Er din virksomhet rustet til å ta imot innsynsbegjæringer? Her er en nyttig sjekkliste

27/03/19

Få gode rutiner og retningslinjer

Det er flere som har vært bekymret for at retten til innsyn vil bli både tidkrevende og kostbar for behandlingsansvarlige og databehandlere. Det er imidlertid mulig å forberede virksomheten på slike begjæringer ved gode interne rutiner og retningslinjer for behandling av innsynsbegjæringer – både med tanke på effektivitet og kostnadsbesparelser.  

Men hvordan er virksomheten rustet til å ta imot innsynsbegjæringer? Hva kan virksomheten gjøre for å få på plass en god rutine?

God behandling av innsynsbegjæringer forutsetter at virksomheten og de ansatte har fokus på å etablere et forhold til hvilke personopplysninger behandles og hvilke behandlingsaktiviteter som foregår. Det forutsettes kjennskap til hvilke systemer brukes og hvor i verden dataene befinner seg til enhver tid.

Bistand fra databehandler

Et godt forhold mellom behandlingsansvarlig og databehandler er viktig for å få på plass gode rutiner. Mange behandlingsansvarlige har databehandlere som lagrer/behandler dataene på vegne av dem. Når innsynsbegjæringer mottas er det derfor ofte nødvendig for den behandlingsansvarlige å kontakte databehandler for bistand. Et fast kontaktpunkt og fastsatt rutine for henvendelser kan være lurt å få på plass.

Personvernombud

For større virksomheter og offentlige etater må et personvernombud på plass. Regelverket fastsetter hovedlinjene for ansvar og arbeidsoppgaver under personvernombudsrollen. I store organisasjoner som behandler en mengde personopplysninger, vil personvernombudet ha hovedansvaret for å videreformidle, ta imot og svare på henvendelser og innsynsbegjæringer. Videre kan det i store organisasjoner være til hjelp å investere i hjelpemidler for å søke opp og identifisere aktuelle personopplysninger i virksomhetens systemer eller andre elektroniske hjelpemidler.

Det bør lages interne rutiner og retningslinjer for behandling av innsynsbegjæringer. En overordnet sjekkliste over hva din virksomhet bør tenke på når innsynsbegjæringer behandles kan være til hjelp i så måte.

Fått forespørsel om innsyn? Her er vår sjekkliste:

  1. Er din virksomhet behandlingsansvarlig eller databehandler?
    Hvis din virksomhet er databehandler må du henvise den registrerte til riktig behandlingsansvarlig.
  2. Må du som behandlingsansvarlig kontakte databehandler for å bistå med henvendelsen?
  3. Verifiser riktig identitet av den registrerte!

    Behandlingsansvarlige skal foreta rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn.

    Det kan for eksempel gjøres ved å:

    • verifisere den registrertes identifikasjon (evt. elektronisk identifikasjon)
    • stille sikkerhetsspørsmål.

    Merk at hvis du mottar personopplysninger i forbindelse med verifisering av identitet, må du behandle disse dataene som andre personopplysninger om den registrerte.

  4. Har du all informasjon du trenger for å behandle begjæringen?

    Et spørsmål som ofte oppstår i forbindelse med innsynsbegjæringer er i hvilken grad du kan be om presisering/avklaring fra den registrerte om hvilke opplysninger vedkommende ønsker innsyn i. Det er viktig å huske at en presisering kan være begge parter gode i tillegg til å forkorte behandlingsperioden. Når det er uklart hva den registrerte ønsker innsyn i kan du be om en avklaring.

    • Kan det utarbeides et skjema for innsynsbegjæringer hvor de registrerte kan huke av hvilke opplysninger de ønsker innsyn i?

    Husk at du ikke har anledning til å avvise innsynskravet hvis den registrerte ikke svarer på anmodning om avklaring. I et slikt tilfelle må du gi innsyn i alle personopplysninger som behandles.

  5. Hvilke systemer må du søke i?
  6. Hvis det viser seg at din virksomhet ikke behandler noe data fra den registrerte kan du informere om det og begjæringen regnes som ferdig behandlet.
  7. Ta en gjennomgang av hva dokumentene som innsynskravet gjelder inneholder.
    • Gjelder dataene korrekt person?
    • Fremkommer det informasjon om andre i dokumentene som må fjernes/sladdes?
  8. Finnes det noen unntaksregler om innsynsretten som du må ta stilling til?
    • Er kravet er overdrevet, gjentatt eller veldig urimelig?
    • Er opplysningene er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser?
    • Er det påkrevd å hemmeligholde opplysningene av hensyn til forebygging, etterforskning, avsløring eller rettslig forfølging av straffbare handlinger?
    • Er det er utilrådelig at den registrerte får kjennskap til opplysningene av hensyn til sin helse eller forholdet til nære pårørende?
    • Er opplysningene er omfattet av lovfestet taushetsplikt?
    • Er det er i strid med åpenbare og grunnleggende private eller offentlige interesser å gi innsyn, medregnet hensynet til den registrerte?
    • Finnes informasjonen utelukkende i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, og er det nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser?
    • Vil innsynet krenke rettighetene og frihetene til andre?
  9. Har du dokumentert utlevering av dokumentasjon?
    • Lag en oversikt over kommunikasjon mellom deg, den registrerte og evt. tredje part.
    • Husk å dokumentere samtaler eller skriftlig kommunikasjon for identifikasjon av den som har begjært innsyn.
    • Dokumenter beslutninger i forbindelse med innsynsbegjæringen.
    • Sørg for å lagre kopi av informasjonen som blir sendt til den registrerte.

Kontakt oss

Christine  Ask Ottesen

Christine Ask Ottesen

Direktør Personvern, PwC Norway

Tlf: 928 09 229

Audur Arny Olafsdottir

Audur Arny Olafsdottir

Advokatfullmektig | Manager, PwC Norway

Tlf: 977 51 335

Følg oss