Artikkel 15. Den registrertes rett til innsyn

Sammendrag: Den personopplysninger gjelder (registrerte) har rett til å vite om det behandles personopplysninger om vedkommende, rett til spesifikk informasjon om behandlingen og innsyn i opplysningene. Vedkommende skal informeres dersom opplysninger om denne overføres ut av EØS, og grunnlag for overføringen. Bestemmelsen har regulering av tilgangen til opplysningene. Utlevering av opplysninger skal ikke ha negativ innvirkning på andre personers personvern.

Primære fortalepunkter

Rett til innsyn*

63. En registrert bør ha rett til å få innsyn i personopplysninger som er samlet inn om vedkommende, og til på en enkel måte og med rimelige intervaller å utøve denne retten for å forvisse seg om og kontrollere at behandlingen er lovlig. Dette omfatter de registrertes rett til å få innsyn i egne helseopplysninger, f.eks. opplysninger i egen pasientjournal om diagnoser, undersøkelsesresultater, behandlende leges vurderinger og enhver behandling som er gitt, eller enhver intervensjon som er utført. Alle registrerte bør derfor ha rett til å kjenne til og bli informert om formålene med behandlingen av personopplysninger, om mulig om perioden som personopplysningene behandles i, hvem mottakerne av personopplysningene er, logikken som ligger bak en eventuell automatisk behandling av personopplysningene, og konsekvensene av nevnte behandling, i det minste dersom den er basert på profilering. Dersom det er mulig, bør den behandlingsansvarlige kunne gi fjerntilgang til et sikkert system der den registrerte kan få direkte tilgang til egne personopplysninger. Denne retten bør ikke ha negativ innvirkning på andres rettigheter eller friheter, herunder forretningshemmeligheter eller immaterialretten, særlig opphavsretten som programvaren er beskyttet av. Disse hensynene bør imidlertid ikke føre til at den registrerte nektes innsyn i alle opplysninger. Dersom den behandlingsansvarlige behandler en stor mengde opplysninger om den registrerte, bør den behandlingsansvarlige før informasjonen gis, kunne anmode om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.
*ikke offisiell overskrift

Kontroll av identitet ved innsyn*

64. Den behandlingsansvarlige bør treffe alle rimelige tiltak for å kontrollere identiteten til en registrert som anmoder om innsyn, særlig i forbindelse med nettjenester og nettidentifikatorer. En behandlingsansvarlig bør ikke lagre personopplysninger utelukkende for å kunne svare på mulige anmodninger.
*ikke offisiell overskrift

Andre aktuelle fortalepunkter

Sikring av registrertes utøvelse av rettigheter*

59. Det bør fastsettes nærmere regler for å sikre at den registrerte på en enkel måte kan utøve sine rettigheter i henhold til denne forordning, herunder mekanismer for å anmode om og, dersom det er relevant, kostnadsfritt få innsyn i personopplysninger og få rettet eller slettet disse, samt utøve retten til å protestere. Den behandlingsansvarlige bør også gjøre det mulig å inngi anmodninger elektronisk, særlig dersom personopplysninger behandles elektronisk. Den behandlingsansvarlige bør ha plikt til å svare på anmodninger fra den registrerte uten ugrunnet opphold, og senest innen én måned, samt å begrunne sitt svar dersom den behandlingsansvarlige ikke akter å imøtekomme nevnte anmodninger.
*ikke offisiell overskrift

Begrensninger i de registrertes rettigheter etter nasjonal lov*

73. Særlige prinsipper og retten til informasjon, innsyn i og retting eller sletting av personopplysninger, retten til dataportabilitet, retten til å protestere, avgjørelser basert på profilering samt underretning av en registrert om brudd på personopplysningssikkerheten og visse tilhørende forpliktelser som påhviler de behandlingsansvarlige, kan begrenses av unionsretten eller medlemsstatenes nasjonale rett i den grad det i et demokratisk samfunn er nødvendig og forholdsmessig av hensyn til den offentlige sikkerhet, herunder vern av menneskeliv, særlig som følge av naturkatastrofer eller menneskeskapte katastrofer, forebygging, etterforskning og straffeforfølging av straffbare forhold eller iverksetting av strafferettslige sanksjoner, herunder vern mot og forebygging av trusler mot den offentlige sikkerhet, eller brudd på yrkesetiske regler i lovregulerte yrker, andre viktige mål i allmennhetens interesse i Unionen eller en medlemsstat, særlig en viktig økonomisk eller finansiell interesse for Unionen eller en medlemsstat, føring av offentlige registre i allmennhetens interesse, viderebehandling av arkiverte personopplysninger for å framlegge særlig informasjon om politisk atferd under tidligere totalitære regimer eller vern av den registrerte eller andres rettigheter og friheter, herunder sosial trygghet, folkehelse og humanitære formål. Nevnte begrensninger bør være i samsvar med kravene fastsatt i pakten og i Den europeiske konvensjon om beskyttelse av menneskerettighetene og de grunnleggende friheter.
*ikke offisiell overskrift

Forholdet til innsynsrett i offentlige dokumenter*

154. Denne forordning gir mulighet for at det ved anvendelse av denne forordning kan tas hensyn til prinsippet om allmennhetens rett til innsyn i offentlige dokumenter. Innsyn i offentlige dokumenter kan anses for å være i allmennhetens interesse. Personopplysninger i dokumenter som oppbevares av en offentlig myndighet eller et offentlig organ, bør kunne offentliggjøres av nevnte myndighet eller organ dersom dette er fastsatt i unionsretten eller medlemsstatenes nasjonale rett som den offentlige myndigheten eller det offentlige organet er underlagt. Nevnte lovbestemmelser bør bringe allmennhetens rett til innsyn i offentlige dokumenter og viderebruk av informasjon fra offentlig sektor i samsvar med retten til vern av personopplysninger, og kan derfor inneholde bestemmelser om det nødvendige samsvaret med retten til vern av personopplysninger i henhold til denne forordning. Offentlige myndigheter og organer bør i denne forbindelse omfatte alle myndigheter eller andre organer som omfattes av medlemsstatenes nasjonale rett om dokumentinnsyn. Europaparlaments- og rådsdirektiv 2003/98/EF opprettholder og berører på ingen måte beskyttelsesnivået for fysiske personer ved behandling av personopplysninger i henhold til bestemmelsene i unionsretten og medlemsstatenes nasjonale rett, og det endrer især ikke forpliktelsene og rettighetene fastsatt i denne forordning. Nevnte direktiv bør særlig ikke få anvendelse på dokumenter som det i henhold til innsynsordningene ikke er eller er begrenset innsyn i av hensyn til vern av personopplysninger, og deler av dokumenter som er tilgjengelig i henhold til disse ordningene, men som inneholder personopplysninger hvis viderebruk ved lov er fastsatt som uforenlig med lovgivningen om vern av fysiske personer ved behandling av personopplysninger.
*ikke offisiell overskrift

Engelsk tekst

Article 15. Right of access by the data subject

1. The data subject shall have the right to obtain from the controller confirmation as to whether or not personal data concerning him or her are being processed, and, where that is the case, access to the personal data and the following information:

(a) the purposes of the processing;

(b) the categories of personal data concerned;

(c) the recipients or categories of recipient to whom the personal data have been or will be disclosed, in particular recipients in third countries or international organisations;

(d) where possible, the envisaged period for which the personal data will be stored, or, if not possible, the criteria used to determine that period;

(e) the existence of the right to request from the controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing;

(f) the right to lodge a complaint with a supervisory authority;

(g) where the personal data are not collected from the data subject, any available information as to their source;

(h) the existence of automated decision-making, including profiling, referred to in Article 22 (1) and (4) and, at least in those cases, meaningful information about the logic involved, as well as the significance and the envisaged consequences of such processing for the data subject.

2. Where personal data are transferred to a third country or to an international organisation, the data subject shall have the right to be informed of the appropriate safeguards pursuant to Article 46 relating to the transfer.

3. The controller shall provide a copy of the personal data undergoing processing. For any further copies requested by the data subject, the controller may charge a reasonable fee based on administrative costs. Where the data subject makes the request by electronic means, and unless otherwise requested by the data subject, the information shall be provided in a commonly used electronic form.

4. The right to obtain a copy referred to in paragraph 3 shall not adversely affect the rights and freedoms of others.

1. Den registrerte skal ha rett til å få den behandlingsansvarliges bekreftelse på om personopplysninger om vedkommende behandles, og, dersom dette er tilfellet, innsyn i personopplysningene og følgende informasjon:

a) formålene med behandlingen,

b) de berørte kategoriene av personopplysninger,

c) mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner,

d) dersom det er mulig, hvor lenge det forventes at personopplysningene vil bli lagret, eller, dersom dette ikke er mulig, kriteriene som brukes for å fastsette denne perioden,

e) retten til å anmode den behandlingsansvarlige om retting eller sletting av personopplysninger eller begrensning av behandlingen av personopplysninger som gjelder den registrerte, eller til å protestere mot nevnte behandling,

f) retten til å klage til en tilsynsmyndighet,

g) dersom personopplysningene ikke er samlet inn fra den registrerte, all tilgjengelig informasjon om hvor personopplysningene stammer fra,

h) forekomsten av automatiserte avgjørelser, herunder profilering, som nevnt i artikkel 22 nr. 1 og 4, og, i det minste i nevnte tilfeller, relevant informasjon om den underliggende logikken samt om betydningen og de forventede konsekvensene av en slik behandling for den registrerte.

2. Dersom personopplysningene overføres til en tredjestat eller til en internasjonal organisasjon, skal den registrerte ha rett til å bli underrettet om de nødvendige garantiene i henhold til artikkel 46 i forbindelse med overføringen.

3. Den behandlingsansvarlige skal gjøre tilgjengelig en kopi av personopplysningene som behandles. Dersom den registrerte anmoder om flere kopier, kan den behandlingsansvarlige kreve et rimelig gebyr basert på administrasjonskostnadene. Dersom den registrerte inngir anmodningen elektronisk, og med mindre den registrerte anmoder om noe annet, skal informasjonen gis i en vanlig elektronisk form.

4. Retten til å motta en kopi nevnt i nr. 3 skal ikke ha negativ innvirkning på andres rettigheter og friheter.

< Artikkel 14 | Artikkel 16 >

Kurs i GDPR