Personvern

Innsynsrett (artikkel 15 GDPR): slik svarer du på innsynskrav i 2026

Innsynsrett etter artikkel 15 GDPR: hva den registrerte kan kreve, én-månedsfristen, unntak, gebyr for manglende innsyn, og Timegrip-saken (250 000 kr).

Also available in:English·Français·Deutsch·Español

Innsynsrett gir enhver registrert rett til å få bekreftet om en virksomhet behandler personopplysninger om vedkommende, og i så fall til å få tilgang til opplysningene og en rekke opplysninger om behandlingen. Retten følger av artikkel 15 i personvernforordningen (GDPR), og virksomheten skal som hovedregel svare kostnadsfritt og uten ugrunnet opphold, senest innen én måned. Innsynskravet er den mest brukte av de registrertes rettigheter, og manglende eller mangelfullt svar er blant de vanligste klagene til Datatilsynet – og har ført til gebyr så sent som i 2026.

Denne artikkelen forklarer nøyaktig hva den registrerte kan kreve, hvordan fristen beregnes, hvilke unntak som gjelder, hvordan man verifiserer identitet, og hva som skjer hvis man nekter innsyn uten gyldig grunn. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.

Hva kan den registrerte kreve innsyn i?

Artikkel 15 nr. 1 gir den registrerte rett til å få bekreftet om det behandles personopplysninger, og i så fall tilgang til opplysningene samt informasjon om:

  1. Formålene med behandlingen.
  2. Kategoriene av personopplysninger.
  3. Mottakerne eller kategoriene av mottakere, særlig i tredjeland.
  4. Den planlagte lagringstiden, eller kriteriene for å fastsette den.
  5. Retten til å kreve retting, sletting eller begrensning, og retten til å protestere.
  6. Retten til å klage til Datatilsynet.
  7. Tilgjengelig informasjon om kilden når opplysningene ikke er samlet inn fra den registrerte selv.
  8. Forekomst av automatiserte avgjørelser, herunder profilering, og den underliggende logikken.

Etter artikkel 15 nr. 3 skal den behandlingsansvarlige utlevere en kopi av personopplysningene som behandles. Første kopi er gratis; for ytterligere kopier kan det kreves et rimelig gebyr basert på administrasjonskostnadene. Denne kopiplikten er ofte den mest krevende delen, og forutsetter at virksomheten har oversikt via sin behandlingsprotokoll.

Gjelder innsynsretten alle opplysninger?

Innsynsretten omfatter personopplysninger om den som ber, ikke virksomhetens interne dokumenter eller opplysninger om andre personer. Retten til kopi skal etter fortalen ikke ha en negativ innvirkning på andres rettigheter og friheter – for eksempel andres personopplysninger eller forretningshemmeligheter. Dette gir grunnlag for å sladde tredjepartsopplysninger, men ikke for å nekte innsyn helt. Innsyn må heller ikke forveksles med dataportabilitet, som er en snevrere rett til å få utlevert egne opplysninger i et maskinlesbart format.

Hvordan beregnes fristen?

Svaret skal gis uten ugrunnet opphold og senest én måned etter at forespørselen ble mottatt (artikkel 12 nr. 3). Fristen kan forlenges med ytterligere to måneder dersom forespørselen er kompleks eller det er mange forespørsler, men den registrerte må da informeres om forlengelsen og begrunnelsen innen den opprinnelige måneden. «Uten ugrunnet opphold» betyr at man skal svare så raskt som mulig – én måned er en ytre frist, ikke en standardtid man kan la gå.

Avslår man forespørselen, skal den registrerte informeres om grunnen og om retten til å klage til Datatilsynet, senest innen én måned. Å la et innsynskrav bli liggende ubesvart er altså aldri et lovlig alternativ.

Gebyr for manglende innsyn: Timegrip-saken

Manglende innsyn sanksjoneres. Datatilsynet ila i januar 2026 Timegrip AS et overtredelsesgebyr på 250 000 kroner for å ha nektet innsyn. Saken gjaldt ansatte i en konkursrammet varehandelskjede som ba om kopi av egne timeregistreringer for å dokumentere ubetalt arbeidstid i konkursboet. Timegrip, som leverte tidsregistreringssystemet, nektet å utlevere opplysningene og hevdet å være ren databehandler uten instruks fra den nå oppløste behandlingsansvarlige. Datatilsynet konkluderte med at Timegrip reelt utøvde kontroll over opplysningene – de bestemte bruk, lagringstid og tilgang – og dermed var behandlingsansvarlig. Nektelsen rammet 80 ansatte i en sårbar situasjon, og Datatilsynet fant «ingen gyldig grunn» til å avslå kravet. Saken viser to ting: innsyn kan ikke skyves over på uklare roller, og manglende svar rammer ofte de mest utsatte.

Hvordan verifisere identiteten til den som ber?

Er det rimelig tvil om identiteten, kan man be om tilleggsopplysninger for å verifisere (artikkel 12 nr. 6). Men verifisering skal ikke brukes som påskudd for å trenere. Man kan ikke kreve mer dokumentasjon enn nødvendig, og for eksisterende kunder eller ansatte som henvender seg fra en kjent konto, er identiteten som regel allerede bekreftet. Et verktøy som Legiscope kan strukturere mottak, frister og logg for innsynskrav, slik at ingen forespørsel blir liggende.

Hvordan bør en rutine for innsynskrav se ut?

En robust rutine har fire faste ledd. For det første et mottakspunkt: en kjent e-postadresse eller et skjema, slik at forespørsler ikke drukner i vanlig korrespondanse eller blir liggende hos en ansatt som ikke kjenner fristen. For det andre identitetskontroll som er forholdsmessig – ikke mer dokumentasjon enn nødvendig, og aldri som påskudd for å trenere. For det tredje innhenting på tvers av alle systemer der opplysninger kan ligge: e-post, CRM, fagsystemer, regneark, papirarkiv og sikkerhetskopier. Dette forutsetter oversikt via behandlingsprotokollen, som viser hvor de ulike kategoriene befinner seg. For det fjerde kvalitetssikring før utlevering, der tredjepersoners opplysninger sladdes og det kontrolleres at bare den registrertes egne opplysninger sendes ut. Hele løpet skal være ferdig innen én måned. Uten en fast rutine blir hvert innsynskrav en improvisert dugnad – og det er nettopp da fristen glipper eller feil opplysninger utleveres, noe som selv kan bli et nytt avvik.

Vanlige feil

  • Å oversitte fristen. Én måned er en ytre grense. Uten en rutine for mottak og oppfølging glipper fristen lett.
  • Å kreve unødvendig identitetsdokumentasjon for å utsette eller avvise kravet.
  • Å utlevere andres opplysninger ukritisk, eller motsatt: å nekte alt fordi noe må sladdes.
  • Å skyve ansvaret på databehandleren. Som Timegrip-saken viser, kan uklare roller ikke frita for innsynsplikten.
  • Å ta betalt for første kopi. Første innsyn og første kopi skal være gratis.

Ofte stilte spørsmål

Hvor lang tid har man på å svare på et innsynskrav?

Uten ugrunnet opphold og senest én måned fra kravet ble mottatt. Fristen kan forlenges med to måneder ved komplekse eller mange forespørsler, men den registrerte må da informeres om forlengelsen innen den første måneden.

Kan man ta betalt for innsyn?

Nei, ikke for det første innsynet og den første kopien. For åpenbart grunnløse eller overdrevne forespørsler, eller for ytterligere kopier, kan det kreves et rimelig gebyr basert på administrasjonskostnadene, eventuelt nekte å etterkomme kravet, men da har virksomheten bevisbyrden.

Hva om innsynskravet omfatter opplysninger om andre personer?

Retten til kopi skal ikke krenke andres rettigheter. Man kan sladde eller holde tilbake tredjepersoners personopplysninger og forretningshemmeligheter, men kan ikke bruke dette som grunn til å nekte innsyn i den registrertes egne opplysninger.

Kan man avslå et innsynskrav som er åpenbart grunnløst?

Ja, men unntaket er snevert. Etter artikkel 12 nr. 5 kan den behandlingsansvarlige nekte å etterkomme eller kreve et rimelig gebyr for forespørsler som er åpenbart grunnløse eller overdrevne, særlig ved gjentakelse. Bevisbyrden ligger hos virksomheten, og terskelen er høy – et enkelt førstegangskrav er så godt som aldri grunnløst. Å påberope unntaket for å slippe arbeidet er en risiko, ikke en snarvei.

Konklusjon

Innsynsretten etter artikkel 15 er den mest brukte personvernrettigheten, og den mest påklagede når den ikke oppfylles. Svar kostnadsfritt, uten ugrunnet opphold og senest innen én måned, gi kopi av opplysningene, og bruk sladding – ikke avslag – der andres opplysninger er berørt. Timegrip-saken fra 2026 viser at manglende innsyn koster, og at uklare roller ikke fritar for plikten. Ha en fast rutine for mottak, verifisering og oppfølging, koblet til din behandlingsprotokoll, slik at ingen forespørsel blir liggende ubesvart.

Denne artikkelen gir generell informasjon om artikkel 15 og utgjør ikke juridisk rådgivning.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →