverket vil kreve en del av de behandlingsansvarlige.

Det som derimot ofte får mindre oppmerksomhet er det faktum at den nye personvernforordningen innfører noen særdeles viktige bestemmelser som har som formål å styrke fysiske personers beskyttelse og vern i forbindelse med behandling av personopplysninger.

Bestemmelsene vi skal se på i dag er nedlagt for å gi de registrerte bedre kontroll over sine personopplysninger og samtidig øke gjennomsiktighet ved behandling av personopplysninger. Vi skal i denne posten se på hva retten til innsyn innebærer og hvordan kravene i forordningen kan, på en effektiv og god måte, etterleves.

Vi har i tillegg laget en overordnet sjekkliste som beskriver hva din virksomhet må passe på når innsynsbegjæringer behandles.

Hvilke rolle har retten til innsyn?

Retten til innsyn er beskrevet i forordningens artikkel 15 og beskriver en todelt rettighet; rett til å få behandlingsansvarliges bekreftelse på om personopplysninger behandles, og i så tilfelle, rett til innsyn i disse personopplysningene.

Retten til innsyn har en viktig rolle i nytt personvernregelverk. I tillegg til å gi den registrerte rettigheter etter bestemmelsens ordlyd gir den også både grunnlag for de registrerte å utøve andre rettigheter de har, som for eksempel retten til å bli glemt og retten til dataportabilitet. Brudd på innsynsretten kan videre medføre konsekvenser i form av ileggelse av bøter for både behandlingsansvarlige og databehandlere.

Hva innebærer retten til innsyn og hvordan skal kravene etterleves?

Det klassiske eksempelet på en innsynsbegjæring vil være innsyn i personopplysninger som en nettbutikk lagrer. Det kan være informasjon om den registrertes epost, kjøpshistorikk, adresse, betalingsmetode osv. Disse opplysningene er som regel behandlet og lagret i virksomhetens IT-systemer. Men det finnes også andre form av personopplysninger den registrerte kan kreve innsyn i, for eksempel overvåkningsbilder eller videoer fra butikker.

I følge forordningen har den registrerte rett til å få informasjon om:

  • Hva som er formålet med behandlingen

  • Hvilke kategorier av personopplysninger behandles

  • Hvem som mottar personopplysningene?

    Her er det særlig viktig å opplyse om eventuelle mottakere i tredjeland eller internasjonale organisasjoner. Ikke alle virksomheter har et bevist forhold til hvor deres databehandlere og i noen tilfeller underleverandører lagrer data. Det er også viktig å være bevist på om de ansatte eller databehandlers ansatte som har tilgang til dataene befinner seg innen EU/EØS eller i et tredjeland. Det vil være en del av informasjonen de registrerte har rett til å motta. I tilfeller hvor data behandles utenfor EU/EØS må det også informeres om hvilke garantier er på plass for personvernet.

  • Hvor lenge personopplysningene blir lagret

  • Dersom personopplysningene ikke er samlet inn fra den registrerte, har vedkommende rett til å få all tilgjengelig informasjon om hvor personopplysningene stammer fra.

  • Om virksomheten tar automatiserte avgjørelser og i så tilfelle på hvilken bakgrunn, hvilke logikk ligger bak samt om betydningen og de forventede konsekvenser for den registrerte.

Når må behandlingsansvarlig overlevere omsøkt informasjon?

De registrerte har ifølge forordningen rett på innsyn uten forsinkelse og senest innen 30 dager fra innsynsbegjæringen ble mottatt. Ved behov finnes det muligheter for å få utsatt leveringsfristen, da med hensyn til antall begjæringer og eventuelt begjæringens kompleksitet. Det er dog slik i så tilfelle at de registrerte må informeres og forlengelsen av fristen må begrunnes.

Hvordan kan virksomheten overlevere informasjon?

Forordningens hovedregel er at informasjonen skal overleveres skriftlig. Overlevering kan skjeelektronisk hvis det er hensiktsmessig og informasjon kan utleveres muntlig så lenge som den registrertes identitet kan verifiseres.

Informasjonen skal fremlegges på en kortfattet, åpen, forståelig og lett tilgjengelig måte samtidig som det brukes et klart og enkelt språk.

Ved elektronisk utsendelse skal man være forsiktig med hvilken oversendelsesmetode som brukes. Ukrypterte e-poster er som regel ikke en trygg overleveringsmetode. Det kan kreves å få opplysningene utlevert til en personlig lagringsenhet eller en betrodd tredjepart.

Opplysningene skal som hovedregel overleveres uten kostnad for den registrerte.

Hva bør virksomheter tenke på når innsynsbegjæringer behandles?

Se vår sjekkliste HER!

Vil du lese mer om personvern? Følg linkene til tidligere blogger om temaet HER og HER.

Interesseområder: Forretningsjus, Personvern

Dele artikkelen:

Audur A. Olafsdottir

Audur A. Olafsdottir
Jeg heter Audur A. Olafsdottir, og jeg jobber som advokatfullmektig/manager i Advokatfirmaet PwC i Stavanger. Her arbeider jeg primært med kontraktsrett, generelle forretningsjuridiske spørsmål, personvern og offentlig rett. Jeg har 7 års erfaring både fra det private næringslivet og det offentlige med utarbeidelse, gjennomgang og forhandlinger av kontrakter, med kompetanse på kontrakter både innenfor oljeservicenæringen og IT industrien. Jeg har tidligere jobbet med personvernrelaterte spørsmål innen offentlig sektor og har bistått med implementering, utarbeidelse av databehandleravtaler, gjennomføring av DPIA og generell etterlevelse av personvernregelverket. Dersom du har spørsmål eller kommentarer til noe av det jeg har skrevet her på bloggen, er du hjertelig velkommen til å ta kontakt!
audur.olafsdottir@pwc.com

Kommentere

Følg bloggen

Skribenter