Artikkel

Ny veileder om innsynsretten – her er det viktigste du trenger å vite

Personvernrådet (EDBP) med ny veileder om innsynsretten

I januar kom European Data Protection Board (EDPB) med en veileder om innsynsretten. Veilederen bidrar til en bedre forståelse av hvordan innsynsretten skal forvaltes, håndheves og praktiseres i ulike situasjoner. Her tar vi for oss noen av de viktigste punktene i veilederen.

Retten til innsyn etter personvernregelverket er en helt sentral rettighet. Innsynsretten er en forutsetning for utøvelsen av andre rettigheter. Det er først når man er kjent med hvilke opplysninger som behandles, at det eksempelvis er mulig å avdekke at opplysninger må rettes. Behandling av innsynsforespørsler kan særlig være utfordrende når personopplysningene inngår i store datasett eller komplisert databehandling hvor informasjonen kan være vanskelig tilgjengelig uten tilleggsinformasjon. Behandlingsansvarlige bør videre være klar over begrensningene i innsynsretten både av hensyn til virksomhetssensitiv informasjon, og kanskje enda viktigere av hensyn til andre registrerte.

Hva innebærer innsynsretten?

Alle har rett til innsyn i de opplysninger som en virksomhet behandler om en selv. Det er ingen formkrav til innsynsforespørselen, men behandlingsansvarlige har ikke ansvar for å behandle forespørsler som er sendt til feil virksomhetet eller som er sendt til helt feil mottaker i virksomheten dersom behandlingsansvarlige har en klar kommunikasjonskanal for innsyn. Som eksempel nevner EDPB i veilederen tilfeller hvor innsynsforespørselen går til en ansatt som ikke har arbeidsoppgaver knyttet til personvern, som sjåfører eller rengjøringspersonell.

Når den behandlingsansvarlige først har mottatt en innsynsforespørsel, er virksomheten forpliktet til følgende:

  • Bekrefte om den behandlingsansvarlige behandler opplysninger om den som har gjort gjeldende retten til innsyn eller ikke.
  • Gi innsyn i eventuelle personopplysninger som behandles om vedkommende.
  • Gi informasjon om behandlingen i henhold til GDPR artikkel 15 nr. 1 bokstav a-h. Ofte vil denne informasjonen delvis overlappe med innholdet i personvernerklæringen, men begrenset til behandlinger innsynsforespørselen er knyttet til.

Deretter må identiteten til vedkommende verifiseres. Dette er viktig fordi innsynsretten ikke omfatter en rett til å be om personopplysninger om andre enn seg selv. Verifisering av identitet skal gjøres så langt som mulig ved å bruke opplysninger om personen som allerede er tilgjengelige i behandlingsansvarliges systemer.

Hvilke opplysninger er omfattet av retten til innsyn?

Retten til innsyn er begrenset til innsyn i personopplysninger, og kun personopplysninger som kan knyttes til vedkommende som har foretatt innsynsforespørselen. Hva som er personopplysninger om en enkeltperson, må virksomheten vurdere konkret med utgangspunkt i definisjonen i GDPR art. 4 nr. 1. I veilederen nevner EDPB som eksempel at den behandlingsansvarlige i en rekrutteringssituasjon er forpliktet til å gi en kandidat som ber om innsyn, alle personopplysninger aktivt kommunisert av dem i CV og søknadsbrev, samt oppsummeringen av intervjuet av HR-ansvarlig, inkludert subjektive kommentarer.

Hvordan kan behandlingsansvarlige gi innsyn?

I veilederen understreker EDPB at adgang til innsyn kan gjennomføres på ulike måter avhengig av kompleksiteten i virksomhetens behandling av personopplysninger.

Som hovedregel skal den registrerte få en kopi av de opplysningene om vedkommende som virksomheten behandler. Kravet om å gjøre tilgjengelig en kopi av personopplysningene som behandles, skal ikke forstås bokstavelig, og gir ikke nødvendigvis rett til dokumentinnsyn, eller rett til at behandlingsansvarlig overleverer en utskrift eller kopi av den digitale filen. Den registrerte skal motta opplysningene i et format som gjør at vedkommende kan se på opplysningene i etterkant, eksempelvis på et fysisk eller elektronisk dokument. Under noen omstendigheter er det adgang til å gi innsyn på annen måte, eksempelvis ved at den registrerte får opplysningene muntlig presentert eller tilgang til filene elektronisk ved fjerntilgang uten å nødvendigvis kunne laste ned dokumentene.

Når innsyn i opplysningene gis ved et sammendrag i stedet for direkte innsyn i dokumenter eller data, understreker EDPB at sammendraget ikke skal utarbeides på en slik måte at det kun gis en generell beskrivelse av hvilke opplysninger som behandles. Eksempelvis kan det ikke stå i rapporten at man behandler navn om den registrerte, men det skal stå hvilket navn som er registrert. Et grunnvilkår er at de registrerte mottar en oversikt over alle personopplysningene som er registrert om vedkommende i systemet. Det er med andre ord adgang til å utarbeide en rapport med et sammendrag, så lenge sammendraget er komplett.

Valg av metode

Behandlingsansvarlige kan velge ulike metoder for å gi innsyn. Ved valg av metoden er det relevant å se hen til hvilke personopplysninger den registrerte har rett til innsyn i. Å utarbeide en rapport vil eksempelvis være langt mer praktisk der personopplysningene ligger i ulike databaser. Innsyn ved å sende over det aktuelle dokumentet kan være en lettvint måte der det ikke er nødvendig å vurdere forholdet til tredjepart. Ved valg av metode er det imidlertid også viktig å vurdere kravet til åpenhet og tekniske og organisatoriske tiltak da disse kan være utslagsgivende.

Når en behandlingsansvarlig gir innsyn, er det krav om at informasjonen presenteres på en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk. Eksempelvis, vil en logg ikke nødvendigvis være forståelig for de ansatte – De vil ikke nødvendigvis skjønne hva som står, eller forstå forkortelser eller kodinger som fremgår av loggen og dermed ikke få en tilfredsstillende oppfylling av innsynsretten uten en forklaring. Når virksomheten behandler store mengder opplysninger eller opplysningene er vanskelig tilgjengelige, vil det være mer utfordrende å gi innsyn. Dette både fordi det kan være utfordrende å identifisere alle personopplysningene som behandles om den enkelte, men også fordi innsyn vil kunne medføre brudd på tredjepersons rettigheter og friheter dersom innsynsretten ikke forvaltes korrekt opp imot disse personene.

Videre vil store mengder opplysninger sjelden kunne presenteres for den registrerte uten bearbeiding, da det kan være vanskelig for de registrerte å forstå hva som står og hvilke implikasjoner det har. Det kan derfor være aktuelt å vurdere om man skal gi innsyn ved en lagvis inndeling av informasjon («layered approach»)., eller det er snakk om store mengder opplysninger. Ved å benytte en lagvis tilnærming, vil man kunne tilrettelegge for at den registrerte forstår hva det er vedkommende får presentert. Eksempelvis kan de de registrerte få et generelt informasjonsskriv med en beskrivelse av løsningen, en forklaring av forkortelser i loggen og andre opplysninger som er nødvendig for å kunne lese loggen.

Hva skjer videre?

Veilederen var på høring frem til 11. mars. Vi vil følge med dersom det kommer endringer når den endelige utgaven vedtas.

Deloitte bistår gjerne ved spørsmål om innsynsretten og den nye veilederen. Ved å abonnere på nyhetsbrevet, får du med deg oppdateringer når veilederen ferdigstilles.
 

 

Les også: Norsk arbeidsgivere overvåker ansatte uten saklig begrunnelse

Les mer her

to activtae fullwidth component . Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

Var denne siden nyttig?