Datatilsynet jest norweskim organem nadzorczym ds. ochrony danych osobowych, a GDPR (ustawa o ochronie danych osobowych) daje Ci konkretne prawa: dostęp do wszystkich danych osobowych przechowywanych o Tobie, sprostowanie błędów i usunięcie danych, które nie są już konieczne. Ten przewodnik pokazuje, jak korzystać z tych praw w 2026 roku — zarówno wobec organizacji publicznych, jak i prywatnych.
Podstawa prawna: GDPR i ustawa o ochronie danych osobowych
Norwegia jest zobowiązana rozporządzeniem UE w sprawie ochrony danych (GDPR) na mocy umowy EOG i wdrożyła je na poziomie krajowym poprzez ustawę o ochronie danych osobowych (2018). Ustawa weszła w życie 20 lipca 2018 — w tym samym czasie, gdy GDPR stał się wykonalny w UE.
Kluczowe postanowienia GDPR
- Art. 15 — prawo do dostępu
- Art. 16 — prawo do sprostowania
- Art. 17 — prawo do usunięcia ("prawo do bycia zapomnianym")
- Art. 18 — prawo do ograniczenia przetwarzania
- Art. 20 — prawo do przenoszalności danych
- Art. 21 — prawo do sprzeciwu
- Art. 77 — prawo do wniesienia skargi do organu nadzorczego
Rola Datatilsynet
Datatilsynet (datatilsynet.no) jest norweskim organem nadzorczym na mocy art. 51 GDPR:
- Nadzoruje, czy organizacje przestrzegają ustawy
- Rozpatruje skargi od osób fizycznych
- Może nakazać sprostowanie, usunięcie i grzywny (do 4% światowego przychodu)
- Doradza organizacjom i publicznie
Prawo do dostępu (GDPR art. 15)
Co obejmuje prawo dostępu
Masz prawo wiedzieć:
- Czy przetwarzane są Twoje dane osobowe (tak/nie)
- Cel przetwarzania
- Kategorie danych osobowych
- Odbiorcy lub kategorie odbiorców
- Okres przechowywania lub kryteria jego ustalenia
- Twoje prawa (sprostowanie, usunięcie, sprzeciw, skarga)
- Źródło danych jeśli nie zebrane bezpośrednio od Ciebie
- Zautomatyzowane podejmowanie decyzji, w tym profilowanie
- Transfery do krajów trzecich (poza UE/EOG)
- Kopię danych osobowych przetwarzanych
Jak wnioskować o dostęp
- Pisemnie do organizacji — e-mail, list, formularz kontaktowy
- Potwierdź tożsamość — BankID lub kopia dokumentu tożsamości
- Czekaj odpowiedź w ciągu 30 dni (może zostać przedłużone do 90 dni ze względu na złożoność)
- Pierwsza kopia bezpłatna — kolejne mogą powiększyć się za rozsądną opłatą
Szablon wniosku o dostęp
"Na podstawie GDPR art. 15 żądam dostępu do wszystkich danych osobowych, które Państwo przetwarzają na mój temat. Proszę uwzględnić: cel, kategorie, odbiorców, okres przechowywania i źródło. Wyślij mi kopię danych w ciągu 30 dni."
Prawo do sprostowania (GDPR art. 16)
Jeśli odkryjesz błędne lub niekompletne dane osobowe masz prawo je naprawić.
Przykłady
- Błędne imię i nazwisko lub data urodzenia
- Błędny adres lub numer telefonu
- Błędne dane dotyczące dochodów lub zdolności kredytowej
- Nieaktualne informacje o zdrowiu lub relacjach rodzinnych
Proces
- Skontaktuj się z organizacją z dowodem prawidłowych informacji
- Żądanie sprostowania musi być spełnione bez zbędnej zwłoki
- Organizacja musi również powiadomić strony trzecie, które otrzymały błędne dane
Prawo do usunięcia (GDPR art. 17)
"Prawo do bycia zapomnianym"
Możesz zażądać usunięcia gdy:
- Cel jest osiągnięty — dane nie są już konieczne
- Wycofujesz zgodę
- Sprzeciwiasz się przetwarzaniu na podstawie uzasadnionego interesu
- Przetwarzanie jest bezprawne
- Usunięcie jest wymagane prawem
- Dziecko poniżej 16 lat — ochrona danych małoletnich
Wyjątki od prawa do usunięcia
- Wolność słowa i informacji
- Obowiązek prawny — księgowość, podatki (7 lat po ustawie o rachunkowości)
- Roszczenie prawne — tocząca się sprawa sądowa
- Archiwizacja, badania lub statystyka
Sektory Datatilsynet i obszary nadzoru
Sektor publiczny
Datatilsynet nadzoruje:
- NAV — [zasiłki dla bezrobotnych, AAP, renta z tytułu niezdolności do pracy]
- Urząd Skarbowy — podatek u źródła PAYE
- UDI — sprawy imigracyjne
- Policja — zawiadomienia
- Usługi komunalne — przedszkola, szkoły, mieszkalnictwo komunalne
- Szpitale — dokumentacja pacjenta
Sektor prywatny
- Banki i firmy ubezpieczeniowe
- Biura informacji kredytowej — Experian, Creditsafe, Bisnode (zobacz adnotacja o zagrożeniu)
- Operatorzy telefonii — Telenor, Telia, Ice (zobacz Licencja RTV i zmiana abonamentu)
- E-commerce i media społecznościowe
- Pracodawcy
- Wynajmujący i pośrednicy nieruchomości
Jak wnieść skargę do Datatilsynet
Krok 1: Skontaktuj się najpierw z organizacją
Datatilsynet zwykle wymaga, abyś wcześniej spróbował rozwiązać sprawę bezpośrednio z organizacją.
Krok 2: Skarga pisemna
Odwiedź datatilsynet.no i wypełnij formularz skargi, lub wyślij pismo do:
Datatilsynet Postboks 458 Sentrum 0105 Oslo
Uwzględnij:
- Twoje imię i dane kontaktowe
- Nazwę organizacji
- Opis sprawy
- Dokumentację (e-mail, pismo, odmowę)
- Co chcesz, aby Datatilsynet zrobił
Krok 3: Czas rozpatrzenia
- Proste sprawy: 1–3 miesiące
- Złożone sprawy: 6–12 miesięcy
- Decyzja wysyłana przez Digipost/eBoks
Krok 4: Sankcje
Datatilsynet może nałożyć:
- Ostrzeżenie — łagodna sankcja
- Nakaz sprostowania lub usunięcia
- Grzywna — do 20 milionów euro lub 4% światowego przychodu
- Zakaz przetwarzania
Szczególne prawa
Prawo do przenoszalności danych (art. 20)
Możesz żądać, aby Twoje dane zostały dostarczone w strukturyzowanym, czytelnym dla maszyn formacie i przeniesione do innego dostawcy. Dotyczy to przetwarzania na podstawie zgody lub umowy.
Prawo do sprzeciwu (art. 21)
Możesz sprzeciwić się:
- Bezpośredniemu marketingowi — prawo bezwzględne
- Przetwarzaniu na podstawie uzasadnionego interesu — oceniane indywidualnie
- Zautomatyzowanemu podejmowaniu decyzji z istotnymi konsekwencjami prawnymi lub faktycznymi
Prawo do informacji (art. 13–14)
Gdy dane są zbierane, organizacja musi Cię poinformować o:
- Tożsamości i danych kontaktowych
- Celu i podstawie prawnej
- Kategoriach i odbiorcach
- Czasie przechowywania
- Twoich prawach
- Możliwości wniesienia skargi
Szczególnie dla imigrantów
UDI i sprawy pobytowe
UDI przetwarza dużą ilość danych osobowych. Możesz żądać:
- Dostępu do swojej sprawy — w tym notatki, korespondencja, odmowy
- Sprostowania błędów — szczególnie ważne przy łączeniu rodzin
- Dostępu przed złożeniem skargi — strategicznie wykorzystaj prawo dostępu
Rejestry policyjne
Policja prowadzi kilka rejestrów:
- Rejestr karny — dostęp na politiet.no
- Rejestr DNA
- Rejestr wjazdów i wyjazdów
Zobacz zawiadomienie do policji.
Urząd Skarbowy i podatek u źródła PAYE
Urząd Skarbowy przechowuje obszerny zbiór danych. Dostęp może ujawnić błędy w certyfikacie podatkowym.
Bariery językowe
Masz prawo do informacji w języku, który rozumiesz. Organizacje nie mają obowiązku tłumaczyć odpowiedzi, ale powinny oferować tłumaczenie, gdy jest to rozsądne.
Często zadawane pytania
Czy mogę uzyskać dostęp do moich własnych notatek od lekarza?
Tak — dokumentacja pacjenta przez helsenorge.no. Zob. ustawę o prawach pacjenta i użytkownika.
Czy uzyskam dostęp do wszystkich danych, które Facebook/Google o mnie przechowuje?
Tak — GDPR dotyczy wszystkich organizacji przetwarzających dane obywateli UE/EOG. Użyj "Pobierz moje dane" lub wyślij pisemny wniosek o dostęp.
Co jeśli organizacja odmówi?
Złóż skargę do Datatilsynet. W przypadku bezpodstawnej odmowy mogą nałożyć grzywnę.
Czy pracodawca może mnie monitorować?
Tylko na podstawie stosownego prawa i po ocenie proporcjonalności. Monitorowanie musi być jawnie poinformowane przed jego rozpoczęciem.
Jak długo dane mogą być przechowywane?
Nie dłużej niż konieczne dla celu. Różne sektory mają własne zasady:
- Księgowość/podatki: 5–7 lat
- Zatrudnienie: aktualny okres + rozsądny czas
- Informacje kredytowe: zob. adnotacja o zagrożeniu (zasada 4 lat)
Czy mogę otrzymać odszkodowanie za naruszenie?
Tak — art. 82 GDPR daje prawo do odszkodowania za szkodę materialną i niematerialną (np. lęk). Kwota odszkodowania: 5 000–100 000 kr w norweskiej praktyce sądowej.
Podsumowanie
GDPR i ustawa o ochronie danych osobowych (2018) dają Ci wszechstronną ochronę zarówno wobec organizacji publicznych, jak i prywatnych w Norwegii: dostęp (art. 15), sprostowanie (art. 16), usunięcie (art. 17), przenoszalność (art. 20) i sprzeciw (art. 21). Wyślij pisemny wniosek do organizacji, która musi odpowiedzieć w ciągu 30 dni. Jeśli organizacja nie reaguje: złóż skargę do Datatilsynet na datatilsynet.no lub na adres Postboks 458 Sentrum, 0105 Oslo. Datatilsynet może nałożyć grzywnę do 20 milionów euro lub 4% światowego przychodu. Szczególnie istotne dla imigrantów: dostęp do spraw UDI, rejestry policyjne i podatek PAYE. Odszkodowanie za naruszenie na podstawie art. 82 GDPR — 5 000–100 000 kr w norweskiej praktyce sądowej. Zob. też adnotacja o zagrożeniu i Digipost/eBoks.




