Innsynsbegjæring fra kunde eller ansatt: hvordan svare?

En innsynsbegjæring blir enklest når virksomheten vet hvor opplysningene finnes, hvem som skal svare og hvordan svaret kan gis uten å avsløre for mye eller for lite.

Denne guiden er skrevet som praktisk oversikt for bedrifter. Den erstatter ikke konkret juridisk vurdering av din faktiske situasjon, dokumentasjon eller frister.

Kort svar

En innsynsbegjæring blir enklest når virksomheten vet hvor opplysningene finnes, hvem som skal svare og hvordan svaret kan gis uten å avsløre for mye eller for lite.

Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke data og systemer innsynsbegjæringen faktisk gjelder, hvordan identitet og omfang skal avklares før søk og hvordan svaret dokumenteres og sendes.

Når dette blir aktuelt

når kunder eller ansatte ber om innsyn i egne opplysninger
når opplysningene ligger spredt i flere systemer
når virksomheten er usikker på hvor detaljert svaret må være

Det bedriften bør avklare først

Spørsmål	Hvorfor det betyr noe
Hvilke data og systemer innsynsbegjæringen faktisk gjelder	avgjør om svaret blir komplett
Hvordan identitet og omfang skal avklares før søk	er viktig for å unngå både feilutlevering og unødvendig arbeid
Hvordan svaret dokumenteres og sendes	reduserer risikoen for nye spørsmål og klager

Slik bør dere gå fram

Bekreft hvem som ber om innsyn og presiser gjerne hvilke forhold forespørselen gjelder.
Lag en søkeplan for relevante systemer, mapper og eventuelle manuelle kilder.
Vurder om noe må skjermes fordi det gjelder andre personer eller lovlige unntak.
Svar skriftlig og lagre spor på hva som er levert og hvorfor.

Dokumenter og spor som bør være på plass

I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.

selve innsynsbegjæringen og eventuell legitimasjonskontroll
oversikt over systemer og kilder som er søkt i
kopi av svaret og eventuelle vedlegg
intern vurdering av skjerming eller avgrensning

Typiske feil

virksomheten svarer bare fra det systemet som er lettest tilgjengelig
forespørselen avklares ikke og blir derfor enten for smal eller for bred
det finnes ingen dokumentasjon på hva som faktisk ble gitt ut

Når bør dere få konkret hjelp?

Når begjæringen gjelder mye data, konfliktfylte personalsaker eller flere systemer, bør håndteringen kvalitetssikres før svar sendes.

Innsynsbegjæring fra kunde eller ansatt: hvordan svare?

Kort svar

Når dette blir aktuelt

Det bedriften bør avklare først

Slik bør dere gå fram

Dokumenter og spor som bør være på plass

Typiske feil

Når bør dere få konkret hjelp?

Relaterte guider

Offentlige kilder og videre lesning

Flere guider i Personvern

Behandlingsgrunnlag: hvordan velge riktig grunnlag

Personvernerklæring: hvem trenger det og hva bør stå der?

Databehandleravtale: hva må være med?

Protokoll over behandlingsaktiviteter: slik kommer du i gang

Selskapsrett

Skatterett

Arbeidsrett