Nederst i artikkelen har vi lagt et skjema som du kan bruke hvis du vil be om innsyn hos en virksomhet.
Dette kan du be om
Du kan be den som har samlet inn og bruker opplysninger om deg om å svare på disse spørsmålene:
-
Hvilke opplysninger om deg har virksomheten lagret?
Du kan be om å få en kopi av alle personopplysninger om deg som virksomheten har. Dette inkluderer også elektroniske spor, metadata og hvilke personprofiler du er tildelt.
Når du ber om innsyn elektronisk, for eksempel på e-post, skal kopien du mottar også være elektronisk og i et vanlig filformat.
-
Hvorfor behandles personopplysningene dine?
Du har også rett til å vite hvorfor de trenger personopplysningene dine. Dette er det samme som å spørre om hva formålet med å behandle personopplysningene dine er. Hvis virksomheten ikke har et formål, har de ikke lov til å behandle opplysningene dine.
-
Hvem har personopplysningene dine blitt utlevert til?
Her kan du få svar på om dine personopplysninger har blitt utlevert, eller om det vil skje i fremtiden. Du skal også få svar om hvem opplysningene har blitt utlevert til.
Hvis personopplysningene dine har blitt utlevert til virksomheter utenfor EU/EØS eller en internasjonal organisasjon, kan du også be om en forklaring på hvordan personvernet ditt blir ivaretatt.
Formelt sier vi at den norske virksomheten skal forklare deg "hvilke garantier som finnes for å ivareta personvernet ditt" når personopplysningene dine er sendt ut av EU/EØS.
-
Hvor lenge skal virksomheten lagre opplysningene?
Du skal få vite hvor lenge dine personopplysninger lagres. Hvis virksomheten ikke kan gi deg et bestemt tidsrom for lagringstid, skal de forklare deg hva som bestemmer hvor lang denne lagringstiden vil være.
-
Hvor har virksomheten hentet opplysningene fra?
Hvis ikke personopplysningene ble samlet inn direkte fra deg, skal virksomheten informere deg om hvor de hentet dine personopplysninger fra.
For eksempel kan det være at Lånekassen henter opplysninger om deg fra Folkeregisteret for å se om du skal få borteboerstipend, eller at Skatteetaten får opplysninger om deg fra arbeidsgiveren din for å regne ut hvor mye du skal betale i skatt.
-
Tar virksomheten automatiserte avgjørelser?
Et dataprogram kan ikke uten videre ta store og viktige avgjørelser om deg. Faktisk er det med noen unntak forbudt bruke algoritmer eller dataprogram til å ta avgjørelser om deg uten at et menneske er involvert på en meningsfull måte i prosessen.
Det betyr at hvis en virksomhet bruker dataprogrammer til å ta slike avgjørelser, må de forklare deg hvordan dataprogrammet kommer frem til resultatet. Sagt på en annen måte, virksomheten må kunne fortelle deg hvilken logikk som i så fall ligger bak avgjørelsen, og hvilke følger avgjørelsen kan ha for deg.
Hvorfor be om innsyn?
Mange tar kontakt med Datatilsynet fordi de har spørsmål om hvordan personopplysningene deres blir behandlet. Dette må virksomhetene selv svare på. Retten til innsyn er til for at du skal få svar på spørsmålene dine.
Ved å be om innsyn, kan du også oppdage feil i personopplysninger om deg selv, og i verste fall at virksomheten bryter med retten din til personvern. Innsyn er altså et redskap som gir deg mulighet til å selv følge med på hva som skjer med dine opplysninger.
Noen ganger kan det være overraskende å se hvor mange opplysninger en virksomhet har lagret om deg. Å ha innsikt i hvilke opplysninger de lagrer, setter deg i bedre stand til å ta informerte valg om hvilke tjenester du ønsker å bruke.
Vi skrev i 2018 rapporten "Hva vet de om deg?". Den viser hvilke personopplysninger fire vanlige, norske virksomheter har lagret
Innsyn skal være gratis
Det skal ikke koste noe å bruke innsynsretten. Det betyr at de som behandler personopplysninger om deg ikke kan ta seg betalt for å sende deg en kopi av personopplysningene dine.
Hvis du ber om mer enn én kopi av opplysningene, kan virksomheten likevel ta betaling i form av et rimelig administrasjonsgebyr. Hvor mye dette administrasjonsgebyret vil koste for deg, skal være basert på hvor mye det vil koste for virksomheten å gi deg flere kopier.
Du kan be om en ny, gratis kopi av personopplysningene hvis det har gått en stund siden sist du fikk innsyn og du mistenker at virksomheten nå behandler flere eller andre personopplysninger enn sist.
Noen ganger har du ikke krav på innsyn
Retten til innsyn er en rettighet som du i utgangspunktet har krav på, men det finnes noen situasjoner hvor en virksomhet kan nekte å gi deg innsyn i hvilke personopplysninger de behandler om deg. Noen av disse unntakene er særnorske, mens andre kommer fra EU-domstolen eller står i personvernforordningen og gjelder hele EU/EØS-området:
-
Den du har bedt om innsyn hos, er en privatperson.
Personvernregelverket gjelder først og fremst for virksomheter og ikke privatpersoner. Når en privatperson bruker personopplysninger om deg, for eksempel ved å ta bilde av deg, er det en privat setting. I slike situasjoner gjelder ikke personvernregelverket og du kan nektes innsyn.
Dersom personen bruker personopplysningene dine i en setting som ikke er privat, for eksempel hvis vedkommende publiserer bildene av deg på internett uten samtykke fra deg, kan du be om innsyn i hvilke personopplysninger om deg som er publisert.
-
Det er ikke tydelig at du er den du sier at du er.
Du kan bare få innsyn i personopplysninger om deg selv. Det betyr at virksomheten kan kreve at du identifiserer deg før du får innsyn. Dette er for å sikre at opplysningene leveres ut til riktig person.
-
Det å gi deg innsyn vil krenke frihetene og rettighetene til andre.
Du vil kunne nektes innsyn dersom det medfører at rettighetene til andre brytes. Dette betyr at hvis innsynet vil røpe personlige detaljer om andre, avsløre forretningshemmeligheter eller gi deg informasjon som er beskyttet av opphavsrett, vil du kunne nektes innsyn.
Dette betyr imidlertid ikke at du skal nektes innsyn i alle personopplysningene dine. Det betyr at den aktuelle informasjonen sladdes fra kopien du får med personopplysningene dine.
-
Du har bedt om innsyn i hvilke ansatte i virksomheten som har sett på personopplysningene dine.
Du har rett til innsyn i hvilke personopplysninger virksomheten behandler om deg. Du har derimot ikke nødvendigvis rett til å få innsyn i navnene til ansatte som har sett personopplysningene. Dette følger av en dom fra EU-domstolen (eur-lex.europa, engelsk). Virksomheten må vurdere dette konkret i hvert enkelt tilfelle.
NB: Dette gjelder ikke når du ber om innsyn i pasientjournalen din. Da har du også rett til å få innsyn i loggen, altså innsyn i navnet på de som har slått opp og sett på pasientjournalen din. På Helsenorge.no kan du lese mer om innsyn i pasientjournaler.
-
Du vil ha innsyn i personopplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser.
Dette er et særnorsk unntak fra innsynsretten. I Norge har vi nemlig regler som gjør at du ikke kan søke innsyn i opplysninger som har betydning for våre utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser.
-
Det å gi deg innsyn vil hindre politiets etterforskning eller oppklaring av en straffesak.
Dette er et unntak som skal sikre at politiet skal kunne jobbe uforstyrret med en straffesak. Der er imidlertid egne regler i straffeprosessloven og i politiregisterloven som skal ivareta rettighetene dine hvis du blir etterforsket av politiet.
-
Du har bedt om innsyn i personopplysninger som du av hensyn til din egen eller andres helse ikke bør få innsyn i.
Formelt sier vi at hvis det er "utilrådelig" for deg å få innsyn, eller dersom det er utilrådelig overfor personer som står deg nær, kan du nektes innsyn.
Det skal ganske mye til for at en virksomhet skal kunne nekte deg innsyn med denne begrunnelsen. Det må være en reell fare for konsekvenser av et visst omfang dersom virksomheten skal begrense innsynet ditt, og virksomheten må kunne vise at det vil være skadelig dersom innsyn gis.
Et eksempel kan være at det er frykt for represalier fra pasienten overfor den som har gitt opplysningene, slik som alvorlig forfølgelse eller trakassering overfor nærstående.
-
Du har bedt om innsyn i personopplysninger som er taushetsbelagt.
Hvis virksomheten har taushetsplikt for de personopplysningene du ber om innsyn i, kan de nekte deg innsyn.
-
Personopplysningene dine er en del av intern tekst som gjør det mulig for virksomheter å ta viktige beslutninger.
Du kan bare nektes innsyn i personopplysningene dine hvis virksomheten kan vise at det vil skade viktige beslutninger hvis du får innsyn.
-
Det å gi deg innsyn vil være i strid med åpenbare og grunnleggende private eller offentlige interesser.
Det skal ganske mye til for at en virksomhet kan nekte deg innsyn med denne begrunnelsen. Et eksempel kan være at innsyn vil ødelegge for virksomhetens konkurranseevne, men det vil bare være i svært sjeldne tilfeller at du kan nektes innsyn på grunn av dette.
Hvis en virksomhet nekter deg innsyn, skal de gi deg en skriftlig forklaring på hvorfor, og hvilken bestemmelse som gjør at de ikke gir deg innsyn.
Hvis du mener at du har krav på innsyn, men ikke har fått det, kan du klage til oss i Datatilsynet, eller tipse oss om det. Du kan også klage eller tipse oss om at du ikke er gitt innsyn hvis virksomheten ikke har svart deg innen en måned.
Innsynsskjema
Vi har laget et skjema du kan bruke når du ønsker informasjon om eller innsyn i personopplysninger en virksomhet har om deg. Skjemaet er ment brukt når du ber om innsyn etter personopplysningsloven, og det kan brukes enten du vil vite mer om opplysninger lagret om deg selv, om barna dine, eller noen du handler på vegne av hvis du har skriftlig fullmakt.
Last ned skjema for å be om innsyn (pdf)