Rutiner for innsyn i personvernopplysninger

Rutiner for innsyn i personvernopplysninger

RUTINER FOR ADVOKATFIRMAET KJÆR FOR HÅNDTERING AV KRAV OM INNSYN I PERSONOPPLYSNINGER FRA REGISTRERT

Følgende retningslinjer gjelder for håndtering av krav om innsyn i personopplysninger som behandles hos Advokatfirmaet Kjær («Virksomheten»), og gjelder i tillegg til Virksomhetens generelle rutiner for behandling av personopplysninger. 

  1. SENTRALE BEGREPER

Med personopplysninger menes enhver opplysning (dvs. alle opplysninger) om en fysisk person som kan direkte eller indirekte kan identifiseres (dvs. at man er klar over hvem vedkommende er).

Med særlige kategorier personopplysninger menes personopplysninger om helse, om seksuelle forhold eller seksuelle orientering, rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning, fagforeningsmedlemskap, genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person.

Med å behandle menes all håndtering av personopplysninger på enhver måte, herunder innsamling, lagring, organisering, overføring, endring, sletting mv.

Med registrerte menes de som personopplysningene kan knyttes til, dvs. de fysiske personer som omtales ovenfor under «personopplysninger» og som Virksomheten behandler.

  1. RETTEN TIL INNSYN

Etter personvernforordningen (GDPR) artikkel 15 har den registrerte rett til innsyn i sine personopplysninger. Med «innsyn» mener at den registrerte får tilgang til sine personopplysninger, enten hos Virksomheten eller ved at opplysningene oversendes til den registrerte. Rett til innsyn må følge visse prosedyrer for å forhindre at personopplysninger ikke kommer på avveie, og at innsyn kun gis for rett person (dvs. den registrerte).

  1. KRAV TIL IDENTIFIKASJON FRA DE REGISTRERTE

Det skal foretas en verifikasjon av den registrertes identitet før personopplysninger utleveres for å sikre at opplysninger kun utleveres til den som opplysningene vedrører. Er det tvil om det er den registrerte som foretar innsynsforespørsel, skal opplysningene ikke utleveres.

Er det ikke mulig å utlevere personopplysningene på en sikker måte, så skal det kreves at den registrerte møter opp for å få utlevert opplysningene mot å visse legitimasjon.

Det må være en forholdsmessighet mellom personopplysningene til de registrerte og kravet til hvordan den registrerte skal identifisere seg. Å kreve mer omfattende identifikasjon, som f.eks. kopi av identifikasjonsdokument, fødselsnummer kan være et brudd på å ikke gi rettigheter til de registrerte, og prinsippet om å behandles minst mulig person­opplysninger (minimeringsprinsippet).

  1. KRAV OM INNSYN FRA ANDRE ENN DEN REGISTRERTE

Dersom det bes om innsyn fra andre enn den registrerte, må det fremlegges dokumentasjon på at vedkommende som ber om innsyn representerer den registrerte, enten ved fullmakt eller dokumentasjon på at vedkommende er den registrertes foresatte, formynder, verge mv.

Bes det om innsyn i personopplysninger om en registrert som er død, så skal ikke dette utleveres uten at det foreligger fullmakt fra domstol hvor vedkommendes dødsbo behandles/har blitt behandlet.

  1. ANSVARLIG FOR HÅNDTERING AV INNSYNSKRAV

I virksomheten skal innsynskrav håndteres av managing partner/daglig leder.

  1. FRIST FOR BESVARELSE AV INNSYNSKRAV

Det skal gis innsyn uten ugrunnet opphold (dvs. så snart som mulig), og senest innen én måned (30 kalender­dager, ikke arbeidsdager) fra dagen etter mottak av kravet om innsyn ble mottatt. Mottas det mange anmodninger på et tidspunkt og det er komplekst å besvare alle anmodningene innen fristen, kan fristen utsettes med ytterligere to måneder (dvs. til totalt tre måneder) om den registrerte informeres om grunnen til forsinkelsen. Fristen starter å løpe fra vedkommende har identifisert seg tilstrekkelig.

  1. PROSEDYRE VED INNSYN

Etter GDPR artikkel 15 er prosedyren ved innsyn delt i tre faser hvor det gradvis gis mer innsyn i opplysningene:

  1. Informere om Virksomheten behandler personopplysninger. Det må besvares om det behandles personopplysninger til den registrerte. Dette er et ja/nei-spørsmål, og som regel kommer ikke spørsmålet på spissen, siden den registrerte er klar over at det behandles personopplysninger.
  2. Informere om hvilken behandling som skjer i Virksomheten. Dersom personopplysninger om den registrerte behandles i Virksomheten.
  3. Innsyn i de konkrete personopplysningene. Dersom den registrerte ber om det, skal det gis tilgang til «kopi av personopplysningene som behandles». Merk at dette omfatter kun personopplysningene som behandles, og ikke annet materiale.

Er forespørselen om innsyn mottatt muntlig, bør det bes om at forespørselen fremsettes skriftlig bl.a. for å kunne dokumentere svartid.

  1. BETALING FOR INNSYN

Det kan ikke tas betalt for innsynet. Unntak gjelder om den registrerte ber om flere kopier av opplysningene, hvor det tas et rimelig gebyr. Er krav om innsyn klart grunnløse eller overdrevne, kan det nektes å gi innsyn eller kreves et rimelig administrasjonsgebyr. Det må da begrunnes skriftlig hvorfor dette gjøres.

  1. HVA SKAL DET GIS INNSYN I

Kun innsyn i personopplysningene. Det skal kun gis innsyn i personopplysningene som behandles.

Det skal ikke gis innsyn i informasjon som har betydning for virksomheten, som forretningshemmeligheter, informasjon om forretningsforbindelser (kunde, leverandører mv.), immaterielle rettigheter, konfidensiell informasjon mv og det kan gjøres sladding/utdrag/tilrettelegging for å beskytte andres rettigheter/friheter (inkl. forretningshemmeligheter), med konkret begrunnelse.

Innsyn i alle personopplysninger. Det skal imidlertid gis innsyn i alle personopplysninger, så dette omfatter også elektroniske spor, metadata, personprofiler mv. for den registrerte (se allikevel begrensninger for ustrukturert informasjon nedenfor). 

Behandles det en stor mengde opplysninger om den registrerte, kan det bes om at den registrerte presiserer hvilke opplysninger eller behandlingsaktiviteter anmodningen gjelder.

Krav om innsyn gjelder også for opplysninger som behandles av databehandlere (dvs. underleverandører som behandler personopplysninger på vegne av Virksomheten). Det må derfor også undersøkes om det er personopplysninger om den registrerte hos databehandlere, som også må utleveres.

Det skal gis innsyn i de opplysninger som forelå når kravet om innsyn ble mottatt. Det er ikke er tillatt å endre/slette for å unndra opplysninger fra innsyn, men at lovlige endringer (f.eks. retting av dokumenterte feil) kan skje etter ordinære rutiner, og at systemet skal kunne dokumentere hva som var lagret på tidspunktet for mottak (logg/snapshot/arkivspor) ved behov.

  1. HVA SKAL DET IKKE GIS INNSYN I

Ikke innsyn i personopplysninger om andre personer. Det skal ikke på noen måte gis innsyn i eller utleveres personopplysninger om andre personer. Dette følger av GDPR artikkel 15 nr. 4 ved at innsyn skal ikke ha noen negativ innvirkning på andres personvern.

Unntak for innsyn i visse personopplysninger. Det skal videre ikke gis innsyn i følgende:

Opplysninger som det anses utilrådelig at vedkommende får tilgang til av hensyn til den registrertes helse eller forholdet til personer som står den registrerte nær.

Opplysninger som er underlagt lovbestemt taushetsplikt

Som er kun utarbeidet for intern saksforberedelse.

Det er i strid med åpenbare og grunnleggende private eller offentlige interesser å gi opplysningene.

Gjelder noen av unntakene over, må det begrunnes skriftlig at det ikke gis innsyn, og vise til personopplysningsloven § 16 som grunnlag for at det ikke gis innsyn.

Det foreligger flere unntak fra innsynsretten ut fra sikkerhetsmessige grunner, se personopplysningsloven § 16.

  1. HVORDAN SKAL DET GIS INNSYN?

Innsyn skal gis elektronisk på en sikker måte. Dersom den registrerte ber om innsyn på elektronisk måte, dvs. på epost, web-skjema eller tilsvarende, skal det gis svar og innsyn elektronisk. Dette kan skape utfordringer for å overføre personopplysninger på en sikker måte, spesielt for sensitive opplysninger, som særlige kategorier opplysninger.

Det skal også sikres at utlevering av personopplysninger ikke gis på en måte som kan medføre risiko for opplysningenes konfidensialitet og integritet. Opplysninger som anses som sensitive eller for å være ømtålige for den registrerte samt alle spesielle kategorier personopplysninger, skal ikke sendes på e-post eller på måte som ikke sikrer opplysningene tilstrekkelig. Det skal videre sikres at det ikke utleveres personopplysninger om andre ved utlevering av personopplysninger til den registrerte, se ovenfor.

  1. RETTEN TIL SLETTING AV REGISTRERTE PERSONOPPLYSNINGER

Denne rutinen gjelder når en registrert ber om sletting av personopplysninger som behandles av Virksomheten (retten til å bli glemt).

Mottak og identitetskontroll.

Krav om sletting håndteres etter samme prinsipper for identitetskontroll som ved innsyn (forholdsmessig og risikobasert verifikasjon før tiltak iverksettes).

Ansvar og eskalering.

Managing partner/daglig leder er ansvarlig for å koordinere vurdering og gjennomføring. Ved tvil om rettslige plikter (f.eks. plikt til oppbevaring, taushetsplikt eller pågående sak) skal forespørselen vurderes i samråd med relevant saksansvarlig advokat og eventuelt IT/driftsleverandør dersom data ligger i systemer hos databehandler.

Kartlegging av hvilke data som omfattes.

 Virksomheten skal uten ugrunnet opphold kartlegge hvor opplysningene ligger (aktive saksmapper, e-post, dokumenthåndtering, fagsystemer, CRM/fakturering, logger, arkiv og sikkerhetskopier der det er praktisk tilgjengelig), og om behandlingen skjer hos databehandlere.

Vilkårsvurdering (GDPR art. 17).

Virksomheten skal vurdere om vilkårene for sletting er oppfylt (for eksempel at opplysningene ikke lenger er nødvendige for formålet, at samtykke trekkes tilbake der samtykke er grunnlaget, eller at behandlingen er ulovlig).

Vurdering av unntak/videre lagring.

Før sletting besluttes skal Virksomheten vurdere om det foreligger grunnlag for å avslå helt eller delvis (for eksempel dersom videre lagring er nødvendig for å oppfylle en rettslig forpliktelse eller for å fastsette, gjøre gjeldende eller forsvare rettskrav). Dersom sletting ikke kan gjennomføres fullt ut, skal Virksomheten vurdere om behandlingen i stedet skal begrenses (art. 18) og/eller om data kan sperres for ordinær bruk.

Gjennomføring av sletting.

Dersom sletting skal gjennomføres, skal Virksomheten:

  • slette eller anonymisere relevante opplysninger i aktuelle systemer der dette er mulig,
  • sørge for at eventuelle databehandlere får instruks om sletting innen rimelig tid, og
  • dokumentere hva som er slettet, når og av hvem (uten å lagre mer personopplysninger enn nødvendig for dokumentasjon av etterlevelse).

Sikkerhetskopier.

Dersom opplysninger finnes i sikkerhetskopier som ikke kan endres uten uforholdsmessig innsats, skal Virksomheten sikre at opplysningene ikke reintroduseres i produksjonssystemer, og at de slettes når sikkerhetskopien rulleres ut i tråd med virksomhetens backup-retensjon.

Svar til den registrerte (frist og innhold).

Den registrerte skal få svar uten ugrunnet opphold og senest innen én måned. Ved avslag eller delvis aksept for sletting skal Virksomheten gi en skriftlig begrunnelse og informere om retten til å klage til tilsynsmyndighet og om mulige rettsmidler.

Loggføring. Alle slettingskrav skal loggføres i et internt register med dato for mottak, verifikasjon, vurdering, beslutning, eventuelle unntak, gjennomføring og svar.