Innsynsretten og unntaket for overdrevne krav

Retten til innsyn er blant de mest praktiske og mest brukte rettighetene etter GDPR. Den gir registrerte et konkret verktøy for å få oversikt over hvordan virksomheter behandler deres personopplysninger, og for å kontrollere om behandlingen er lovlig.

Hovedregelen følger av GDPR artikkel 15. Den registrerte har rett til innsyn i opplysningene om seg og nærmere informasjon om behandlingen. Etter artikkel 12 nr. 5 kan den behandlingsansvarlige likevel nekte å etterkomme et innsynskrav dersom det er åpenbart grunnløst eller overdrevent, særlig dersom det gjentas.

Den 19. mars 2026 avsa EU-domstolen en dom som gir nærmere veiledning om når et innsynskrav kan anses som overdrevent.^{(1)Brillen Rottler GmbH & Co. KG v TC (C-526/24).} Et sentralt poeng i dommen er at også en første anmodning kan omfattes av unntaket i artikkel 12 nr. 5. Samtidig understreker domstolen at dette er et snevert unntak som bare kan brukes under bestemte forutsetninger.

Saken for EU-domstolen

Saken gjaldt en tysk optiker som avslo en persons første krav om innsyn etter GDPR artikkel 15. Virksomheten mente at innsynskravet var overdrevent og derfor kunne avslås etter artikkel 12 nr. 5.

Som grunnlag for avslaget viste optikeren til ulike rapporter, bloggartikler og nyhetsbrev fra advokater. Etter virksomhetens syn viste dette at den registrerte systematisk og på en urimelig måte ba om innsyn, med sikte på å kreve erstatning for påståtte brudd på GDPR.

Ifølge virksomheten fulgte personen et fast mønster: Først tegnet han abonnement på et nyhetsbrev, deretter ba han om innsyn, og til slutt fremmet han erstatningskrav dersom kravet ikke ble oppfylt.

Et første innsynskrav kan være overdrevent

EU-domstolen godtok at også et første innsynskrav i prinsippet kan være overdrevent etter GDPR artikkel 12 nr. 5. Antallet tidligere krav er derfor ikke avgjørende i seg selv. Vurderingen må i stedet knyttes til om det foreligger misbruk av innsynsretten.

Det er ikke nok at virksomheten opplever kravet som belastende, strategisk eller som del av et mønster. Det avgjørende er om innsynsretten brukes på en måte som faller utenfor dens reelle formål.

To vilkår for å konstatere misbruk

EU-domstolen oppstilte to vilkår for å konstatere misbruk. For det første må det påvises at formålet med innsynsretten faktisk ikke oppnås, selv om de formelle vilkårene for å kreve innsyn er oppfylt. For det andre må det være grunnlag for å fastslå at den registrerte hadde til hensikt å oppnå en fordel etter GDPR, for eksempel erstatning, ved kunstig å skape de omstendighetene som gjorde det mulig å kreve denne fordelen. Terskelen er høy, og bevisbyrden ligger hos den behandlingsansvarlige.

Det er ikke nok at virksomheten opplever kravet som belastende, strategisk eller som del av et mønster. Det avgjørende er om innsynsretten brukes på en måte som faller utenfor dens reelle formål.

Offentlig tilgjengelig informasjon kan inngå i vurderingen

EU-domstolen åpnet samtidig for at offentlig tilgjengelig informasjon kan være relevant i denne vurderingen. Dersom slikt materiale tyder på at en person gjentatte ganger ber om innsyn og deretter fremmer erstatningskrav, kan dette inngå i bevisbildet. Slik informasjon vil likevel normalt ikke være tilstrekkelig alene, men bør støttes av annet relevant materiale som belyser den konkrete saken og den registrertes formål.

Urettmessig avslag kan gi grunnlag for erstatning

Dommen sier også noe om rekkevidden av erstatningsreglene etter GDPR. EU-domstolen slo fast at retten til erstatning ikke er begrenset til skade som springer direkte ut av selve behandlingen av personopplysninger i snever forstand. Erstatningsretten kan også omfatte skade som følger av et ulovlig avslag på innsyn.

Praktisk betydning for virksomheter

Avgjørelsen klargjør at virksomheter har et visst, men snevert, handlingsrom for å avslå innsynskrav der det foreligger konkrete og dokumenterte holdepunkter for misbruk. Dette kan også gjelde når kravet er det første virksomheten mottar fra den registrerte.

Adgangen må likevel praktiseres med stor varsomhet. Innsyn i egne personopplysninger er en grunnleggende rettighet, og et avslag må bygge på en konkret og godt dokumentert vurdering. Virksomheten må kunne forklare hvorfor innsynsrettens formål ikke gjør seg gjeldende i den aktuelle saken, og hvilke forhold som tilsier misbruk. Generelle antakelser, mistanke eller opplevelsen av at kravet er belastende, er ikke tilstrekkelig.

Et uriktig avslag kan dessuten i seg selv gi grunnlag for erstatningsansvar etter GDPR. Selv om innsynsretten ikke er absolutt, er adgangen til å nekte innsyn derfor forbeholdt klare og godt dokumenterte tilfeller av misbruk.