Hjemmel for innsynsforespørsel/begjæring:
| Lov
|
Hjemmel/§
|
Type innsyn
|
Unntak for innsyn
|
Klage på avslag på innsyn
|
Merknad
|
| Offentleglova (Lov om rett til innsyn i dokument i offentleg verksemd) (OFFL)
|
§3
|
Hovedregel i OFFL er at innsyn skal gis
|
Når vi nekter innsyn skal det være saklig og reelt. Deretter skal vi alltid vurdere om vi likevel kan gi innsyn (= merinnsyn)
|
|
Innsyn i dokumenter
|
|
|
§11
|
Merinnsyn
|
Se §12
|
|
Krever at det gjøres en vurdering for å gi helt eller delvis innsyn. Organet skal vurdere å gi helt eller delvis innsyn.
|
|
|
§16
|
Innsyn i interne dokument
|
|
|
|
|
|
|
|
§13 - Taushetsplikt §14 - Organinterne dokument §15 - eksterne dokument som er hentet inn for den interne saksforberedelsen
|
|
Kap 3 inneholder unntaks bestemmelser, altså de bestemmelsene som utgjør unntak fra hovedregelen i §3.
|
|
|
§9
|
Rett til innsyn i sammenstillinger og informasjon som er lagret i organets databaser.
|
|
|
Såfremt dette kan gjøres med enkle fremgangsmåter. Man må ta utgangspunkt i hva som er mulig på det tidspunktet innsynskravet kommer. En sammenstilling fra en database er som oftest et nytt saksdokument, som må vurderes for innsyn på lik linje med andre dokumenter.
|
|
|
|
|
|
|
|
| Forvaltningsloven (Lov om behandlings-måten i forvaltnings-saker) (FVL)
|
§18
|
Partsinnsyn
|
§18b
|
§21
|
|
|
|
§18d
|
Innsyn i interne dokument
|
|
|
|
|
|
|
|
|
|
|
| Personopplysningsloven (Lov om behandling av person-opplysninger) (POL)
|
|
|
|
|
Innsyn i personopplysninger, ikke innsyn i dokumenter
|
|
|
|
|
§16
|
|
Unntak fra retten til informasjon og innsyn
|
|
|
|
|
§17
|
|
Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmenhetens interesse
|
| Personvernforordningen (PVF)
|
Artikkel 13 (2.b)
|
Innsyn i person-opplysninger
|
|
|
Regelverket gir rett til innsyn i personopplysninger, ikke i hele dokumenter. Personopplysnings-innsyn ikke dokumentinnsyn
|
|
|
Artikkel 14 (2.c)
|
Innsyn i person-opplysninger som er gitt fra andre enn den registrerte (tredjepart)
|
|
|
Den registrerte har rett til å få informasjon fra behandlingsansvarlige om hvilke personopplysninger som er samlet inn fra tredjepart
|
|
|
Artikkel 15
|
Partsinnsyn (den registrertes rett til innsyn)
|
|
|
|
|
|
|
|
|
|
|
Innsynsretten Hovedregelen i offentleglova er at innsyn skal gis (§3).Alle har rett til innsyn i organets saksdokumenter, dvs. i organets logisk avgrensede informasjonsmengder lagret på medium for senere lesing, lytting, fremvisning eller overføring som gjelder ansvarsområdet eller virksomheten til organet. Innsynsretten gjelder uavhengig av journalføringsplikten, dvs. at alle kan be om innsyn i saksdokumenter selv om disse ikke har vært innført på postliste/offentlig journal. Definisjonsparagrafen i loven, §4, bestemmer når innsynsretten begynner å gjelde:
Inngående saksdokumenter
Innsynsretten begynner å gjelde når saksdokumentet er kommet inn til organet, altså før man har startet eller gjort seg ferdig med saksbehandlingen. Et saksdokument er kommet inn til organet når det er mottatt, f.eks. i et postmottak eller i en e-postboks.
Utgående saksdokumenter
Innsynsretten begynner å gjelde når dokumentet er sendt ut av organet.
Organinterne dokumenter
Innsynsretten begynner å gjelde når dokumentet er ferdigstilt, dvs. når det ikke forventes at det skal gjøres flere endringer i det. Nekte innsyn?Hovedregelen i offentleglova er at innsyn skal gis (§3). Loven åpner likevel for at man kan unnta opplysninger, deler av dokumenter eller hele dokumenter fra innsyn hvis man har et saklig og reelt behov for det. Kap. 3 inneholder unntaksbestemmelser, altså de bestemmelsene som utgjør unntak fra hovedregelen i §3. Eventuelle avslag på innsyn skal begrunnes med hjemmel for unntak fra offentligheten i offentleglova og eventuelle andre lover (særlover). Det må henvises til bestemmelsen som gir grunnlag for avslaget, samt hvilket ledd, bokstav eller nummer som er brukt i bestemmelsen. I tillegg må det opplyses om muligheten til å klage på avslaget og klagefrist for dette. Avslaget skal gis skriftlig i tråd med offentleglova §31. Taushetsplikt I noen tilfeller har man plikt til å unnta opplysninger for innsyn. Det gjelder når opplysningene er av person- eller forretningssensitiv karakter, og da skal man ikke utøve merinnsyn. Taushetsplikten gjelder kun opplysninger, og hjemles i §13 første (og ev. andre) ledd jf. den loven som pålegger taushetsplikt. Behov for å nekte innsyn I andre tilfeller kan organet ha et behov for å nekte innsyn. Hvis man mener at man har det, bør man formulere behovet for å finne ut om det er saklig og reelt. Deretter skal man alltid vurdere om man likevel kan gi innsyn (merinnsyn). SladdingVær sikker på at dere har sikkert verktøy for sladding/elektronisk sladding. Sladdesvikt kan medføre at sensitive opplysninger (særlige kategorier av personopplysninger) plukkes opp av søkemotorer på internett. Send aldri særlige kategorier av personopplysninger per e-post uten kryptering. Mange har rutine for sladding ved at dokument skrives ut, sladdes med svart tusj og deretter skanner dokumentet på nytt. Det viser seg at dette ikke lenger er en sikker måte å sladde på. Det finnes verktøy som kan klare å skille ut tekst fra tusjen, slik at teksten blir leselig. Ved sladding av særlige kategorier personopplysninger anbefales det at en har en rutine for at sladdingen skal kontrolleres gjennom to ledd. Det understrekes at man også bør slette metadata i elektroniske dokumenter. Innsyn i personopplysningerRetten til innsyn gir den registrerte rett til å få en kopi av personopplysninger og annen tilleggsinformasjon. Den behandlingsansvarlige kan anmode den registrerte om å presisere hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder. En innsynsforespørsel relaterer seg til personopplysningene slik de er idet forespørselen blir mottatt. Det er opplysningene på det tidspunktet som skal utleveres. (Eventuelle endringer som skjer i tidsrommet fra innsynsforespørsel til svar blir gitt skal ikke være med). Hva har den registrerte rett til? Den registrerte har rett til å få følgende informasjon:
- En bekreftelse på at virksomheten bruker deres personopplysninger.
- En kopi av vedkommendes personopplysninger som virksomheten har.
- Annen tilleggsinformasjon = i stor grad informasjon virksomheten bør ha i sin personvernerklæring.
I tillegg til en kopi av sine personopplysninger skal virksom heten også gi den registrere følgende informasjon:
- Begrunnelse for virksomhetens behandling av dataene.
- Kategoriene av personopplysninger som blir brukt.
- Hvor lenge virksomheten beholder dataene.
- Eksistens av den registrertes rett til å be om retting, sletting, begrensning eller nektelse av slik behandling av deres personopplysninger.
- Retten til å klage til Datatilsynet.
- Informasjon om kilden til dataen der de ikke var samlet direkte fra den registrerte.
- Eksistensen av automatiserte beslutninger (profilering inkludert).
- Sikringstiltakene virksomheten tar i bruk dersom den registrertes personopplysninger blir sendt til et annet land eller internasjonal virksomhet.
En godt skrevet personvernerklæring eller personverninformasjon vil dekke det meste av punktene over. Innsynsbestemmelsen medfører at den registrerte vil ha innsyn i mange forskjellige typer dokumenter, også interne dokumenter. Fritekstfelt/chat der den registrerte er omtalt skal være omfattet. Innsynet gjelder kun personopplysningene om vedkommende, annen informasjon kan sladdes. Egne skjema for innsynsbegjæring? Standardskjema kan gjøre det lettere å identifisere en forespørsel om innsyn. En innsynsforespørsel er gyldig uansett hvordan den blir levert til virksomheten. Hvordan skal opplysningene formidles til de registrerte? Dersom forespørselen sendes elektronisk bør virksomheten svare elektronisk. Svar gjennom den vanlige elektroniske kanal men kommuniserer med den registrerte på. OBS! Ikke send særlige kategorier av personopplysninger på epost uten at de er kryptert. Må man forklare informasjonen som sendes til den registrerte? Det kreves at informasjonen som virksomheten deler med de registrerte er konsis, forståelig, leselig og lett tilgjengelig. Være formidlet med bruk av klart og tydelig språk. (eventuelle kodinger må forklares) Hva med forespørsler om store mengder personopplysninger? Om virksomheten behandler stor mengde informasjon om den registrerte, så kan virksomheten be dem om ekstra informasjon slik at forespørselen kan spesifiseres om konkrete personopplysninger. Virksomheten kan bare be om informasjons som trengs for å finne personopplysningene som forespørselen gjelder. Perioden for å svare på forespørselen begynner i det virksomheten mottar den ekstra informasjonen. Hva med forespørsler som er gjort på andres vegne? Forordningen hindrer ikke en registrert fra å sende innsynsforespørsel via en tredjepart. I tilfeller der en opptrer på vegne av en annen skal det foreligge en fullmakt. Hva med informasjon som inneholder personopplysninger om andre? Dersom et innsyn omhandler personopplysninger om flere mennesker, må man sørge for at det ikke utleveres opplysninger om andre enn den som begjærer innsyn. NB! Regelverket gir rett til innsyn i personopplysninger, ikke i hele dokumenter. Personopplysningsinnsyn ikke dokumentinnsyn. Innsyn og bruk av databehandlere Der er den behandlingsansvarliges ansvar å behandle innsynsforespørsler, ikke databehandlerens. OBS! Databehandleravtalen må si noe om hvordan innsynsbegjæringer skal håndteres og hvem som skal betale for arbeidet. Dersom en forespørsel sendes til virksomhetens databehandler, gjelder innsynsretten like fullt og databehandleren skal varsle den behandlingsansvarlige. Svarfrist = en måned. Fristen kan ikke forlenges selv om en databehandler må finne frem informasjonen for den behandlingsansvarlige. Virksomheten kan kun forlenge svarfristen om forespørselen er kompleks eller den registrerte har sendt flere forespørsler. Unntak fra innsynsretten Virksomheter som er underlagt offentleglova vil i enkelte situasjoner kunne nekte innsyn på grunn av lovens særskilte bestemmelser. Den nye norske personopplysningsloven har også eksplisitte unntak for innsynsretten (eksempel POL §16). |
