Fysiske personers har ret til at få indsigt i oplysninger om sig selv samt en række
yderligere oplysninger, herunder bl.a. om formålet med behandlingen, hvem oplysninger deles med og det tidsrum oplysninger opbevares i. Det Europæiske Databeskyttelsesråd, også kaldet EDPB, har udgivet en fyldig vejledning om, hvad denne ret til indsigt indebærer.
EDPB slår først fast, at indsigtsretten er en grundlæggende ret, som også støtter sig på den Europæiske Unions charter om grundlæggende rettigheder.
Indsigtsretten skal sikre de registrerede gennemsigtighed om, hvilke personoplysninger der behandles om dem, og mulighed for at kontrollere, at personoplysningerne er korrekte, samt at behandlingen er lovlig. Indsigt gør det også lettere for den registrerede at udøve andre rettigheder såsom retten til sletning eller berigtigelse.
Den registrerede skal ikke begrunde anmodningen om indsigt, og det er ikke op til den
den dataansvarlige myndighed eller virksomhed at analysere, om anmodningen faktisk vil hjælpe den registrerede med at verificere lovligheden af den relevante behandling eller udøve andre rettigheder.
Når du besvarer en anmodning om indsigt, har den registerede ret til at få oplysninger om følgende tre elementer:
Vejledningen fra EDPB beskriver bl.a.
Indsigtsrettens omfang, herunder rækkevidden af begrebet personoplysninger som defineret i art. 4(1) i GDPR.
Beskrivelse af, hvordan indsigten opfyldes, herunder at du skal søge efter personoplysninger i alle it-systemer og manuelle registre, og at du skal formidle dataene og de øvrige oplysninger om behandlingen i en kortfattet, gennemsigtig, forståelig og let tilgængelig form ved brug af et klart og tydeligt sprog.
Vejledningen beskriver også hvordan oplysningerne kan fremsendes og understreger, at det skal ske på en sikker måde.
Undtagelser til indsigtretten. GDPR (og i Danmark den danske databeskyttelseslov) indeholder visse begrænsninger til indsigtreetten. Der gælder ikke et generelt forbehold for proportionalitet mht. den indsats, den dataansvarlige skal gøre for at efterkomme den registreredes anmodning. Du må kun undtage oplysninger fra indsigt, efter en konkret vurdering af, om en af undtagelserne berettiger dette, og du må kun udelade de oplysninger, som er dækket af undtagelsen.
I art. 12(5) giver GDPR mulighed for at afvise anmodninger, der er åbenlyst grundløse eller overdrevne, eller alternativt at opkræve et rimeligt gebyr for sådanne anmodninger. Dette skal ifølge vejledningen fra EDPB fortolkes snævert, og den dataansvarlige har bevisbyrden for en anmodnings åbenlyst grundløse eller overdrevne karakter.
Når du skal håndtere indsigtsanmodninger efter GDPR, kan du nemt komme i tvivl om, hvordan du skal gøre det. Her giver denne vejledning med sine 63 sider den mest udførlige gennemgang, vi hidtil har set. Jeg vil derfor anbefale, at du finder den frem, hvis situationen opstår.
Det kan være, din organisation har udformet interne retningslinjer, vejledninger eller procedurer for håndtering af indsigtsanmodninger eller skal i gang med det. Sådanne retningslinjer mv. kan bestemt anbefales og vil - afhængigt af organisationens størrelse og karakter - evt. også være et nødvendigt tiltag for at leve om til GDPR's krav om ansvarlighed. Jeg vil foreslå, at den, der skriver jeres retningslinjer mv. , tjekker indholdet op imod vejledningen.
Hvis I allerede har udformet interne retningslinjer, vejledninger eller procedurer om håndtering af indsigtsanmodninger, vil jeg anbefale, at I ved førstkommende gennemgang og opdatering tager indholdet af vejledningen i betragtning.
Generelt er min erfaring, at retningslinjer mv. på persondataområdet ikke kan stå uberørte i årevis. Persondataområdet er i en rivende udvikling, hvor vi løbende får ny praksis og nye vejledninger fra domstolen, Datatilsynet og EDPB.
Efter min opfattelse bør organisationens vejledninger og retningslinjer mv. derfor gensøges og efter behov opdateres på årlig basis. Dette kan i øvrigt også ses som et nødvendigt element i efterlevelse af GDPR's krav om ansvarlighed (artikel 24).
.........................................
Dette er en nyhedstekst, som fremhæver udvalgte elementer fra en afgørelse eller vejledning mv. For den fulde forståelse henvises til indholdet af afgørelsen eller vejledningen og evt. professionel rådgivning.
Dato: 28. marts 2023
Titel: Guidelines 01/2022 on data subject rights - Right of access. Version 2.0
Herudover har Datatilsynet truffet en række konkrete afgørelser vedr. indsigtretten. Du kan finde dem ved at søge på "indsigt" på www.datatilsynet.dk.
Bliv ekspert i indsigtsreglerne
Deltag i workshop: Besvarelse af de registreredes anmodninger om indsigt og øvrige rettigheder den 26. oktober 2023.
Eller tag et grundigt heldagskursus i GDPR (udbydes flere gange)
Hjemmeside: www.lenasalin.dk
Copyright © Alle rettigheder forbeholdes
Telefon: +45 60 60 52 20