GDPR Data Access Request Norway
Personvernforordningen (GDPR) art. 15; personopplysningsloven (2018); art. 12 (svarfrist en måned)
BEGJÆRING OM INNSYN I PERSONOPPLYSNINGER
Etter personvernforordningen (GDPR) artikkel 15 og personopplysningsloven (2018).
Til
TIL (BEHANDLINGSANSVARLIG):
[Ansvarlig Navn]
[Ansvarlig Adresse]
Fra
FRA (DEN REGISTRERTE):
[Registrert Navn]
Fødselsdato/fødselsnummer: [Registrert Fodselsdato]
[Registrert Adresse]
E-post: [Registrert Epost]
Sted og dato: [Sted], [Dato]
1. BEGJÆRINGEN
Jeg, [Registrert Navn], ber med dette om innsyn i mine personopplysninger etter personvernforordningen (GDPR) artikkel 15 og personopplysningsloven (2018). Omfanget av begjæringen er: [Omfang].
Nærmere spesifikasjon: [Spesifikasjon].
Det jeg ber om
2. DET JEG BER OM ETTER GDPR ARTIKKEL 15
Jeg ber om bekreftelse på om dere behandler personopplysninger om meg, og dersom det er tilfellet, ber jeg om innsyn i opplysningene og følgende informasjon etter personvernforordningen (GDPR) artikkel 15 nr. 1:
a) formålene med behandlingen;
b) de kategoriene av personopplysninger som behandles;
c) mottakerne eller kategoriene av mottakere som opplysningene er eller vil bli utlevert til, særlig mottakere i tredjeland eller internasjonale organisasjoner;
d) den planlagte lagringstiden, eller kriteriene som brukes for å fastsette denne;
e) opplysning om retten til å kreve retting, sletting eller begrensning av behandlingen, og retten til å protestere mot behandlingen;
f) retten til å klage til Datatilsynet;
g) all tilgjengelig informasjon om hvor opplysningene er hentet fra, dersom de ikke er samlet inn fra meg;
h) om det forekommer automatiserte avgjørelser, herunder profilering, og i så fall den underliggende logikken og betydningen for meg etter artikkel 22.
Kopi av opplysningene
3. KOPI AV OPPLYSNINGENE
Jeg ber om en kopi av personopplysningene som behandles, etter personvernforordningen (GDPR) artikkel 15 nr. 3. Ønsket format er: [Kopiformat].
Kopien skal være vederlagsfri etter artikkel 15 nr. 3. Den behandlingsansvarlige kan kreve et rimelig gebyr eller nekte å etterkomme begjæringen bare dersom den er åpenbart grunnløs eller overdreven etter artikkel 12 nr. 5.
Svarfrist
4. SVARFRIST
Jeg ber om svar uten ugrunnet opphold og senest innen en måned fra dere mottar denne begjæringen, etter personvernforordningen (GDPR) artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder dersom begjæringen er kompleks eller det er mange begjæringer; i så fall ber jeg om melding om forlengelsen og grunnen til den innen en måned.
Dersom dere ikke etterkommer begjæringen, ber jeg om en begrunnelse og informasjon om min rett til å klage til Datatilsynet og til å bruke rettsmidler etter artikkel 12 nr. 4.
Klageadgang
5. KLAGEADGANG
Dersom jeg ikke får et tilfredsstillende svar, kan jeg klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018).
Underskrift
Med vennlig hilsen
__________________________
[Registrert Navn]
Den registrerte
________________
Signature
What Is a GDPR Data Access Request Norway?
A GDPR Data Access Request in Norway (innsynsbegjæring) is a written request by which a data subject asks a data controller for access to their own personal data under the General Data Protection Regulation (GDPR) article 15, which applies through the EEA Agreement, together with the Norwegian Personopplysningsloven (2018). The controller must confirm whether personal data is processed, provide a copy and the information listed in article 15, and respond without undue delay and within one month under article 12, with a right to complain to Datatilsynet.
When Do You Need a GDPR Data Access Request Norway?
GDPR innsynsbegjæring Norge trengs i situasjoner der en person ønsker å vite hvilke personopplysninger en virksomhet eller organisasjon behandler om vedkommende. Innsynsretten etter personvernforordningen (GDPR) artikkel 15 kan brukes overfor alle som behandler personopplysninger, og er gratis.
Kontroll av hva en virksomhet vet om deg. Den vanligste situasjonen er at en person ønsker oversikt over hvilke opplysninger en virksomhet har registrert. Dette kan gjelde en arbeidsgiver, en bank, et forsikringsselskap, en nettbutikk, en teleoperatør eller en offentlig etat. Ved å sende en innsynsbegjæring etter personvernforordningen (GDPR) artikkel 15 får den registrerte bekreftet om opplysninger behandles, og innsyn i opplysningene og informasjon om behandlingen.
Mistanke om uriktig eller ulovlig behandling. Dersom en person mistenker at en virksomhet behandler feilaktige opplysninger, behandler opplysninger uten gyldig grunnlag, eller deler opplysninger med uvedkommende, er innsyn et naturlig første skritt. Innsynet etter personvernforordningen (GDPR) artikkel 15 gir grunnlag for å vurdere om behandlingen er lovlig, og for eventuelt å kreve retting etter artikkel 16, sletting etter artikkel 17 eller begrensning etter artikkel 18, eller å klage til Datatilsynet.
Arbeidsforhold og personalmapper. Ansatte og tidligere ansatte kan be om innsyn i hvilke opplysninger arbeidsgiveren behandler om dem, herunder personalmappe, e-post, evalueringer og logger. Innsynsretten etter personvernforordningen (GDPR) artikkel 15 gjelder også i arbeidsforhold, men arbeidsgiverens innsyn i ansattes e-post og utstyr er i tillegg regulert av egne regler. Innsyn kan være aktuelt ved konflikter, oppsigelse eller mistanke om urettmessig behandling.
Kundeforhold og markedsføring. Forbrukere kan be om innsyn i hvilke opplysninger en virksomhet har registrert om deres kundeforhold, kjøpshistorikk, kommunikasjon og markedsføringsprofil. Dette er særlig aktuelt der virksomheten driver profilering og målrettet markedsføring. Innsynet gir grunnlag for å vurdere om man vil protestere mot markedsføring etter personvernforordningen (GDPR) artikkel 21 eller trekke tilbake et samtykke.
Kredittopplysninger og finansielle tjenester. Personer kan be om innsyn i opplysninger som behandles av kredittopplysningsforetak, banker og andre finansforetak, herunder kredittvurderinger og opplysninger i Gjeldsregisteret. Innsynet etter personvernforordningen (GDPR) artikkel 15 gir oversikt over hvilke opplysninger som ligger til grunn for kredittbeslutninger, og kan avdekke feil som bør rettes.
Helseopplysninger og pasientjournal. Pasienter har rett til innsyn i sine helseopplysninger. For opplysninger i pasientjournalen gjelder også særlige regler i pasientjournalloven (2014) og pasient- og brukerrettighetsloven (1999), men den generelle innsynsretten etter personvernforordningen (GDPR) artikkel 15 kommer i tillegg. Innsyn kan være aktuelt for å forstå behandlingen man har fått, eller for å kontrollere at journalen er korrekt.
Klageprosesser og tvister. I forbindelse med klager, tvister eller rettssaker kan innsyn i personopplysninger være nyttig for å dokumentere faktiske forhold. En innsynsbegjæring etter personvernforordningen (GDPR) artikkel 15 kan gi tilgang til korrespondanse, notater og andre opplysninger som en virksomhet behandler, og som kan ha betydning for saken. Innsynsretten kan likevel begrenses der den krenker andres rettigheter etter artikkel 15 nr. 4.
Offentlige myndigheter og forvaltning. Innsynsretten etter personvernforordningen (GDPR) artikkel 15 gjelder også overfor offentlige myndigheter som behandler personopplysninger. Dette kommer i tillegg til innsynsretten i forvaltningsloven (1967) og offentleglova (2006). For enkelte offentlige behandlinger kan innsynsretten være begrenset av hensyn til etterforskning, nasjonal sikkerhet eller andres rettigheter etter personopplysningsloven (2018).
What to Include in Your GDPR Data Access Request Norway
En effektiv GDPR innsynsbegjæring Norge inneholder følgende nøkkelelementer for å oppfylle kravene etter personvernforordningen (GDPR) artikkel 15 og for å gjøre det enkelt for den behandlingsansvarlige å svare.
Identifikasjon av den registrerte. Begjæringen skal inneholde tilstrekkelige opplysninger til at den behandlingsansvarlige kan identifisere den registrerte sikkert, slik at opplysningene ikke utleveres til feil person. Dette omfatter fullt navn, og ved behov fødselsdato eller fødselsnummer (elleve sifre) samt adresse. Den behandlingsansvarlige kan be om ytterligere identifikasjon ved rimelig tvil etter personvernforordningen (GDPR) artikkel 12 nr. 6, men den registrerte bør oppgi kun det som er nødvendig for sikker identifikasjon.
Kontaktopplysninger for svar. Begjæringen skal angi hvor svaret skal sendes, typisk en postadresse eller en e-postadresse. Ved en elektronisk begjæring leveres opplysningene normalt i et vanlig elektronisk format etter personvernforordningen (GDPR) artikkel 15 nr. 3. Klare kontaktopplysninger gjør det enklere for den behandlingsansvarlige å besvare begjæringen innen fristen.
Identifikasjon av den behandlingsansvarlige. Begjæringen skal rettes til den behandlingsansvarlige, det vil si den som bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7. Begjæringen bør angi virksomhetens navn og adresse, som kan finnes i virksomhetens personvernerklæring eller i Enhetsregisteret hos Brønnøysundregistrene. Riktig adressering sikrer at begjæringen kommer frem til rett mottaker.
Avgrensning av begjæringen. Begjæringen kan gjelde alle personopplysninger den behandlingsansvarlige har om den registrerte, eller den kan avgrenses til bestemte opplysninger eller en bestemt behandling. En presis avgrensning, for eksempel til et bestemt kundeforhold eller en bestemt periode, kan gjøre det enklere og raskere for den behandlingsansvarlige å besvare begjæringen, men den registrerte har rett til innsyn i alle opplysninger etter personvernforordningen (GDPR) artikkel 15.
Krav om bekreftelse og informasjon etter artikkel 15 nr. 1. Begjæringen bør be om bekreftelse på om det behandles personopplysninger, og om innsyn i opplysningene samt den informasjonen som følger av personvernforordningen (GDPR) artikkel 15 nr. 1: formålene med behandlingen, kategoriene av opplysninger, mottakerne, lagringstiden, retten til retting og sletting, retten til å klage til Datatilsynet, hvor opplysningene er hentet fra, og om det forekommer automatiserte avgjørelser inkludert profilering etter artikkel 22.
Krav om kopi etter artikkel 15 nr. 3. Begjæringen bør be om en kopi av personopplysningene som behandles, etter personvernforordningen (GDPR) artikkel 15 nr. 3. Den første kopien skal være gratis. Begjæringen kan angi ønsket format, for eksempel elektronisk kopi eller papirkopi. Ved elektronisk begjæring leveres opplysningene normalt i et vanlig elektronisk format med mindre den registrerte ber om noe annet.
Henvisning til svarfristen på en måned. Begjæringen bør vise til at den behandlingsansvarlige skal svare uten ugrunnet opphold og senest innen en måned fra begjæringen mottas, etter personvernforordningen (GDPR) artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder ved komplekse eller mange begjæringer, men den registrerte skal da få melding om forlengelsen og grunnen til den innen en måned. Henvisningen til fristen understreker at begjæringen skal behandles raskt.
Krav om begrunnelse ved avslag. Begjæringen bør be om en begrunnelse dersom den ikke etterkommes, og informasjon om klageadgangen, etter personvernforordningen (GDPR) artikkel 12 nr. 4. Den behandlingsansvarlige kan bare nekte å etterkomme begjæringen i begrensede tilfeller, for eksempel der den er åpenbart grunnløs eller overdreven, eller der innsyn vil krenke andres rettigheter etter artikkel 15 nr. 4.
Informasjon om klageadgang til Datatilsynet. Begjæringen bør vise til at den registrerte kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 dersom svaret ikke er tilfredsstillende, og at Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Dette understreker at den registrerte har en effektiv mulighet til å håndheve innsynsretten. Disse elementene utfyller forms-legal.com bibliotekets maler for personvern.
Datering og underskrift. Begjæringen bør dateres og undertegnes av den registrerte. Datoen har betydning for beregningen av svarfristen, som regnes fra den behandlingsansvarlige mottar begjæringen etter personvernforordningen (GDPR) artikkel 12 nr. 3. Underskriften bekrefter at begjæringen kommer fra den registrerte selv, noe som er viktig for identifikasjonen og for at opplysningene ikke utleveres til feil person.
How to Fill Out Your GDPR Data Access Request Norway
Å fylle ut en GDPR innsynsbegjæring Norge korrekt krever at man følger trinnene nedenfor systematisk, slik at begjæringen oppfyller kravene etter personvernforordningen (GDPR) artikkel 15 og kan behandles raskt av den behandlingsansvarlige.
Trinn 1 — Oppgi dine egne opplysninger for identifikasjon. Oppgi ditt fulle navn etter folkeregisteret, og ved behov fødselsdato (format DD.MM.ÅÅÅÅ) eller fødselsnummer (elleve sifre) dersom den behandlingsansvarlige trenger det for sikker identifikasjon. Oppgi kun det som er nødvendig for å identifisere deg, slik at opplysningene ikke utleveres til feil person etter personvernforordningen (GDPR) artikkel 12 nr. 6. Unngå å oppgi mer sensitiv informasjon enn nødvendig.
Trinn 2 — Oppgi kontaktopplysninger for svar. Oppgi din adresse og e-postadresse slik at den behandlingsansvarlige kan sende svaret og eventuelt levere opplysningene elektronisk. Ved en elektronisk begjæring leveres opplysningene normalt i et vanlig elektronisk format etter personvernforordningen (GDPR) artikkel 15 nr. 3. Klare kontaktopplysninger gjør det enklere å besvare begjæringen innen fristen.
Trinn 3 — Identifiser den behandlingsansvarlige. Oppgi navnet og adressen til virksomheten eller organisasjonen du retter begjæringen til. Den behandlingsansvarlige er den som bestemmer formålene med og midlene for behandlingen etter personvernforordningen (GDPR) artikkel 4 nr. 7. Kontaktopplysningene finnes ofte i virksomhetens personvernerklæring, på nettsiden eller i Enhetsregisteret hos Brønnøysundregistrene.
Trinn 4 — Velg omfanget av begjæringen. Velg om du ber om innsyn i alle dine personopplysninger eller om du vil avgrense begjæringen til bestemte opplysninger eller en bestemt behandling. Du har rett til innsyn i alle opplysninger etter personvernforordningen (GDPR) artikkel 15, men en presis avgrensning kan gjøre det enklere og raskere for den behandlingsansvarlige å svare.
Trinn 5 — Spesifiser hvilke opplysninger du ber om (om relevant). Dersom du ber om bestemte opplysninger, beskriv hvilke så presist som mulig, for eksempel \"alle opplysninger knyttet til mitt kundeforhold i perioden 2024 til 2026, herunder kjøpshistorikk og kommunikasjon\". En tydelig spesifikasjon hjelper den behandlingsansvarlige med å finne frem til de riktige opplysningene.
Trinn 6 — Velg ønsket format for kopien. Velg om du ønsker en elektronisk kopi (e-post eller nedlasting) eller en papirkopi sendt til din adresse. Etter personvernforordningen (GDPR) artikkel 15 nr. 3 har du rett til en gratis kopi av personopplysningene. Ved en elektronisk begjæring leveres opplysningene normalt i et vanlig elektronisk format med mindre du ber om noe annet.
Trinn 7 — Vis til kravene etter artikkel 15. Begjæringen ber om bekreftelse på om det behandles personopplysninger om deg, og om innsyn i opplysningene samt informasjon om formålene, kategoriene, mottakerne, lagringstiden, dine rettigheter, hvor opplysningene er hentet fra, og om det forekommer automatiserte avgjørelser inkludert profilering, etter personvernforordningen (GDPR) artikkel 15 nr. 1. Du trenger ikke å begrunne hvorfor du ber om innsyn.
Trinn 8 — Vis til svarfristen på en måned. Begjæringen viser til at den behandlingsansvarlige skal svare uten ugrunnet opphold og senest innen en måned etter personvernforordningen (GDPR) artikkel 12 nr. 3. Fristen kan forlenges med inntil to måneder ved komplekse eller mange begjæringer, men du skal da få melding om forlengelsen og grunnen til den innen en måned.
Trinn 9 — Daterer og underskriv begjæringen. Oppgi sted og dato (format DD.MM.ÅÅÅÅ) og undertegn begjæringen. Datoen har betydning for beregningen av svarfristen, som regnes fra den behandlingsansvarlige mottar begjæringen. Underskriften bekrefter at begjæringen kommer fra deg selv, noe som er viktig for identifikasjonen.
Trinn 10 — Send begjæringen og følg opp. Send begjæringen til den behandlingsansvarlige på en måte som gir notoritet, for eksempel rekommandert post eller e-post med kvittering, slik at du kan dokumentere når den ble mottatt. Ta vare på en kopi. Dersom du ikke får svar innen fristen, eller svaret ikke er tilfredsstillende, kan du klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77; Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018).
Legal Requirements for GDPR Data Access Request Norway
GDPR innsynsbegjæring Norge omfattes av et regelverk i personvernforordningen (GDPR) og personopplysningsloven (2018) som fastsetter den registrertes rettigheter og den behandlingsansvarliges plikter.
GDPR gjelder i Norge gjennom EØS-avtalen. Personvernforordningen (GDPR), Europaparlaments- og rådsforordning (EU) 2016/679, gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Det betyr at de samme grunnleggende rettighetene og pliktene gjelder i Norge som i EU, herunder innsynsretten etter artikkel 15. Datatilsynet er den nasjonale tilsynsmyndigheten, og Personvernnemnda er klageorgan.
Innsynsretten etter personvernforordningen (GDPR) artikkel 15. Etter artikkel 15 nr. 1 har den registrerte rett til å få bekreftet om det behandles personopplysninger om vedkommende, og dersom det er tilfellet, rett til innsyn i opplysningene og til informasjon om formålene med behandlingen, kategoriene av personopplysninger, mottakerne, lagringstiden, retten til retting og sletting, retten til å klage til Datatilsynet, kilden til opplysningene og forekomsten av automatiserte avgjørelser inkludert profilering. Etter artikkel 15 nr. 3 har den registrerte rett til en kopi av personopplysningene, og den første kopien skal være gratis.
Informasjonsplikten etter personvernforordningen (GDPR) artikkel 13 og 14. Innsynsretten etter artikkel 15 supplerer den behandlingsansvarliges informasjonsplikt etter artikkel 13 (når opplysningene samles inn fra den registrerte) og artikkel 14 (når opplysningene samles inn fra andre kilder). Informasjonsplikten innebærer at den behandlingsansvarlige allerede ved innsamlingen skal gi den registrerte informasjon om behandlingen, typisk gjennom en personvernerklæring. Innsynsretten gir den registrerte mulighet til å få denne informasjonen og selve opplysningene på forespørsel.
Svarfristen etter personvernforordningen (GDPR) artikkel 12 nr. 3. Den behandlingsansvarlige skal gi den registrerte informasjon om hvilke tiltak som er truffet på grunnlag av begjæringen, uten ugrunnet opphold og senest innen en måned etter at begjæringen er mottatt. Fristen kan forlenges med inntil to måneder dersom det er nødvendig på grunn av begjæringens kompleksitet eller antallet begjæringer. Ved forlengelse skal den registrerte underrettes om forlengelsen og grunnen til den innen en måned.
Gratis behandling og adgang til å nekte etter personvernforordningen (GDPR) artikkel 12 nr. 5. Informasjon og tiltak etter artikkel 15 skal som hovedregel gis vederlagsfritt. Dersom begjæringen er åpenbart grunnløs eller overdreven, særlig på grunn av gjentakelse, kan den behandlingsansvarlige enten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme begjæringen. Den behandlingsansvarlige har bevisbyrden for at en begjæring er åpenbart grunnløs eller overdreven.
Identifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6. Dersom den behandlingsansvarlige har rimelig tvil om identiteten til den som fremsetter begjæringen, kan den behandlingsansvarlige be om ytterligere opplysninger som er nødvendige for å bekrefte identiteten. Dette skal verne mot at personopplysninger utleveres til feil person. Kravet til identifikasjon skal likevel ikke være mer omfattende enn nødvendig.
Begrensninger i innsynsretten etter personvernforordningen (GDPR) artikkel 15 nr. 4 og personopplysningsloven (2018). Retten til å få en kopi etter artikkel 15 nr. 3 skal ikke krenke andres rettigheter og friheter. Personopplysningsloven (2018) inneholder dessuten unntak fra innsynsretten, blant annet av hensyn til etterforskning, rikets sikkerhet, andres rettigheter og visse lovbestemte taushetsplikter. Innsyn kan også være begrenset for opplysninger som behandles utelukkende for journalistiske, akademiske, kunstneriske eller litterære formål.
Klageadgang etter personvernforordningen (GDPR) artikkel 77 og personopplysningsloven (2018). Dersom den registrerte mener at behandlingen av personopplysninger er i strid med regelverket, eller at en innsynsbegjæring ikke er korrekt behandlet, kan vedkommende klage til Datatilsynet etter artikkel 77. Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Den registrerte har også rett til effektivt rettsmiddel for domstolene etter artikkel 79.
Forholdet til andre innsynsregler. Innsynsretten etter personvernforordningen (GDPR) artikkel 15 kommer i tillegg til andre innsynsregler i norsk rett. For pasientjournaler gjelder pasientjournalloven (2014) og pasient- og brukerrettighetsloven (1999); for forvaltningssaker gjelder forvaltningsloven (1967) og offentleglova (2006). Disse reglene kan gi rett til innsyn på selvstendig grunnlag, og den registrerte kan velge å bruke det grunnlaget som gir best innsyn i det konkrete tilfellet.
Common Mistakes to Avoid in Your GDPR Data Access Request Norway
Vanlige feil ved utforming og bruk av GDPR innsynsbegjæring Norge kan forsinke behandlingen, svekke begjæringen eller føre til at den ikke etterkommes.
Feil 1 — Mangelfull identifikasjon. En begjæring uten tilstrekkelige opplysninger til å identifisere den registrerte gjør at den behandlingsansvarlige må be om mer informasjon før den kan behandles, noe som forsinker svaret. Løsning: oppgi fullt navn og ved behov fødselsdato eller fødselsnummer slik at den behandlingsansvarlige kan identifisere deg sikkert etter personvernforordningen (GDPR) artikkel 12 nr. 6, men ikke mer enn nødvendig.
Feil 2 — Begjæringen rettes til feil mottaker. Å sende begjæringen til feil avdeling eller feil virksomhet gjør at den ikke når den behandlingsansvarlige, og svarfristen begynner ikke å løpe. Løsning: identifiser den behandlingsansvarlige korrekt etter personvernforordningen (GDPR) artikkel 4 nr. 7, og finn riktig kontaktadresse i virksomhetens personvernerklæring eller i Enhetsregisteret hos Brønnøysundregistrene.
Feil 3 — For vag begjæring. En begjæring som ikke gjør det klart hva man ber om, kan føre til at den behandlingsansvarlige besvarer den snevert eller ber om presisering. Løsning: angi om du ber om alle opplysninger eller bestemte opplysninger; ved avgrensning beskriv hvilke opplysninger eller hvilken behandling du ber om, slik at den behandlingsansvarlige raskt finner frem.
Feil 4 — Manglende henvisning til artikkel 15 og svarfristen. En begjæring som ikke viser til personvernforordningen (GDPR) artikkel 15 og svarfristen på en måned etter artikkel 12 nr. 3, kan bli behandlet som en uformell henvendelse uten at fristene overholdes. Løsning: vis uttrykkelig til at begjæringen fremsettes etter artikkel 15, og at du forventer svar innen en måned etter artikkel 12 nr. 3.
Feil 5 — Manglende dokumentasjon av når begjæringen ble sendt. Å sende begjæringen uten å kunne dokumentere når den ble mottatt, gjør det vanskelig å fastslå om svarfristen er oversittet. Løsning: send begjæringen på en måte som gir notoritet, for eksempel rekommandert post eller e-post med kvittering, og ta vare på en kopi av begjæringen og kvitteringen.
Feil 6 — Oppgir mer sensitiv informasjon enn nødvendig. Å oppgi unødvendig mye sensitiv informasjon, for eksempel fødselsnummer der det ikke er nødvendig, øker risikoen ved behandlingen. Løsning: oppgi kun den informasjonen som er nødvendig for sikker identifikasjon etter personvernforordningen (GDPR) artikkel 12 nr. 6; mange virksomheter kan identifisere deg på grunnlag av navn og kundeforhold.
Feil 7 — Forveksling med andre rettigheter. Å be om innsyn når man egentlig ønsker retting, sletting eller dataportabilitet kan føre til at man ikke får det resultatet man ønsker. Løsning: vær klar over forskjellen mellom innsyn etter personvernforordningen (GDPR) artikkel 15, retting etter artikkel 16, sletting etter artikkel 17 og dataportabilitet etter artikkel 20; bruk riktig begjæring for formålet, eller kombiner dem.
Feil 8 — Urealistiske forventninger om hva man har krav på. Å forvente innsyn i opplysninger som krenker andres rettigheter, eller som er unntatt etter personopplysningsloven (2018), kan føre til skuffelse. Innsynsretten kan begrenses etter personvernforordningen (GDPR) artikkel 15 nr. 4 og lovbestemte unntak. Løsning: vær oppmerksom på at innsynsretten ikke er ubegrenset, og at den behandlingsansvarlige kan måtte sladde opplysninger om andre.
Feil 9 — Ikke følge opp ved manglende eller utilstrekkelig svar. Å la være å følge opp dersom man ikke får svar innen fristen, eller får et utilstrekkelig svar, gjør at man ikke får håndhevet innsynsretten. Løsning: dersom svaret uteblir eller ikke er tilfredsstillende, send en påminnelse, og klag deretter til Datatilsynet etter personvernforordningen (GDPR) artikkel 77; Datatilsynets vedtak kan påklages til Personvernnemnda.
Feil 10 — Betale et urettmessig gebyr. Å betale et gebyr for den første kopien av opplysningene er unødvendig, fordi den første kopien skal være gratis etter personvernforordningen (GDPR) artikkel 15 nr. 3. Den behandlingsansvarlige kan bare kreve et rimelig gebyr ved åpenbart grunnløse eller overdrevne begjæringer etter artikkel 12 nr. 5, eller for ytterligere kopier. Løsning: ikke betal gebyr for den første kopien; be om en begrunnelse dersom det kreves gebyr, og klag til Datatilsynet dersom kravet er urettmessig.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). GDPR Data Access Request Norway (Norway) [Legal document template]. Forms Legal. https://forms-legal.com/norge/government/gdpr/gdpr-data-access-request
"GDPR Data Access Request Norway (Norway)." Forms Legal, 2026, https://forms-legal.com/norge/government/gdpr/gdpr-data-access-request.
@misc{formslegal-gdpr-data-access-request,
author = {{Forms Legal}},
title = {GDPR Data Access Request Norway (Norway)},
year = {2026},
howpublished = {\url{https://forms-legal.com/norge/government/gdpr/gdpr-data-access-request}},
note = {Free legal document template}
}
Frequently Asked Questions
En GDPR innsynsbegjæring er en skriftlig begjæring der en person (den registrerte) ber en virksomhet eller organisasjon (den behandlingsansvarlige) om innsyn i sine egne personopplysninger. Retten følger av personvernforordningen (GDPR) artikkel 15, som gjelder i Norge gjennom EØS-avtalen og er gjennomført i norsk rett ved personopplysningsloven (2018). Etter artikkel 15 nr. 1 har den registrerte rett til å få bekreftet om det behandles personopplysninger om vedkommende, og dersom det er tilfellet, rett til innsyn i opplysningene og til informasjon om formålene med behandlingen, kategoriene av opplysninger, mottakerne, lagringstiden, retten til retting og sletting, retten til å klage til Datatilsynet, hvor opplysningene er hentet fra, og om det forekommer automatiserte avgjørelser inkludert profilering etter artikkel 22. Etter artikkel 15 nr. 3 har den registrerte rett til en gratis kopi av opplysningene. Den behandlingsansvarlige skal svare uten ugrunnet opphold og senest innen en måned etter artikkel 12 nr. 3. Dersom svaret uteblir eller er utilfredsstillende, kan den registrerte klage til Datatilsynet etter artikkel 77, og Datatilsynets vedtak kan påklages til Personvernnemnda.
Den behandlingsansvarlige skal svare på en innsynsbegjæring uten ugrunnet opphold og senest innen en måned fra begjæringen ble mottatt, etter personvernforordningen (GDPR) artikkel 12 nr. 3. Hovedregelen er altså en måned, men virksomheten skal svare raskere dersom det er mulig. Fristen kan forlenges med inntil to ytterligere måneder dersom det er nødvendig på grunn av begjæringens kompleksitet eller antallet begjæringer virksomheten har mottatt. Dersom fristen forlenges, skal virksomheten underrette den registrerte om forlengelsen og om grunnen til den innen en måned fra begjæringen ble mottatt. Fristen regnes fra det tidspunktet virksomheten mottar begjæringen, og det er derfor lurt å sende begjæringen på en måte som dokumenterer mottakstidspunktet, for eksempel rekommandert post eller e-post med kvittering. Dersom virksomheten ber om ytterligere opplysninger for å bekrefte identiteten din etter personvernforordningen (GDPR) artikkel 12 nr. 6, begynner fristen først å løpe når den nødvendige identifikasjonen er gitt. Dersom virksomheten ikke svarer innen fristen, eller gir et utilfredsstillende svar, kan du klage til Datatilsynet etter artikkel 77. Manglende overholdelse av svarfristen er et brudd på forordningen som Datatilsynet kan reagere mot, blant annet med pålegg og overtredelsesgebyr.
Etter personvernforordningen (GDPR) artikkel 15 har du krav på en rekke opplysninger om hvordan en virksomhet behandler dine personopplysninger. For det første har du rett til å få bekreftet om virksomheten i det hele tatt behandler personopplysninger om deg. Dersom den gjør det, har du rett til innsyn i selve opplysningene, samt til følgende informasjon etter artikkel 15 nr. 1: formålene med behandlingen; hvilke kategorier av personopplysninger som behandles; hvem opplysningene er eller vil bli utlevert til, særlig mottakere i tredjeland eller internasjonale organisasjoner; hvor lenge opplysningene skal lagres, eller kriteriene for å fastsette lagringstiden; at du har rett til å kreve retting, sletting eller begrensning av behandlingen og til å protestere mot behandlingen; at du har rett til å klage til Datatilsynet; all tilgjengelig informasjon om hvor opplysningene er hentet fra dersom de ikke er samlet inn fra deg selv; og om det forekommer automatiserte avgjørelser, herunder profilering, og i så fall den underliggende logikken og hvilken betydning og hvilke konsekvenser dette har for deg etter artikkel 22. I tillegg har du etter artikkel 15 nr. 3 rett til å få en kopi av personopplysningene som behandles, og den første kopien skal være gratis. Retten til kopi skal likevel ikke krenke andres rettigheter og friheter etter artikkel 15 nr. 4, slik at virksomheten kan måtte sladde opplysninger om andre personer.
Nei, det skal som hovedregel være gratis å be om innsyn i egne personopplysninger. Etter personvernforordningen (GDPR) artikkel 12 nr. 5 skal informasjon og tiltak etter blant annet artikkel 15 gis vederlagsfritt, og etter artikkel 15 nr. 3 skal den første kopien av personopplysningene være gratis. Du skal altså ikke betale for å sende en innsynsbegjæring eller for å motta den første kopien av opplysningene. Det finnes likevel to unntak. For det første kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene dersom du ber om flere kopier av de samme opplysningene. For det andre kan den behandlingsansvarlige enten kreve et rimelig gebyr eller nekte å etterkomme begjæringen dersom den er åpenbart grunnløs eller overdreven, særlig dersom du gjentar den samme begjæringen unødig ofte. Den behandlingsansvarlige har bevisbyrden for at en begjæring er åpenbart grunnløs eller overdreven, og kan ikke uten videre kreve gebyr. Dersom du blir bedt om å betale et gebyr for en ordinær førstegangs innsynsbegjæring, bør du be om en begrunnelse, og du kan klage til Datatilsynet etter personvernforordningen (GDPR) artikkel 77 dersom du mener gebyret er urettmessig. Det er altså viktig å være klar over at innsynsretten er ment å være en lett tilgjengelig og kostnadsfri rettighet for den enkelte.
Hovedregelen er at du har rett til innsyn i dine egne personopplysninger etter personvernforordningen (GDPR) artikkel 15, men det finnes enkelte begrensninger. Den behandlingsansvarlige kan for det første nekte å etterkomme begjæringen dersom den er åpenbart grunnløs eller overdreven, særlig på grunn av gjentakelse, etter personvernforordningen (GDPR) artikkel 12 nr. 5; den behandlingsansvarlige har bevisbyrden for dette. For det andre skal retten til å få en kopi av opplysningene etter artikkel 15 nr. 3 ikke krenke andres rettigheter og friheter; dette betyr at virksomheten kan måtte sladde opplysninger om andre personer i de dokumentene du får innsyn i. For det tredje inneholder personopplysningsloven (2018) en rekke unntak fra innsynsretten, blant annet av hensyn til etterforskning, rikets sikkerhet, andres rettigheter og visse lovbestemte taushetsplikter. Innsyn kan også være begrenset for opplysninger som behandles utelukkende for journalistiske, akademiske, kunstneriske eller litterære formål. Dersom virksomheten nekter helt eller delvis å gi innsyn, skal den gi deg en begrunnelse og informere deg om din rett til å klage til Datatilsynet og til å bruke rettsmidler etter personvernforordningen (GDPR) artikkel 12 nr. 4. Du kan da klage til Datatilsynet etter artikkel 77, og Datatilsynets vedtak kan påklages til Personvernnemnda etter personopplysningsloven (2018). Det er altså viktig at en nektelse alltid begrunnes, slik at du kan vurdere om den er rettmessig.
Innsyn, retting, sletting og dataportabilitet er fire ulike rettigheter den registrerte har etter personvernforordningen (GDPR), og det er viktig å bruke riktig rettighet for formålet. Retten til innsyn etter artikkel 15 gir deg rett til å få bekreftet at en virksomhet behandler personopplysninger om deg, til å få innsyn i opplysningene og til en kopi av dem, samt informasjon om behandlingen. Innsyn er ofte det naturlige første skrittet for å finne ut hva en virksomhet faktisk vet om deg. Retten til retting etter artikkel 16 gir deg rett til å få uriktige opplysninger om deg rettet og ufullstendige opplysninger supplert; dette brukes når du har oppdaget at opplysningene er feil, for eksempel en feil adresse eller en feil i en kredittvurdering. Retten til sletting etter artikkel 17, ofte kalt retten til å bli glemt, gir deg rett til å få opplysningene slettet når et av grunnlagene i artikkel 17 nr. 1 er oppfylt, for eksempel når opplysningene ikke lenger er nødvendige for formålet, når du trekker tilbake samtykket, eller når behandlingen er ulovlig; sletteretten gjelder likevel ikke ubetinget, blant annet der virksomheten har en lovpålagt oppbevaringsplikt etter bokføringsloven (2004). Retten til dataportabilitet etter artikkel 20 gir deg rett til å få utlevert de opplysningene du selv har gitt, i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre dem til en annen behandlingsansvarlig; dette gjelder kun behandling som bygger på samtykke eller avtale og som skjer automatisert. Du kan bruke disse rettighetene hver for seg eller i kombinasjon, for eksempel ved først å be om innsyn og deretter kreve retting eller sletting av det du finner. Maler for flere av disse begjæringene finnes i forms-legal.com biblioteket.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Personvernerklæring Norge
Personvernerklæring for nettsteder og virksomheter etter personvernforordningen (GDPR) artiklene 13 og 14, personopplysningsloven (2018) og ekomloven. Beskriver behandlingsansvarlig, kategorier av opplysninger, rettslige grunnlag, lagringstid, de registrertes rettigheter, informasjonskapsler og klage til Datatilsynet.
Vedtekter for AS Norge
Vedtekter for aksjeselskap (AS) i Norge med obligatorisk innhold etter aksjeloven (1997) § 2-2: foretaksnavn, forretningskommune, virksomhet, aksjekapital (minst 30 000 kr) og aksjenes pålydende, samt regler om styre, signatur, aksjeovergang og forkjøpsrett.