Datatilsynet er Norges tilsynsmyndighet for personvern, og GDPR (personopplysningsloven) gir deg konkrete rettigheter: innsyn i alle personopplysninger som er lagret om deg, retting av feil, og sletting av data som ikke lenger er nødvendige. Denne guiden viser hvordan du bruker disse rettighetene i 2026 — mot både offentlige og private aktører.

Lovgrunnlaget: GDPR og personopplysningsloven

Norge er bundet av EUs personvernforordning (GDPR) gjennom EØS-avtalen og har innført den nasjonalt gjennom personopplysningsloven (2018). Loven trådte i kraft 20. juli 2018 — samtidig som GDPR ble håndhevbar i EU.

Sentrale bestemmelser i GDPR

  • Art. 15 — retten til innsyn
  • Art. 16 — retten til retting
  • Art. 17 — retten til sletting («retten til å bli glemt»)
  • Art. 18 — retten til begrensning
  • Art. 20 — retten til dataportabilitet
  • Art. 21 — retten til å protestere
  • Art. 77 — retten til å klage til tilsynsmyndighet

Datatilsynets rolle

Datatilsynet (datatilsynet.no) er den norske tilsynsmyndigheten under art. 51 GDPR:

  • Fører tilsyn med at virksomheter etterlever loven
  • Behandler klager fra enkeltpersoner
  • Kan pålegge korrigering, sletting og bøter (opp til 4 % av global omsetning)
  • Rådgir virksomheter og publikum

Retten til innsyn (GDPR art. 15)

Hva innsynsretten omfatter

Du har rett til å få vite:

  1. Om det behandles personopplysninger om deg (ja/nei)
  2. Formålet med behandlingen
  3. Kategoriene av personopplysninger
  4. Mottakere eller kategorier av mottakere
  5. Lagringsperioden eller kriterier for å fastsette den
  6. Rettighetene dine (retting, sletting, protest, klage)
  7. Kilde til opplysningene hvis ikke samlet direkte fra deg
  8. Automatisert beslutningstaking, inkludert profilering
  9. Overføringer til tredjeland (utenfor EU/EØS)
  10. Kopi av personopplysningene som behandles

Slik ber du om innsyn

  1. Skriftlig forespørsel til virksomheten — e-post, brev, kontaktskjema
  2. Bekreft identitetBankID eller kopi av ID
  3. Vent svar innen 30 dager (kan forlenges til 90 dager ved kompleksitet)
  4. Gratis første kopi — påfølgende kan koste rimelig gebyr

Mal for innsynsforespørsel

«Med hjemmel i GDPR art. 15 ber jeg om innsyn i alle personopplysninger dere behandler om meg. Vennligst inkluder: formål, kategorier, mottakere, lagringsperiode og kilde. Send meg en kopi av opplysningene innen 30 dager.»

Retten til retting (GDPR art. 16)

Oppdager du feilaktige eller ufullstendige personopplysninger har du rett til å få dem rettet.

Eksempler

  • Feil navn eller fødselsdato
  • Feil adresse eller telefonnummer
  • Feil inntekts- eller kredittopplysninger
  • Utdatert informasjon om helse eller familieforhold

Prosess

  1. Kontakt virksomheten med dokumentasjon på riktig opplysning
  2. Krav om retting skal etterkommes uten unødig opphold
  3. Virksomheten må også varsle tredjeparter som har mottatt feil data

Retten til sletting (GDPR art. 17)

«Retten til å bli glemt»

Du kan kreve sletting når:

  1. Formålet er oppfylt — opplysningene er ikke lenger nødvendige
  2. Du trekker samtykket tilbake
  3. Du har protestert mot behandling som er basert på berettiget interesse
  4. Behandlingen er ulovlig
  5. Sletting er lovpålagt
  6. Barn under 16 — beskyttelse av mindreåriges data

Unntak fra sletteretten

  • Ytringsfrihet og informasjon
  • Rettslig forpliktelse — regnskap, skatt (7 år etter bokføringsloven)
  • Rettskrav — pågående rettssak
  • Arkivering, forskning eller statistikk

Datatilsynets sektorer og tilsynsområder

Offentlig sektor

Datatilsynet fører tilsyn med:

Privat sektor

  • Banker og forsikringsselskap
  • Kredittopplysningsbyråer — Experian, Creditsafe, Bisnode (se betalingsanmerkning)
  • Teleoperatører — Telenor, Telia, Ice (se NRK-lisens og abonnement)
  • E-handel og sosiale medier
  • Arbeidsgivere
  • Utleiere og eiendomsmeglere

Slik klager du til Datatilsynet

Steg 1: Kontakt virksomheten først

Datatilsynet krever normalt at du først har forsøkt å løse saken direkte med virksomheten.

Steg 2: Klage skriftlig

Besøk datatilsynet.no og fyll ut klageskjema, eller send brev til:

Datatilsynet Postboks 458 Sentrum 0105 Oslo

Inkluder:

  • Ditt navn og kontaktinfo
  • Navn på virksomheten
  • Beskrivelse av saken
  • Dokumentasjon (e-post, brev, avslag)
  • Hva du ønsker Datatilsynet skal gjøre

Steg 3: Behandlingstid

  • Enkle saker: 1–3 måneder
  • Komplekse saker: 6–12 måneder
  • Vedtak sendes til Digipost/eBoks

Steg 4: Sanksjoner

Datatilsynet kan pålegge:

  • Advarsel — mild sanksjon
  • Pålegg om retting eller sletting
  • Overtredelsesgebyr — inntil 20 mill euro eller 4 % av global omsetning
  • Forbud mot behandling

Særlige rettigheter

Rett til dataportabilitet (art. 20)

Du kan kreve å få dine data utlevert i strukturert, maskinlesbart format og overført til annen leverandør. Gjelder ved samtykke- eller kontraktsbasert behandling.

Rett til å protestere (art. 21)

Du kan protestere mot:

  • Direktemarkedsføring — absolutt rett
  • Berettiget interesse-behandling — vurderes konkret
  • Automatisert beslutningstaking som har rettslige eller vesentlig påvirkende følger

Rett til informasjon (art. 13–14)

Når data samles inn skal virksomheten informere deg om:

  • Identitet og kontaktinfo
  • Formål og rettslig grunnlag
  • Kategorier og mottakere
  • Lagringstid
  • Dine rettigheter
  • Klageadgang

Særlig for innvandrere

UDI og oppholdssaker

UDI behandler store mengder personopplysninger. Du kan be om:

  • Innsyn i saken din — inkludert notater, korrespondanse, avslag
  • Retting av feil — spesielt viktig ved familieinnvandring
  • Innsyn før klage — bruk innsynsretten strategisk

Politiets registre

Politiet fører flere registre:

  • Strafferegisteret — innsyn på politiet.no
  • DNA-registeret
  • Innreise- og utreiseregister

Se anmelde til politiet.

Skatteetaten og PAYE

Skatteetaten lagrer omfattende data. Innsyn kan avdekke feil i skattekortet.

Språkbarrierer

Du har rett til å få informasjon på et språk du forstår. Virksomheter er ikke pliktige til å oversette svar, men skal tilby tolk der det er rimelig.

Vanlige spørsmål

Kan jeg få innsyn i mine egne notater fra lege?

Ja — pasientjournal via helsenorge.no. Se pasient- og brukerrettighetsloven.

Får jeg innsyn i alt Facebook/Google har lagret om meg?

Ja — GDPR gjelder alle virksomheter som behandler EU/EØS-borgeres data. Bruk «Last ned mine data» eller send skriftlig innsynskrav.

Hva om virksomheten nekter?

Klag til Datatilsynet. Ved ubegrunnet avslag kan de ilegges gebyr.

Kan arbeidsgiver overvåke meg?

Bare med rettslig grunnlag og etter forholdsmessighetsvurdering. Overvåking må være kunngjort skriftlig før den skjer.

Hvor lenge kan data lagres?

Ikke lenger enn nødvendig for formålet. Ulike sektorer har egne regler:

  • Regnskap/skatt: 5–7 år
  • Ansettelsesforhold: aktuell periode + rimelig tid
  • Kredittopplysninger: se betalingsanmerkning (4-årsregelen)

Kan jeg få kompensasjon for brudd?

Ja — art. 82 GDPR gir rett til erstatning for både materiell og ikke-materiell skade (f.eks. angst). Erstatningsbeløp: 5 000 – 100 000 kr i norske saker.

Oppsummering

GDPR og personopplysningsloven (2018) gir deg omfattende rettigheter overfor både offentlige og private aktører i Norge: innsyn (art. 15), retting (art. 16), sletting (art. 17), portabilitet (art. 20) og protest (art. 21). Send skriftlig forespørsel til virksomheten, som skal svare innen 30 dager. Ved manglende oppfølging: klag til Datatilsynet på datatilsynet.no eller postboks 458 Sentrum, 0105 Oslo. Datatilsynet kan ilegge overtredelsesgebyr inntil 20 mill euro eller 4 % av global omsetning. Særlig relevant for innvandrere: innsyn i UDI-saker, politiregistre og PAYE-skatt. Erstatning ved brudd etter art. 82 GDPR — 5 000–100 000 kr i norsk rettspraksis. Se også betalingsanmerkning og Digipost/eBoks.