Indsigtsretten giver enhver registreret ret til at få at vide, om du behandler oplysninger om vedkommende, og i så fald til at få en kopi af oplysningerne samt en række supplerende oplysninger om behandlingen. Retten følger af artikel 15 i databeskyttelsesforordningen (GDPR). Du skal besvare en indsigtsanmodning uden unødig forsinkelse og senest en måned efter modtagelsen. Indsigtsretten er den mest anvendte af de registreredes rettigheder, og en forkert eller ufuldstændig besvarelse er en af de hyppigste årsager til klager til Datatilsynet.
Denne guide gennemgår, hvad den registrerede konkret har krav på, hvordan du håndterer fristen, hvornår du kan afvise eller begrænse indsigt, og hvordan du besvarer korrekt uden at krænke andres rettigheder.
Hvad har den registrerede krav på?
Artikel 15 giver den registrerede ret til bekræftelse på, om der behandles oplysninger, og hvis ja, adgang til oplysningerne samt til følgende supplerende oplysninger:
- Formålene med behandlingen.
- De berørte kategorier af personoplysninger.
- Modtagerne eller kategorierne af modtagere, herunder modtagere i tredjelande.
- Den planlagte opbevaringsperiode eller kriterierne for den, jf. opbevaringsbegrænsning.
- Retten til at anmode om berigtigelse, sletning eller begrænsning samt til at gøre indsigelse.
- Retten til at klage til Datatilsynet.
- Oplysninger om kilden til oplysningerne, hvis de ikke er indsamlet hos den registrerede.
- Forekomsten af automatiske afgørelser, herunder profilering, og meningsfulde oplysninger om logikken heri.
Efter artikel 15, stk. 3, skal du udlevere en kopi af de personoplysninger, der behandles. Den første kopi er gratis; for yderligere kopier kan du opkræve et rimeligt gebyr baseret på administrationsomkostningerne.
Fristen: én måned — med mulighed for forlængelse
Du skal besvare uden unødig forsinkelse og senest én måned efter modtagelsen (art. 12, stk. 3). Fristen kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er tale om et stort antal anmodninger — men du skal underrette den registrerede om forlængelsen og begrundelsen inden for den første måned.
Praktiske pointer:
- Du kan bede om yderligere oplysninger til at bekræfte identiteten, hvis du har rimelig tvivl (art. 12, stk. 6) — men det må ikke bruges som en generel forhalingstaktik.
- Anmodningen er formløs: den kan komme mundtligt, på e-mail eller via en formular. Der er ingen pligt for den registrerede til at bruge et bestemt ord som “indsigt”.
- Du skal have en fast intern proces, så en anmodning ikke bliver liggende hos en enkelt medarbejder. En procedure og et centralt indgangspunkt reducerer risikoen for fristoverskridelse.
Hvornår kan du afvise eller begrænse indsigt?
Indsigtsretten er ikke absolut. Du kan begrænse eller afvise indsigt i følgende tilfælde:
- Andres rettigheder (art. 15, stk. 4): retten til en kopi må ikke krænke andres rettigheder og friheder. Du skal derfor redigere (fx sløre) oplysninger om tredjeparter, men du kan ikke afvise hele anmodningen med henvisning til, at der indgår oplysninger om andre.
- Åbenbart grundløse eller uforholdsmæssige anmodninger (art. 12, stk. 5): navnlig ved gentagne anmodninger kan du opkræve et gebyr eller afvise. Bevisbyrden for, at en anmodning er åbenbart grundløs, ligger hos dig.
- Nationale undtagelser: databeskyttelsesloven (lov nr. 502 af 23. maj 2018) og særlovgivning kan begrænse indsigt, fx af hensyn til forebyggelse og efterforskning af strafbare forhold eller til beskyttelse af den registrerede selv.
Afviser du helt eller delvist, skal du begrunde afvisningen og oplyse om retten til at klage til Datatilsynet og til at indbringe sagen for domstolene.
Sådan besvarer du korrekt
En korrekt besvarelse forudsætter, at du kan finde alle oplysninger om den registrerede. Det kræver overblik over dine behandlinger — her er fortegnelsen over behandlingsaktiviteter uundværlig, fordi den viser, i hvilke systemer og hos hvilke databehandlere oplysningerne findes. Husk at søge bredt: e-mailsystemer, CRM, HR-systemer, backups og hos underdatabehandlere.
En platform som Legiscope kan hjælpe med at strukturere håndteringen af indsigtsanmodninger, styre fristen og dokumentere besvarelsen — hvilket både reducerer risikoen for fristoverskridelse og skaber bevis for, at du har svaret korrekt.
Sådan finder og samler du oplysningerne
Den største praktiske udfordring ved en indsigtsanmodning er at finde alle oplysninger om den registrerede. En struktureret søgning følger tre trin:
- Slå op i fortegnelsen. Din fortegnelse over behandlingsaktiviteter viser, i hvilke behandlinger og systemer den pågældende kategori af registrerede optræder — medarbejder, kunde, ansøger osv. Det er udgangspunktet for søgningen.
- Søg bredt i systemerne. Gennemsøg CRM, HR-system, e-mailkorrespondance, sagsbehandlingssystemer, regneark og fildrev. Husk, at oplysninger ofte ligger i fritekst — fx i e-mails og noter — ikke kun i strukturerede felter.
- Husk databehandlerne. Oplysningerne findes ofte også hos dine databehandlere. Efter databehandleraftalen skal de bistå dig med at fremskaffe oplysningerne til besvarelsen.
Når oplysningerne er samlet, skal du gennemgå dem for oplysninger om tredjeparter, der skal sløres, og for oplysninger, der er omfattet af en undtagelse.
Identitetskontrol i praksis
Du skal sikre dig, at anmoderen faktisk er den registrerede — ellers risikerer du selv at begå et brud på persondatasikkerheden ved at udlevere oplysninger til en uvedkommende. Men identitetskontrollen må ikke bruges som forhaling:
- Bed kun om de oplysninger, der er nødvendige for at bekræfte identiteten (art. 12, stk. 6). Har den registrerede allerede en konto, kan du typisk bruge den eksisterende autentifikation.
- Kræv ikke rutinemæssigt kopi af pas eller kørekort — det er ofte uforholdsmæssigt og indebærer selv en risiko.
- Kan du ikke med rimelighed identificere den registrerede (art. 11), skal du oplyse det, og retten kan da ikke udøves, medmindre den registrerede leverer supplerende oplysninger.
Send svaret via en sikker kanal — ikke en ukrypteret e-mail med følsomme oplysninger.
Anmodninger via fuldmagt eller tredjepart
Indsigtsanmodninger kommer ikke altid direkte fra den registrerede. En advokat, en fagforening eller et familiemedlem kan anmode på vegne af den registrerede. Her gælder to ting: du skal sikre dig, at der foreligger en gyldig fuldmagt, og du skal fortsat bekræfte den registreredes identitet. Uden fuldmagt kan du ikke udlevere oplysningerne til tredjeparten uden selv at risikere et brud på persondatasikkerheden.
Et særligt spørgsmål er indsigt i afdødes oplysninger. GDPR gælder ikke for afdøde, men databeskyttelsesloven (lov nr. 502 af 23. maj 2018) udvider i § 2, stk. 5, beskyttelsen til at gælde i en periode efter dødsfaldet. Det kan derfor være relevant at behandle en anmodning fra pårørende ud fra de nationale regler.
Retten til indsigt følger af artikel 15 i databeskyttelsesforordningen. Uanset hvem der anmoder, gælder samme frist på én måned, og svaret skal sendes via en sikker kanal til den, der er berettiget til at modtage det.
Ofte stillede spørgsmål
Hvor lang tid har jeg til at besvare en indsigtsanmodning?
Du skal svare uden unødig forsinkelse og senest én måned efter modtagelsen. Fristen kan forlænges med op til to måneder ved komplekse eller mange anmodninger, men du skal underrette den registrerede om forlængelsen og begrundelsen inden for den første måned.
Må jeg opkræve betaling for at give indsigt?
Den første kopi af oplysningerne er gratis. For yderligere kopier kan du opkræve et rimeligt gebyr baseret på administrationsomkostningerne. Ved åbenbart grundløse eller uforholdsmæssige anmodninger — navnlig gentagne — kan du enten opkræve et rimeligt gebyr eller afvise anmodningen, men bevisbyrden ligger hos dig.
Skal jeg udlevere oplysninger, der også vedrører andre personer?
Ikke ukritisk. Retten til en kopi må ikke krænke andres rettigheder og friheder (art. 15, stk. 4). Du skal redigere eller sløre oplysninger om tredjeparter, men du kan ikke afvise hele anmodningen af den grund. Foretag en konkret afvejning og dokumentér den.
Konklusion
Indsigtsretten giver den registrerede krav på bekræftelse, en kopi af oplysningerne og en række supplerende oplysninger — inden for én måned. Du kan begrænse indsigt af hensyn til andres rettigheder og ved åbenbart grundløse anmodninger, men afvisning skal begrundes. Nøglen til at svare korrekt og til tiden er overblik: en opdateret fortegnelse, en fast intern proces og et centralt kontaktpunkt hos DPO’en. Husk, at indsigtsanmodninger ofte følges op af krav om berigtigelse eller sletning.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial