Rett til innsyn: Slik utleverer du personopplysninger riktig
Når noen ber om innsyn i hvilke personopplysninger dere har lagret, er det ikke rom for slurv. En feil kan koste – både tillit og bøter.
I denne guiden viser vi deg hvordan du håndterer innsynsbegjæringer korrekt og sikkert, steg for steg.
Hva gjør du når ansatte eller kunder ber om innsyn i personopplysninger?
Virksomheter får stadig flere spørsmål om rett til innsyn i personopplysninger. Enten det er en ansatt, en kunde eller en tidligere samarbeidspartner, har personen rett til å vite hvilke opplysninger dere har lagret om dem.
Det er ikke valgfritt – det er en plikt etter GDPR. En innsynsbegjæring kan komme når som helst, både muntlig og skriftlig. Da må du som behandlingsansvarlig eller personvernombud håndtere forespørselen korrekt og i tide.
Feil håndtering kan få nemlig gi konsekvenser, både juridisk og tillitsmessig.
Her går vi gjennom hvordan du utleverer et registerutdrag – steg for steg – slik at du følger kravene i personvernlovgivningen og unngår feil.
Behandling av innsynsbegjæring og utlevering av registerutdrag: Steg for steg
Å behandle en innsynsbegjæring innebærer å samle inn, gjennomgå og utlevere alle personopplysninger dere har lagret om en enkeltperson – i tråd med kravene i GDPR.
Her er hele prosessen – praktisk forklart for deg som jobber med HR, personvern eller ledelse. Har dere ikke dette på plass allerede? Da er det lurt å starte nå.
1. Ha en tydelig prosess og riktig ansvarlig på plass
- Ha en klar rutine for hvordan dere oppdager og behandler forespørsler om innsyn i personopplysninger.
- Hvem i virksomheten skal ta imot og håndtere disse?
- Start arbeidet umiddelbart når forespørselen kommer inn.
- Det er som regel ikke nødvendig å verifisere identiteten til den som sender forespørselen, men det kan være lurt.
- Det som derimot må være på plass, er sikker identifikasjon av mottakeren – slik at registerutdraget ikke havner i feil hender.
Mange virksomheter venter til de må håndtere en forespørsel – men da kan det være for sent å få kontroll.
2. Vurder om forespørselen gjelder flere virksomheter
Hvis dere inngår i et konsern eller en kommune, må du vurdere hvor bred forespørselen er:
- Offentlige myndigheter må tolke forespørselen bredt og gi veiledning.
- Private selskaper kan begrense innsynet til det spesifikke selskapet.
Er du usikker? Spør personen hva vedkommende ønsker innsyn i.
3. Sjekk om personen er registrert hos dere
- Har personen vært ansatt? Kontakt HR for å hente ut data fra personalregisteret.
- Hvis du ikke finner personen i systemene, be om mer informasjon som kan hjelpe: navn, e-post eller kundenummer.
Viktig: Ikke bekreft at personen finnes i systemet før du vet sikkert hvem du kommuniserer med.
4. Bruk en digital behandlingsprotokoll som verktøy ved innsyn
En oppdatert behandlingsprotokoll gjør det langt enklere å besvare innsynsbegjæringer. Den gir deg oversikt over hvilke personopplysninger dere behandler, til hvilke formål, og hvilke systemer informasjonen lagres i – akkurat det du trenger når du skal hente ut data til et registerutdrag.
I tillegg er protokollen et krav i henhold til artikkel 30 i GDPR for de fleste virksomheter.
Å holde behandlingsprotokollen deres oppdatert trenger ikke å være komplisert. Selve utarbeidelsen er ofte enkel, det er vedlikeholdet som krever struktur.
Ved å bruke en digital behandlingsprotokoll får du et praktisk verktøy som gjør det mye lettere å holde oversikt - og sikre at registreringene alltid er i tråd med regelverket.
5. Bekreft mottak og samle inn opplysninger
Etter at du har sjekket om personen er registrert i egne systemer og eventuelt hentet ut grunnleggende informasjon, er neste steg å bekrefte mottaket og starte innsamlingen av relevante opplysninger.
- Send en bekreftelse på at forespørselen er mottatt, og oppgi forventet leveringstid.
- Har dere mange ulike systemer? Send gjerne et skjema og be personen presisere hvilke data forespørselen gjelder. Sett en frist på 7–10 dager.
To scenarioer:
- Hvis personen svarer raskt: Du kan avgrense søket og spare tid.
- Hvis ikke: Du må lete i alle relevante registre.
Hent deretter ut all relevant informasjon fra systemer, e-post, dokumenter og fritekstfelt. Sørg for at sensitive opplysninger håndteres sikkert – f.eks. med kryptering eller passordbeskyttet fil.
6. Gå gjennom og klargjør opplysningene før utlevering
Før du sender registerutdraget:
- Sjekk at det ikke inneholder sensitive eller irrelevante opplysninger.
- Kontroller at det ikke er informasjon om andre personer.
- Pass på at alle opplysninger den registrerte har rett på, faktisk er inkludert.
Dersom noen opplysninger er underlagt taushetsplikt eller lovbestemt hemmelighold, må de fjernes. Forklar hvorfor de ikke utleveres.
Eventuell informasjon om andre personer skal fjernes eller anonymiseres.
Dette er et av de vanligste områdene hvor virksomheter gjør feil – og der risikoen er størst.
Er du usikker på hva som kan eller skal utleveres?
Det er bedre å spørre enn å risikere et brudd på personvernlovgivningen. Få hjelp av våre rådgivere og personvernombud som bistår med å vurdere innsynsbegjæringer og sikre korrekt utlevering.
7. Lag et følgebrev med personvernerklæring
Sammen med registerutdraget skal du sende et følgebrev som forklarer:
- Formålet med behandlingen av personopplysningene
- Hvilke typer opplysninger som behandles
- Hvem de eventuelt deles med
- Hvor lenge de lagres
- Om opplysningene overføres utenfor EU/EØS
- Hvilke rettigheter personen har etter GDPR
- Hvor dataene er hentet fra
- Om automatiserte avgjørelser benyttes
Hvis forespørselen kom digitalt, skal utdraget sendes elektronisk – med mindre personen ber om noe annet.
8. Send registerutdraget som vedlegg – på en trygg måte
- Legg utdraget som vedlegg til følgebrevet for bedre oversikt.
- Send det kun til riktig person, og bruk sikker kanal.
- Ved tvil: Bruk folkeregistrert adresse.
- For digital levering: Bruk sikker portal med sterk autentisering.
9. Gi tilbakemelding hvis dere ikke har informasjon
Selv om dere ikke har registrert noen opplysninger om personen, skal dere gi en tydelig tilbakemelding om dette. Det er ikke bare god praksis – det er et krav.
10. Hold fristen for innsyn i personopplysninger
Du må svare innen 30 dager. Dersom forespørselen er kompleks, kan du forlenge fristen med inntil to måneder – men det må informeres om dette.
En forsinket eller glemt forespørsel kan i verste fall utløse klager eller sanksjoner.
11. Dokumenter behandlingen
Før du avslutter saken, bør du dokumentere:
- Hvem som fikk registerutdraget
- Når det ble sendt
- Hva forespørselen gjaldt
- Hvilke opplysninger som ble utlevert
Dokumentasjon gir trygghet – både internt og ved tilsyn.
12. Håndter eventuelle oppfølgingsspørsmål
Det er ikke uvanlig at personen ønsker mer informasjon etterpå. Vurder om henvendelsen krever en ny forespørsel, eller om du kan svare direkte.
Unngå risiko: Få hjelp av eksperter på personvern
Å håndtere innsynsbegjæringer er en viktig del av GDPR-etterlevelse – og dårlig håndtering kan føre til både tillitstap og brudd på loven. Likevel er det mange som står uten klare rutiner, dokumentasjon eller nok kompetanse.
Med Privacy as a Service får du ikke bare tilgang til praktiske verktøy – du får hjelp av jurister og erfarne personvernombud som veileder deg gjennom hele prosessen.
Fra innsynsbegjæringer til sikker utlevering og etterlevelse av lovkrav.
Book en demo i dag.
Har alle i organisasjonen den kunnskapen de trenger om personvern?
Det hjelper ikke med sikre systemer hvis menneskene som håndterer dem ikke har god nok innsikt i personvernreglene. Personvernombudet og ledelsen er ansvarlige for å spre kunnskapen som behøves.
Med oss får du tilgang til en bred portefølje av e-læringskurs innen blant annet arbeidsrett, personvern og skole – tilpasset ulike roller og kompetansenivåer. Flere av kursene finnes i både grunnleggende og fordypende versjoner, slik at hele organisasjonen får nødvendig kunnskap.
Se hvordan vi kan hjelpe deg i gang.
