Sammendrag: Den personopplysninger gjelder har rett til å vite om det behandles personopplysninger om vedkommende, rett til spesifikk informasjon om behandlingen og innsyn i opplysningene. Vedkommende skal informeres dersom opplysninger om denne overføres ut av EØS, og grunnlag for overføringen. Bestemmelsen har regulering av tilgangen til opplysningene. Utlevering av opplysninger skal ikke ha negativ innvirkning på andre personers personvern.

Fortalepunkter

59) Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å protestere. Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodninger.

63) En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.

66) For å styrke retten til å bli glemt på internett bør retten til sletting også utvides, slik at en behandlingsansvarlig som har offentliggjort personopplysningene, har plikt til å underrette de behandlingsansvarlige som behandler nevnte personopplysninger, om at alle lenker til eller kopier eller reproduksjoner av nevnte personopplysninger skal slettes. I den forbindelse bør nevnte behandlingsansvarlig treffe rimelige tiltak, idet det tas hensyn til tilgjengelig teknologi og de midler den behandlingsansvarlige har til rådighet, herunder tekniske tiltak, for å underrette de behandlingsansvarlige som behandler personopplysningene, om den registrertes anmodning.

68) For å gi den registrerte økt kontroll over egne personopplysninger bør den registrerte, ved automatisert behandling av personopplysningene, også ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til en behandlingsansvarlig i et strukturert, alminnelig anvendt, maskinlesbart og kompatibelt format, og til å overføre dem til en annen behandlingsansvarlig. Behandlingsansvarlige bør oppmuntres til å utvikle kompatible formater som muliggjør dataportabilitet. Denne retten bør få anvendelse dersom den registrerte har gitt personopplysninger på grunnlag av et samtykke, eller dersom behandlingen er nødvendig for å oppfylle en avtale. Den bør ikke få anvendelse dersom behandlingen er basert på et annet rettslig grunnlag enn et samtykke eller en avtale. Denne retten er av en slik art at den ikke bør utøves overfor behandlingsansvarlige som behandler personopplysninger som et ledd i utøvelsen av sine offentlige oppgaver. Den bør derfor ikke få anvendelse dersom behandlingen av personopplysninger er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige, eller for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt. Den registrertes rett til å overføre eller motta personopplysninger om seg selv bør ikke innebære at de behandlingsansvarlige har plikt til å innføre eller opprettholde teknisk kompatible behandlingssystemer. Dersom et bestemt sett med personopplysninger berører mer enn én registrert, bør retten til å motta personopplysningene ikke berøre andre registrertes rettigheter og friheter i samsvar med denne forordning. Denne retten bør videre ikke berøre den registrertes rett til å få slettet personopplysninger samt begrensningene av denne retten som fastsatt i denne forordning, og bør særlig ikke innebære sletting av personopplysninger om den registrerte som vedkommende har gitt med henblikk på å oppfylle en avtale, i den grad og så lenge personopplysningene er nødvendige for å oppfylle nevnte avtale. Dersom det er teknisk mulig, bør den registrerte ha rett til å få personopplysningene overført direkte fra én behandlingsansvarlig til en annen.

Relatert

Engelsk

Article 15. Right of access by the data subject

1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

(a) the purposes of the processing;

(b) the categories of personal data concerned;

(c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;

(d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

(e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;

(f) the right to lodge a complaint with a supervisory authority;

(g) where the personal data are not collected from the data subject, any available information as to their source;

(h) the existence of automated decision-making, including profiling, referred to in Article 22 (1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer.

3. The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.

4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others.

1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a) formålene med behandlingen,

b) de berørte kategoriene av personopplysninger,

c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,

d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e) retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,

f) retten til å klage til en tilsynsmyndighet,

g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.

3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

< Artikkel 14 | Artikkel 16 >