Tilbake til OSS-biblioteket
📋 Offentlighet, innsyn og personvern 👁️ Innsynsrett

Hvordan skal kommunen behandle et innsynskrav etter personvernforordningen (GDPR)?

📅 11.02.2026 👁️ 8 visninger
Loading the Elevenlabs Text to Speech AudioNative Player...
⚖️ Svar fra advokaten

A) Konklusjon

Når en person ber om innsyn i personopplysninger kommunen behandler om vedkommende, har kommunen plikt til å gi innsyn etter personvernforordningen (GDPR) artikkel 15. Kommunen skal svare uten ugrunnet opphold og senest innen én måned fra forespørselen ble mottatt. Innsynsretten omfatter opplysninger om hvilke personopplysninger som behandles, formålet, kategorier av mottakere, lagringstid og den registrertes rettigheter.

B) Skille-modus

Gjeldende rett

  • Hjemmel: GDPR artikkel 15, gjennomført i norsk rett gjennom personopplysningsloven § 1, jf. EØS-avtalen.
  • Hva den registrerte har rett til:
    • Bekreftelse på om personopplysninger behandles.
    • Kopi av de personopplysninger som behandles.
    • Informasjon om: formål, kategorier av opplysninger, mottakere, lagringstid, rettigheter (retting, sletting, begrensning, protest), rett til å klage til Datatilsynet, kilden til opplysningene, og om det forekommer automatiserte individuelle avgjørelser.
  • Frist: Innen én måned. Kan forlenges med ytterligere to måneder dersom forespørselen er kompleks eller det er mange forespørsler, jf. GDPR artikkel 12 nr. 3. Kommunen skal da informere den registrerte om forlengelsen og grunnen innen én måned.
  • Gratis: Innsyn skal gis kostnadsfritt. Ved åpenbart grunnløse eller overdrevne forespørsler kan det kreves et rimelig gebyr eller nektes å etterkomme forespørselen, jf. GDPR artikkel 12 nr. 5.
  • Unntak i norsk rett: Personopplysningsloven § 16 gir visse unntak fra innsynsretten, bl.a. dersom opplysningene utelukkende finnes i tekst utarbeidet for intern saksforberedelse og det ikke er truffet avgjørelse.

Veiledning/praksis

  • Datatilsynets veileder anbefaler at kommunen har gode rutiner for å identifisere og samle inn alle personopplysninger om den registrerte fra relevante fagsystemer.
  • Det er viktig å verifisere identiteten til den som ber om innsyn for å unngå utlevering til uautoriserte.

Skjønn

  • Ved komplekse forespørsler (mange systemer, store mengder data) kan kommunen be den registrerte presisere hvilke opplysninger/behandlingsaktiviteter forespørselen gjelder, jf. GDPR fortalen punkt 63.

Anbefalt praksis

  • Ha en fast prosedyre for innsynskrav med ansvarsfordeling og sjekkliste.
  • Logg mottakstidspunkt og fristberegning i saksbehandlingssystemet.

C) Hva betyr dette i praksis? (for saksbehandler)

  1. Registrer mottak av innsynskravet umiddelbart med dato.
  2. Verifiser identiteten til personen som ber om innsyn (BankID, legitimasjon e.l.).
  3. Identifiser alle systemer der kommunen behandler personopplysninger om vedkommende (fagsystem, e-post, arkiv, HR-system mv.).
  4. Samle inn opplysningene og vurder om noen unntak gjelder (personopplysningsloven § 16).
  5. Gi svaret skriftlig innen én måned – inkluder alle opplysningene i GDPR art. 15 nr. 1.
  6. Dersom forlengelse er nødvendig: Informer den registrerte innen én måned om forlengelsen og grunnen.
  7. Opplys om klagerett til Datatilsynet.

D) Vilkår og frister

Vilkår Dokumentasjon Frist Konsekvens
Innsynskrav mottatt Registrert i saksbehandlingssystem Umiddelbart
Identitetsverifisering Dokumentert verifisering Snarlig Kan ikke utlevere uten sikker ID
Svar på innsynskrav Skriftlig svar med GDPR art. 15-informasjon 1 måned Brudd på GDPR ved fristoversittelse
Eventuell fristforlengelse Skriftlig varsel med begrunnelse Innen 1 måned Maks forlengelse: 2 måneder ekstra

E) Dokumentasjon (minimum)

  • Innsynskrav med mottaksdato
  • Logg over identitetsverifisering
  • Oversikt over systemer som er gjennomgått
  • Kopi av svaret som er gitt
  • Eventuelt vedtak om unntak med begrunnelse (pol. § 16)
  • Eventuelt varsel om fristforlengelse

F) Kilder

Kilde Type Bindendegrad
Personvernforordningen (GDPR) art. 15 (innsynsrett) Forordning/lov [Bindende]
Personvernforordningen (GDPR) art. 12 (frister og form) Forordning/lov [Bindende]
Personopplysningsloven § 16 (unntak fra innsynsrett) Lov [Bindende]
Datatilsynets veileder om innsynsrett Veileder [Sterkt veiledende]

Sist kontrollert: 11.02.2026

G) Sjekkliste (kopi-inn i rutine)

  1. ☐ Innsynskrav mottatt og registrert med dato
  2. ☐ Identiteten til den registrerte verifisert
  3. ☐ Alle relevante systemer gjennomgått
  4. ☐ Eventuelle unntak (pol. § 16) vurdert og dokumentert
  5. ☐ Svar utarbeidet med alle elementer fra GDPR art. 15 nr. 1
  6. ☐ Svar sendt innen 1 måned
  7. ☐ Klagerett til Datatilsynet opplyst
  8. ☐ Eventuell forlengelse varslet og begrunnet innen 1 måned

H) Vanlige feil og fallgruver

  1. Oversitter fristen på én måned – kommunen er ikke klar over tidskravet eller har ingen rutine for fristovervåking.
  2. Manglende identitetsverifisering – personopplysninger utleveres uten sikker identifisering, noe som i seg selv er et GDPR-brudd.
  3. Ufullstendig svar – kommunen gir bare kopi av én journal, men glemmer andre systemer der opplysninger behandles.
  4. Forveksler GDPR-innsyn med offentlighetslovens innsyn – dette er to forskjellige innsynsordninger med ulike hjemler og frister.
  5. Gir ikke opplysning om klageadgang – den registrerte skal informeres om retten til å klage til Datatilsynet.
Var dette svaret nyttig?

✅ Relaterte sjekklister

Innsynskrav – mottak, vurdering og svar
7 punkter
DPIA (personvernkonsekvensvurdering)
7 punkter
Avvikshåndtering personopplysninger
7 punkter