Datatilsynet є органом нагляду Норвегії з питань приватності, а GDPR (закон про персональні дані) надає вам конкретні права: доступ до всіх персональних даних, які зберігаються про вас, виправлення помилок та видалення даних, які більше не потрібні. Цей посібник показує, як користуватися цими правами у 2026 році — щодо як державних, так і приватних суб'єктів.

Правова основа: GDPR та закон про персональні дані

Норвегія зв'язана Регламентом ЄС про захист персональних даних (GDPR) через угоду ЕОП та впровадила його на національному рівні через закон про персональні дані (2018). Закон набув чинності 20 липня 2018 року — одночасно з упровадженням GDPR в ЄС.

Ключові положення GDPR

  • Art. 15 — право на доступ
  • Art. 16 — право на виправлення
  • Art. 17 — право на видалення («право бути забутим»)
  • Art. 18 — право на обмеження обробки
  • Art. 20 — право на портативність даних
  • Art. 21 — право на заперечення
  • Art. 77 — право подати скаргу до органу нагляду

Роль Datatilsynet

Datatilsynet (datatilsynet.no) — це норвезький наглядовий орган відповідно до art. 51 GDPR:

  • Здійснює нагляд за дотриманням закону організаціями
  • Розглядає скарги від фізичних осіб
  • Може накладати штрафи на виправлення, видалення та грошові штрафи (до 4 % від світового доходу)
  • Консультує організації та громадськість

Право на доступ (GDPR art. 15)

Що охоплює право доступу

Ви маєте право дізнатися:

  1. Чи обробляються персональні дані про вас (так/ні)
  2. Мета обробки
  3. Категорії персональних даних
  4. Одержувачі або категорії одержувачів
  5. Період зберігання або критерії визначення периоду
  6. Ваші права (виправлення, видалення, заперечення, скарга)
  7. Джерело інформації, якщо вона була зібрана не безпосередньо від вас
  8. Автоматизоване прийняття рішень, включаючи профілювання
  9. Передача в треті країни (поза ЄС/ЕОП)
  10. Копія персональних даних, які обробляються

Як запросити доступ

  1. Письмовий запит до організації — електронна пошта, лист, контактна форма
  2. Підтвердьте особу — BankID або копія посвідчення
  3. Очікуйте відповідь протягом 30 днів (може бути продовжено до 90 днів у разі складності)
  4. Перша копія безпечна — наступні копії можуть коштувати розумну плату

Шаблон запиту про доступ

«На підставі GDPR art. 15 запитую доступ до всіх персональних даних, які ви обробляєте про мене. Будь ласка, включіть: мету, категорії, одержувачів, період зберігання та джерело. Надішліть мені копію даних протягом 30 днів.»

Право на виправлення (GDPR art. 16)

Якщо ви виявите неточні або неповні персональні дані, у вас є право вимагати їх виправлення.

Приклади

  • Неправильне ім'я або дата народження
  • Неправильна адреса або номер телефону
  • Неправильна інформація про дохід або кредит
  • Застаріла інформація про здоров'я або сімейні відносини

Процес

  1. Зв'яжіться з організацією з документацією про правильну інформацію
  2. Вимога про виправлення має бути виконана без невиправданих затримок
  3. Організація повинна також повідомити третіх осіб, які отримали неправильні дані

Право на видалення (GDPR art. 17)

«Право бути забутим»

Ви можете вимагати видалення, коли:

  1. Мета досягнута — дані більше не потрібні
  2. Ви відкликаєте свою згоду
  3. Ви заперечуєте проти обробки, яка ґрунтується на законних інтересах
  4. Обробка незаконна
  5. Видалення вимагається законом
  6. Дитина до 16 років — захист даних неповнолітніх

Виключення з права на видалення

  • Свобода вираження та інформація
  • Юридичний обов'язок — облік, податки (7 років за законом про бухгалтерський облік)
  • Судовий позов — поточна судова справа
  • Архівування, дослідження або статистика

Сектори та сфери нагляду Datatilsynet

Державний сектор

Datatilsynet здійснює нагляд над:

Приватний сектор

  • Банки та страхові компанії
  • Агентства кредитної інформації — Experian, Creditsafe, Bisnode (див. позначка платежу)
  • Телеоператори — Telenor, Telia, Ice (див. NRK ліцензія та підписка)
  • Електронна комерція та соціальні мережі
  • Роботодавці
  • Орендодавці та агенти з нерухомості

Як подати скаргу до Datatilsynet

Крок 1: Спочатку зв'яжіться з організацією

Datatilsynet звичайно вимагає, щоб ви спочатку спробували вирішити справу безпосередньо з організацією.

Крок 2: Письмова скарга

Відвідайте datatilsynet.no та заповніть форму скарги або надішліть лист на адресу:

Datatilsynet Postboks 458 Sentrum 0105 Oslo

Включіть:

  • Ваше ім'я та контактну інформацію
  • Назву організації
  • Опис справи
  • Документацію (електронна пошта, лист, відмова)
  • Що ви хочете, щоб Datatilsynet зробив

Крок 3: Час обробки

  • Прості справи: 1–3 місяці
  • Складні справи: 6–12 місяців
  • Рішення відправляється на Digipost/eBoks

Крок 4: Санкції

Datatilsynet може накласти:

  • Попередження — м'яка санкція
  • Наказ про виправлення або видалення
  • Штраф за порушення — до 20 мільйонів євро або 4 % від світового доходу
  • Заборона на обробку

Спеціальні права

Право на портативність даних (art. 20)

Ви можете вимагати отримати свої дані у структурованому, машиночитаному форматі та передати їх іншому постачальнику. Застосовується в разі обробки на основі згоди або договору.

Право на заперечення (art. 21)

Ви можете заперечувати проти:

  • Прямого маркетингу — абсолютне право
  • Обробки на основі законних інтересів — розглядається індивідуально
  • Автоматизованого прийняття рішень, що мають юридичні або суттєво впливають на наслідки

Право на інформацію (art. 13–14)

Коли дані збираються, організація повинна інформувати вас про:

  • Особу та контактну інформацію
  • Мету та правову основу
  • Категорії та одержувачів
  • Час зберігання
  • Ваші права
  • Право подачі скарги

Особливо для іммігрантів

UDI та справи про дозвіл на перебування

UDI обробляє велику кількість персональних даних. Ви можете запросити:

  • Доступ до своєї справи — включаючи примітки, кореспонденцію, відмови
  • Виправлення помилок — особливо важливо для сімейної імміграції
  • Доступ перед подачею скарги — стратегічно використовуйте право на доступ

Поліцейські реєстри

Поліція веде кілька реєстрів:

  • Реєстр засуджених — доступ на politiet.no
  • ДНК-реєстр
  • Реєстр в'їзду та виїзду

Див. повідомлення про злочин до поліції.

Skatteetaten та PAYE

Skatteetaten зберігає всебічні дані. Доступ може виявити помилки в податковій карті.

Мовні бар'єри

Ви маєте право отримувати інформацію мовою, яку розумієте. Організації не зобов'язані перекладати відповіді, але повинні пропонувати перекладача, де це розумно.

Поширені питання

Чи можу я отримати доступ до своїх власних записів від лікаря?

Так — медична карта через helsenorge.no. Див. закон про права пацієнтів та користувачів.

Чи отримаю я доступ до всього, що Facebook/Google зберігає про мене?

Так — GDPR застосовується до всіх організацій, які обробляють дані громадян ЄС/ЕОП. Використовуйте опцію «Завантажити мої дані» або надішліть письмовий запит про доступ.

Що якщо організація відмовляє?

Подайте скаргу до Datatilsynet. У разі необґрунтованої відмови вони можуть накласти штраф.

Чи може роботодавець мене стежити?

Тільки з правовою основою та після оцінки пропорційності. Спостереження має бути оголошено письмово перед його розпочатком.

Як довго можна зберігати дані?

Не довше, ніж необхідно для мети. Різні сектори мають власні правила:

  • Облік/податки: 5–7 років
  • Трудові відносини: період активності + розумний час
  • Кредитна інформація: див. позначка платежу (правило 4 років)

Чи можу я отримати компенсацію за порушення?

Так — art. 82 GDPR дає право на компенсацію за як матеріальну, так і нематеріальну шкоду (наприклад, тривога). Суми компенсації: 5 000–100 000 крон у норвезькій судовій практиці.

Резюме

GDPR та закон про персональні дані (2018) дають вам обширні права щодо як державних, так і приватних суб'єктів у Норвегії: доступ (art. 15), виправлення (art. 16), видалення (art. 17), портативність (art. 20) та заперечення (art. 21). Надішліть письмовий запит до організації, яка повинна відповісти протягом 30 днів. Якщо організація не відповідає: подайте скаргу до Datatilsynet на datatilsynet.no або на адресу postboks 458 Sentrum, 0105 Oslo. Datatilsynet може накласти штраф до 20 мільйонів євро або 4 % від світового доходу. Особливо актуально для іммігрантів: доступ до справ UDI, поліцейських реєстрів та податку PAYE. Компенсація за порушення за art. 82 GDPR — 5 000–100 000 крон у норвезькій судовій практиці. Див. також позначка платежу та Digipost/eBoks.