Indsigtsret
Indsigtsretten er en af de mest grundlæggende rettigheder i GDPR. Den giver enhver person ret til at få bekræftet, om en virksomhed behandler personoplysninger om vedkommende, og i givet fald få adgang til oplysningerne og en række supplerende informationer om behandlingen.
Hvad har den registrerede ret til at få oplyst?
Når en person anmoder om indsigt, har vedkommende ret til at få en bekræftelse på, om personoplysninger behandles. Hvis det er tilfældet, skal virksomheden oplyse om formålet med behandlingen; de kategorier af personoplysninger der behandles; modtagere eller kategorier af modtagere, som data er videregivet til; det forventede tidsrum for opbevaring, eller kriterierne for at fastsætte det; retten til berigtigelse, sletning, begrænsning og indsigelse; retten til at klage til Datatilsynet; hvor oplysningerne stammer fra, hvis de ikke er indsamlet hos den registrerede selv; og om der foretages automatiske afgørelser, herunder profilering.
Hvordan håndterer du en indsigtsanmodning?
Virksomheden skal besvare en indsigtsanmodning uden unødig forsinkelse og senest inden for en måned. Fristen kan forlænges med yderligere to måneder, hvis anmodningen er kompleks eller der er modtaget mange anmodninger, men den registrerede skal informeres om forlængelsen inden for den første måned. Den første kopi af oplysningerne skal udleveres gratis. For yderligere kopier kan virksomheden opkræve et rimeligt gebyr baseret på administrationsomkostningerne. Oplysningerne skal som udgangspunkt leveres i et almindeligt anvendt elektronisk format, hvis anmodningen er indgivet elektronisk.
Identitetskontrol og afvisning
Før du udleverer personoplysninger, skal du sikre dig, at anmodningen faktisk kommer fra den registrerede. Du kan bede om yderligere oplysninger til at bekræfte identiteten, men du må ikke stille urimelige krav. Hvis du har rimelig tvivl om identiteten, kan du anmode om yderligere verifikation. Du kan afvise en anmodning, hvis den er åbenbart grundløs eller overdreven, fx ved gentagne anmodninger. I så fald skal du dog kunne dokumentere, hvorfor anmodningen vurderes som overdreven. Afvisning skal begrundes skriftligt med henvisning til klageadgang hos Datatilsynet.
Begrænsninger af indsigtsretten
Indsigtsretten er ikke absolut. Retten må ikke krænke andres rettigheder og friheder, herunder forretningshemmeligheder og intellektuel ejendomsret. Hvis de ønskede oplysninger indeholder data om andre personer, skal virksomheden afveje de modsatrettede interesser. Den danske databeskyttelseslov indeholder desuden undtagelser, fx kan indsigtsretten begrænses af hensyn til forebyggelse, efterforskning og strafforfølgning, til beskyttelse af den registrerede selv, eller af hensyn til væsentlige samfundsmæssige interesser.
Indsigtsret i praksis: Medarbejdere og kunder
De to mest almindelige scenarier for indsigtsanmodninger er medarbejdere og kunder. Nuværende og tidligere medarbejdere kan anmode om indsigt i alt fra lønsedler og evalueringer til e-mails, der nævner dem. Det kan være ressourcekrævende at gennemgå store mængder data, men pligten består. For kunder handler det typisk om at udlevere profildata, købshistorik, kommunikationshistorik og eventuelle noter. Mange virksomheder opretter selvbetjeningsløsninger, hvor kunder kan downloade deres data direkte, hvilket reducerer den manuelle byrde.
Vigtigste punkter
- Enhver person har ret til at vide, om en virksomhed behandler data om dem
- Svar skal gives inden for en måned (kan forlænges med to måneder)
- Første kopi er gratis, yderligere kopier kan koste et administrationsgebyr
- Virksomheden skal verificere anmoderens identitet før udlevering
- Retten kan begrænses af hensyn til andres rettigheder og forretningshemmeligheder
- Selvbetjeningsløsninger kan reducere den manuelle håndtering betydeligt