Fysiske personers har ret til at få indsigt i oplysninger om sig selv samt en række

yderligere oplysninger, herunder  bl.a. om formålet med behandlingen, hvem  oplysninger deles med og  det tidsrum oplysninger opbevares i. Det Europæiske Databeskyttelsesråd, også kaldet EDPB, har udgivet en fyldig vejledning om, hvad denne ret til indsigt indebærer. 

EDPB slår først fast, at indsigtsretten er en grundlæggende ret, som også støtter sig på den Europæiske Unions charter om grundlæggende rettigheder.

Indsigtsretten skal sikre de registrerede gennemsigtighed om, hvilke personoplysninger der behandles om dem,  og mulighed for at kontrollere, at personoplysningerne er korrekte, samt at behandlingen er lovlig. Indsigt gør det også lettere for den registrerede at udøve andre rettigheder såsom retten til sletning eller berigtigelse.

Den registrerede skal ikke begrunde anmodningen om indsigt, og det er ikke op til den
den dataansvarlige myndighed eller virksomhed at analysere, om anmodningen faktisk vil hjælpe den registrerede med at verificere lovligheden af den relevante behandling eller udøve andre rettigheder.

Når du besvarer en anmodning om indsigt, har den registerede ret til at få oplysninger om følgende tre elementer:

• Bekræftelse af, om data om personen behandles eller ej.
• Indsigt i  (dvs. kopi af) alle oplysningern der behandles om vedkommende.
• En nærmere beskrevet række informationer om behandlingen, såsom formål kategorier af data og modtagere, varigheden af behandlingen, den registreredes rettigheder og om de fornødne garantier i tilfælde af tredjelandeoverførsler.

Hvad indeholder EDPB's vejledning om indsigtsretten? 

Vejledningen fra EDPB beskriver bl.a.

• De overvejelser man som dataansvarlig skal gøre sig, når man modtager og besvarer en anmodning om indsigt efter GDPR,
• At den dataansvarlige skal sørge for passende og brugervenlige kommunikationskanaler, der nemt kan bruges af den registrerede
• At hvis det ikke er muligt at  identificere oplysninger, der vedrører den registrerede, skal den dataansvarlige informere den registrerede om dette og kan i givet fald afslå indsigtsanmodningen, medmindre den registrerede giver yderligere oplysninger, der muliggør identifikation.

• Indsigtsrettens omfang, herunder rækkevidden af begrebet personoplysninger som defineret i art. 4(1) i GDPR.

• Beskrivelse af, hvordan indsigten opfyldes, herunder at du skal søge efter personoplysninger i alle it-systemer og  manuelle registre, og at du skal formidle dataene og de øvrige oplysninger om behandlingen i en kortfattet, gennemsigtig, forståelig og let tilgængelig form ved brug af et klart og tydeligt sprog.

• Vejledningen beskriver også hvordan oplysningerne kan fremsendes og understreger, at det skal ske på en sikker måde. 

• Undtagelser til indsigtretten. GDPR (og i Danmark den danske databeskyttelseslov) indeholder visse begrænsninger til indsigtreetten. Der gælder ikke et generelt forbehold for proportionalitet mht. den indsats, den dataansvarlige skal gøre for at efterkomme den registreredes anmodning. Du må kun undtage oplysninger fra indsigt, efter en konkret vurdering af, om en af undtagelserne berettiger dette, og du må kun udelade de oplysninger, som er dækket af undtagelsen. 

• I art. 12(5) giver  GDPR mulighed for at afvise anmodninger, der er åbenlyst grundløse eller overdrevne, eller alternativt at opkræve et rimeligt gebyr for sådanne anmodninger. Dette skal ifølge vejledningen fra EDPB fortolkes snævert, og den dataansvarlige har bevisbyrden for en anmodnings åbenlyst grundløse eller overdrevne karakter.

Kommentarer

Når du skal håndtere indsigtsanmodninger efter GDPR, kan du nemt komme i tvivl om, hvordan du skal gøre det. Her giver denne vejledning med sine 63 sider den mest udførlige gennemgang, vi hidtil har set. Jeg vil derfor anbefale, at du finder den frem, hvis situationen opstår.  

Det kan være, din organisation har udformet interne retningslinjer, vejledninger eller procedurer for håndtering af indsigtsanmodninger eller skal i gang med det. Sådanne retningslinjer mv. kan bestemt anbefales og vil - afhængigt af organisationens størrelse og karakter - evt. også være et nødvendigt tiltag for at leve om til GDPR's krav om ansvarlighed. Jeg vil foreslå, at den, der skriver jeres retningslinjer mv. , tjekker indholdet op imod vejledningen. 

Hvis I allerede har udformet interne retningslinjer, vejledninger eller procedurer om  håndtering af indsigtsanmodninger, vil jeg anbefale, at I ved  førstkommende gennemgang og opdatering tager indholdet af vejledningen i betragtning.

Generelt er min erfaring, at retningslinjer mv. på persondataområdet ikke kan stå uberørte i årevis. Persondataområdet er i en rivende udvikling, hvor vi løbende får ny praksis og nye vejledninger fra  domstolen, Datatilsynet og EDPB.

Efter min opfattelse bør organisationens vejledninger og retningslinjer mv. derfor gensøges og efter behov opdateres  på årlig basis. Dette kan i øvrigt også ses som et nødvendigt element i efterlevelse af GDPR's krav om ansvarlighed (artikel 24).

.........................................

Dette er en nyhedstekst, som fremhæver udvalgte elementer fra en afgørelse eller vejledning mv. For den fulde forståelse henvises til indholdet af afgørelsen eller vejledningen og evt. professionel rådgivning.