Innsyn er en rettighet. Retten til innsyn og plikten til å gi informasjon er lik for både privat og offentlig sektor og står i personvernforordningens artikkel 12-15.

Innsyn i egne personopplysninger. Alle har en generell rett til å få en bekreftelse på om en virksomhet samler inn og bruker personopplysninger om dem. Hvis en virksomhet har lagret personopplysninger om en person, har vedkommende rett til å få vite hvilke opplysninger dette er, inkludert elektroniske spor, metadata og eventuelle personprofiler man er tildelt (personvernforordningen artikkel 15 nr. 1).

Rett til utfyllende informasjon. Dersom en virksomhet har registrert opplysninger om en person, har vedkommende også rett til informasjon om formål, eventuell utlevering til andre, lagringstid, rettigheter knyttet til behandlingen, hvilke kilder opplysningene er hentet fra med mer (personvernforordningen artikkel 15 nr. 1 bokstav a-h).

Frist for å gi svar. Virksomheten har plikt til å svare uten ugrunnet opphold, og senest én måned etter å ha fått henvendelsen. Denne fristen kan forlenges ytterligere to måneder ved behov, men virksomheten må da sende en begrunnelse for forsinkelsen innen fristen (personvernforordningen artikkel 12 nr. 3).

Gratis. Å bruke rettighetene sine skal være gratis. Det vil si at virksomheten ikke kan ta betalt av de som ønsker innsyn med mindre forespørselen er åpenbart grunnløs eller overdrevet. Virksomheten skal på oppfordring gi den registrerte en kopi av opplysningene som behandles. Dersom den registrerte ønsker flere kopier, kan virksomheten kreve et rimelig gebyr basert på administrasjonskostnadene (personvernforordningen artikkel 12 nr. 5, og 15 nr. 3).

Unntak. Det finnes noen unntak fra innsynsretten, for eksempel dersom hemmelighold er nødvendig i forbindelse med etterforskning eller rettslig forfølgelse av straffbare handlinger, dersom det er utilrådelig at du får kjennskap til opplysningene av hensyn til helsen din eller forholdet ditt til nære pårørende, dersom opplysningene er omfattet av lovfestet taushetsplikt eller dersom innsynet vil krenke rettighetene og frihetene til andre. Hvis en virksomhet ikke gir innsyn, må det gis en skriftlig begrunnelse med henvisning til aktuell hjemmel (personopplysningsloven § 16).

Informasjonssikkerhet. Virksomheten har plikt til å sikre personopplysningene. Det gjelder også ved innsynsbegjæringer. Noen personopplysninger er så beskyttelsesverdige at de ikke bør sendes på vanlig ukryptert e-post. Virksomhetene må derfor gjøre en risikovurdering av hvordan innsyn skal gis og sikre at personopplysningene deles med riktig person (personvernforordningen artikkel 32).

Andre typer innsyn. Eksempler på andre typer innsyn er forvaltningslovens regler for partsinnsyn og offentlighetslovens bestemmelser om tilgang til dokumenter og informasjon i offentlige etater. Dette er en annen type innsyn, og dette skjemaet er ikke ment brukt i slike sammenhenger.