År 2000 den 7. mars holdtes Odelsting, hvor da ble gjort slikt
§ 1 Lovens formål
Formålet med denne loven er å beskytte
den enkelte mot at personvernet blir krenket gjennom behandling
av personopplysninger.
Loven skal bidra til at personopplysninger blir behandlet
i samsvar med grunnleggende personvernhensyn, herunder behovet for
personlig integritet, privatlivets fred og tilstrekkelig kvalitet
på personopplysninger.
§ 2 Definisjoner
I denne loven forstås med:
1) personopplysning: opplysninger og vurderinger som
kan knyttes til en enkeltperson,
2) behandling av personopplysninger: enhver bruk av personopplysninger,
som f.eks. innsamling, registrering, sammenstilling, lagring og
utlevering eller en kombinasjon av slike bruksmåter,
3) personregister: registre, fortegnelser m.v. der personopplysninger
er lagret systematisk slik at opplysninger om den enkelte kan finnes
igjen,
4) behandlingsansvarlig: den som bestemmer formålet
med behandlingen av personopplysninger og hvilke hjelpemidler som
skal brukes,
5) databehandler: den som behandler personopplysninger på vegne
av den behandlingsansvarlige,
6) registrert: den som en personopplysning kan knyttes til,
7) samtykke: en frivillig, uttrykkelig og informert erklæring
fra den registrerte om at han eller hun godtar behandling av opplysninger
om seg selv,
8) sensitive personopplysninger: opplysninger om
a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk
eller religiøs oppfatning,
b) at en person har vært mistenkt, siktet, tiltalt
eller dømt for en straffbar handling,
c) helseforhold,
d) seksuelle forhold,
e) medlemskap i fagforeninger.
§ 3 Saklig virkeområde
Loven gjelder for
a) behandling av personopplysninger som helt eller delvis
skjer med elektroniske hjelpemidler, og
b) annen behandling av personopplysninger når disse
inngår eller skal inngå i et personregister.
Loven gjelder ikke behandling av personopplysninger som
den enkelte foretar for rent personlige eller andre private formål.
Kongen kan gi forskrift om at loven eller deler av den
ikke skal gjelde for bestemte institusjoner og sakområder.
Kongen kan gi forskrift om behandling av personopplysninger
i særskilte virksomheter eller bransjer. For behandling
av personopplysninger som ledd i kredittopplysningsvirksomhet kan
det i forskrift gis bestemmelser bl.a. om hvilke typer opplysninger
som kan behandles, hvilke kilder personopplysninger kan hentes fra,
hvem kredittopplysninger kan utleveres til og hvordan utleveringen
kan skje, sletting av kredittanmerkninger og taushetsplikt
for de ansatte i kredittopplysningsbyrået. Det kan også gis
regler om at loven eller enkelte bestemmelser gitt i eller i medhold av
den skal gjelde for behandling av kredittopplysninger om andre enn
enkeltpersoner.
§ 4 Geografisk virkeområde
Loven gjelder for behandlingsansvarlige som er etablert
i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis
skal gjelde for Svalbard og Jan Mayen, og fastsette særlige
regler om behandling av personopplysninger for disse områdene.
Loven gjelder også for behandlingsansvarlige som
er etablert i stater utenfor EØS-området dersom den
behandlingsansvarlige benytter hjelpemidler i Norge. Dette gjelder
likevel ikke dersom hjelpemidlene bare brukes til å overføre
personopplysninger via Norge.
Behandlingsansvarlige som nevnt i annet ledd skal ha en
representant som er etablert i Norge. Bestemmelsene som gjelder
for den behandlingsansvarlige gjelder også for representanten.
§ 5 Forholdet til andre
lover
Bestemmelsene i loven gjelder for behandling av personopplysninger
om ikke annet følger av en særskilt lov som regulerer
behandlingsmåten.
§ 6 Forholdet til lovbestemt
innsynsrett etter andre lover
Loven her begrenser ikke innsynsrett etter offentlighetsloven,
forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.
Dersom annen lovbestemt rett til innsyn gir tilgang til
flere opplysninger enn loven her, skal den behandlingsansvarlige
av eget tiltak veilede om retten til å be om slikt innsyn.
§ 7 Forholdet til ytringsfriheten
For behandling av personopplysninger utelukkende for kunstneriske,
litterære eller journalistiske, herunder opinionsdannende,
formål gjelder bare bestemmelsene i §§ 13-15,
26, 36-41, jf. kapittel VIII.
§ 8 Vilkår
for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles
dersom den registrerte har samtykket, eller det er fastsatt i lov
at det er adgang til slik behandling, eller behandlingen er nødvendig
for
a) å oppfylle en avtale med den registerte,
eller for å utføre gjøremål
etter den registrertes ønske før en slik avtale
inngås,
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig
forpliktelse,
c) å vareta den registrertes vitale interesser,
d) å utføre en oppgave av allmenn interesse,
e) å utøve offentlig myndighet, eller
f) at den behandlingsansvarlige eller tredjepersoner som
opplysningene utleveres til kan vareta en berettiget interesse,
og hensynet til den registrertes personvern ikke overstiger denne
interessen.
§ 9 Behandling av sensitive
personopplysninger
Sensitive personopplysninger (jf. § 2 nr. 8) kan bare
behandles dersom behandlingen oppfyller et av vilkårene
i § 8 og
a) den registrerte samtykker i behandlingen,
b) det er fastsatt i lov at det er adgang til slik behandling,
c) behandlingen er nødvendig for å beskytte
en persons vitale interesser, og den registrerte ikke er i stand
til å samtykke,
d) det utelukkende behandles opplysninger som den registrerte
selv frivillig har gjort alminnelig kjent,
e) behandlingen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
f) behandlingen er nødvendig for at den behandlingsansvarlige
kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,
g) behandlingen er nødvendig for forebyggende sykdomsbehandling,
medisinsk diagnose, sykepleie eller pasientbehandling eller for
forvaltning av helsetjenester, og opplysningene behandles av helsepersonell
med taushetsplikt, eller
h) behandlingen er nødvendig for historiske, statistiske
eller vitenskapelige formål, og samfunnets interesse i
at behandlingen finner sted klart overstiger ulempene den kan medføre
for den enkelte.
Ideelle sammenslutninger og stiftelser kan behandle sensitive
personopplysninger innenfor rammen av sin virksomhet selv om behandlingen
ikke oppfyller et av vilkårene i første ledd bokstav
a - h. Behandlingen kan bare omfatte opplysninger om medlemmer eller personer
som på grunn av sammenslutningens eller stiftelsens formål
frivillig er i regelmessig kontakt med den, og bare opplysninger
som innsamles gjennom denne kontakten. Personopplysningene kan ikke utleveres
uten at den registrerte samtykker.
Datatilsynet kan bestemme at sensitive personopplysninger
kan behandles også i andre tilfeller dersom viktige samfunnsinteresser
tilsier det og det settes i verk tiltak for å sikre den
registrertes interesser.
§ 10 Register over
straffedommer
Et fullstendig register over straffedommer kan bare føres
under kontroll av en offentlig myndighet.
§ 11 Grunnkrav til
behandling av personopplysninger
Den behandlingsansvarlige skal sørge for at personopplysningene
som behandles
a) bare behandles når dette er tillatt
etter §§ 8 og 9,
b) bare nyttes til uttrykkelig angitte formål som
er saklig begrunnet i den behandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig
med det opprinnelige formålet med innsamlingen, uten at
den registrerte samtykker,
d) er tilstrekkelige og relevante for formålet
med behandlingen, og
e) er korrekte og oppdatert, og ikke lagres lenger enn det
som nødvendig ut fra formålet med behandlingen,
jf. §§ 27 og 28.
Senere behandling av personopplysningene for historiske,
statistiske eller vitenskapelige formål anses ikke uforenlig
med de opprinnelige formålene med innsamlingen av opplysningene,
jf. første ledd bokstav c, dersom samfunnets interesse
i at behandlingen finner sted, klart overstiger ulempene den kan
medføre for den enkelte.
§ 12 Bruk av fødselsnummer
m.v.
Fødselsnummer og andre entydige identifikasjonsmidler
kan bare nyttes i behandlingen når det er saklig behov
for sikker identifisering og metoden er nødvendig for å oppnå slik
identifisering.
Datatilsynet kan pålegge en behandlingsansvarlig å bruke
identifikasjonsmidler som nevnt i første ledd for å sikre
at personopplysningene har tilstrekkelig kvalitet.
Kongen kan gi forskrift med nærmere regler om bruk
av fødselsnummer og andre entydige identifikasjonsmidler.
§ 13 Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom
planlagte og systematiske tiltak sørge for tilfredsstillende
informasjonssikkerhet med hensyn til konfidensialitet, integritet
og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet
skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet
og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig
for medarbeiderne hos den behandlingsansvarlige og hos databehandleren.
Dokumentasjonen skal også være tilgjengelig for
Datatilsynet og Personvernnemnda.
En behandlingsansvarlig som lar andre få tilgang til
personopplysninger, f.eks. en databehandler eller andre som utfører
oppdrag i tilknytning til informasjonssystemet, skal påse
at disse oppfyller kravene i første og annet ledd.
Kongen kan gi forskrift om informasjonssikkerhet ved behandling
av personopplysninger, herunder nærmere regler om organisatoriske
og tekniske sikkerhetstiltak.
§ 14 Internkontroll
Den behandlingsansvarlige skal etablere og holde vedlike
planlagte og systematiske tiltak som er nødvendige for å oppfylle
kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.
Den behandlingsansvarlige skal dokumentere tiltakene. Dokumentasjonen
skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige
og hos databehandleren. Dokumentasjonen skal også være tilgjengelig
for Datatilsynet og Personvernnemnda.
Kongen kan gi forskrift med nærmere regler om internkontroll.
§ 15 Databehandlerens
rådighet over personopplysninger
En databehandler kan ikke behandle personopplysninger på annen
måte enn det som er skriftlig avtalt med den behandlingsansvarlige.
Opplysningene kan heller ikke uten slik avtale overlates til noen andre
for lagring eller bearbeidelse.
I avtalen med den behandlingsansvarlige skal det også gå frem
at databehandleren plikter å gjennomføre slike
sikringstiltak som følger av § 13.
§ 16 Frist for å svare
på henvendelser om
informasjon m.v.
Den behandlingsansvarlige skal svare på henvendelser
om innsyn eller andre rettigheter etter §§ 18, 22,
25, 26, 27 og 28 uten ugrunnet opphold og senest innen 30 dager
fra den dagen henvendelsen kom inn.
Dersom særlige forhold gjør det umulig å svare
på henvendelsen innen 30 dager, kan gjennomføringen utsettes
inntil det er mulig å gi svar. Den behandlingsansvarlige
skal i så fall gi et foreløpig svar med opplysninger
om grunnen til forsinkelsen og sannsynlig tidspunkt for når
svar kan gis.
§ 17 Betaling
Den behandlingsansvarlige kan ikke kreve vederlag for å gi
informasjon etter kapittel III eller for å etterkomme krav
fra den registrerte etter kapittel IV.
§ 18 Rett til innsyn
Enhver som ber om det, skal få vite hva slags
behandling av personopplysninger en behandlingsansvarlig foretar,
og kan kreve å få følgende informasjon om
en bestemt type behandling:
a) navn og adresse på den behandlingsansvarlige
og dennes eventuelle representant,
b) hvem som har det daglige ansvaret for å oppfylle den
behandlingsansvarliges plikter,
c) formålet med behandlingen,
d) beskrivelser av hvilke typer personopplysninger som behandles,
e) hvor opplysningene er hentet fra, og
f) om personopplysningene vil bli utlevert, og eventuelt
hvem som er mottaker.
Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige
opplyse om
a) hvilke opplysninger om den registrerte som
behandles, og
b) sikkerhetstiltakene ved behandlingen så langt
innsyn ikke svekker sikkerheten.
Den registrerte kan kreve at den behandlingsansvarlige
utdyper informasjonen i første ledd bokstav a - f i den
grad dette er nødvendig for at den registrerte skal kunne
vareta egne interesser.
Retten til informasjon etter annet og tredje ledd gjelder
ikke dersom personopplysningene behandles utelukkende for historiske,
statistiske eller vitenskapelige formål og behandlingen
ikke får noen direkte betydning for den registrerte.
§ 19 Informasjonsplikt
når det samles inn
opplysninger fra den registrerte
Når det samles inn personopplysninger fra den registrerte
selv, skal den behandlingsansvarlige av eget tiltak først
informere den registrerte om
a) navn og adresse på den behandlingsansvarlige
og dennes eventuelle representant,
b) formålet med behandlingen,
c) opplysningene vil bli utlevert, og eventuelt hvem som
er mottaker,
d) det er frivillig å gi fra seg opplysningene,
og
e) annet som gjør den registrerte i stand til å bruke sine
rettigheter etter loven her på best mulig måte, som
f.eks. informasjon om retten til å kreve innsyn, jf. § 18,
og retten til å kreve retting, jf. §§ 27 og
28.
Varsling er ikke påkrevd dersom det er på det
rene at den registrerte allerede kjenner til informasjonen i første
ledd.
§ 20 Informasjonsplikt
når det samles inn
opplysninger fra andre enn den registrerte
En behandlingsansvarlig som samler inn personopplysninger
fra andre enn den registrerte selv, skal av eget tiltak informere
den registrerte om hvilke opplysninger som samles inn og gi informasjon
som nevnt i § 19 første ledd så snart
opplysningene er innhentet. Dersom formålet med innsamling
av opplysningene er å gi dem videre til andre, kan den
behandlingsansvarlige vente med å varsle den registrerte
til utleveringen skjer.
Den registrerte har ikke krav på varsel etter
første ledd dersom
a) innsamlingen eller formidlingen av opplysningene
er uttrykkelig fastsatt i lov,
b) varsling er umulig eller uforholdsmessig vanskelig, eller
c) det er på det rene at den registrerte allerede
kjenner til informasjonen varslet skal inneholde.
Når varsling unnlates med hjemmel i bokstav b, skal
informasjonen likevel gis senest når det gjøres
en henvendelse til den registrerte på grunnlag av opplysningene.
§ 21 Informasjonsplikt
ved bruk av personprofiler
Når noen henvender seg til eller treffer avgjørelser
som retter seg mot den registrerte på grunnlag av personprofiler
som er ment å beskrive atferd, preferanser, evner eller
behov, f eks som ledd i markedsføringsvirksomhet, skal
den behandlingsansvarlige informere den registrerte om
a) hvem som er behandlingsansvarlig,
b) hvilke opplysningstyper som er anvendt, og
c) hvor opplysningene er hentet fra.
§ 22 Rett til informasjon
om automatiserte avgjørelser
Hvis en avgjørelse har rettslig eller annen vesentlig
betydning for den registrerte og fullt ut er basert på automatisk
behandling av personopplysninger, kan den registrerte som avgjørelsen
retter seg mot, kreve at den behandlingsansvarlige gjør
rede for regelinnholdet i datamaskinprogrammene som ligger til grunn
for avgjørelsen.
§ 23 Unntak fra retten
til informasjon
Retten til innsyn etter §§ 18 og 22 og
plikten til å gi informasjon etter §§ 19,
20 og 21 omfatter ikke opplysninger som
a) om de ble kjent, ville kunne skade rikets sikkerhet,
landets forsvar eller forholdet til fremmede makter eller internasjonale
organisasjoner,
b) det er påkrevd å hemmeligholde av hensyn
til forebygging, etterforskning, avsløring og rettslig forfølgning
av straffbare handlinger,
c) det må anses utilrådelig at den registrerte
får kjennskap til, av hensyn til vedkommendes helse eller
forholdet til personer som står vedkommende nær,
d) det i medhold av lov gjelder taushetsplikt for,
e) utelukkende finnes i tekst som er utarbeidet for den
interne saksforberedelse og som heller ikke er utlevert til andre,
f) det vil være i strid med åpenbare og
grunnleggende private eller offentlige interesser å informere om,
herunder hensynet til den registrerte selv.
Opplysninger etter første ledd bokstav c kan på anmodning
likevel gjøres kjent for en representant for den registrerte
når ikke særlige grunner taler mot det.
Den som nekter å gi innsyn i medhold av første ledd
må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.
Kongen kan gi forskrift om andre unntak fra innsynsretten
og informasjonsplikten og om vilkår for bruk av innsynsretten.
§ 24 Hvordan informasjonen
skal gis
Informasjonen kan kreves skriftlig hos den behandlingsansvarlige
eller hos dennes databehandler som nevnt i § 15. Før
det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige
kreve at den registrerte leverer en skriftlig og undertegnet begjæring.
§ 25 Rett til å kreve
manuell behandling
Den som en fullt automatisert avgjørelse som nevnt
i § 22 retter seg mot eller som saken ellers direkte gjelder,
kan kreve at avgjørelsen overprøves av en fysisk
person.
Retten etter første ledd gjelder ikke dersom den registrertes
personverninteresser varetas på tilstrekkelig måte
og avgjørelsen er hjemlet i lov eller knytter seg til oppfyllelse
av kontrakt.
§ 26 Rett til å reservere
seg mot direkte markedsføring
Kongen kan gi forskrift om et sentralt reservasjonsregister
med nærmere regler for registeret.
Den registrerte kan kreve sitt navn sperret mot bruk til
direkte markedsføring uavhengig av medium. Sperring kan
kreves både i det sentrale reservasjonsregisteret og i
markedsførerens adresseregister.
Behandlingsansvarlige som markedsfører direkte, skal
oppdatere sitt adresseregister i henhold til det sentrale reservasjonsregisteret
før første gangs utsendelse og minst fire ganger
hvert år.
Den som mottar direkte reklame, skal få opplyst hvem
som har gitt personopplysningene som ligger til grunn for henvendelsen.
Retten til å kreve sperring i det sentrale reservasjonsregisteret
gjelder ikke for markedsføring av egne produkter fra behandlingsansvarlige
som den registrerte har et løpende kundeforhold til.
§ 27 Retting av mangelfulle
personopplysninger
Dersom det er behandlet personopplysninger som er uriktige,
ufullstendige eller som det ikke er adgang til å behandle,
skal den behandlingsansvarlige av eget tiltak eller på begjæring
av den registrerte rette de mangelfulle opplysningene. Den behandlingsansvarlige
skal om mulig sørge for at feilen ikke får betydning
for den registrerte, f.eks. ved å varsle mottakere av utleverte
opplysninger.
Retting av uriktige eller ufullstendige personopplysninger
som kan ha betydning som dokumentasjon, skal skje ved at opplysningene
tydelig markeres og suppleres med korrekte opplysninger.
Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet
uten hinder av annet ledd bestemme at retting skal skje ved at de
mangelfulle personopplysningene slettes eller sperres. Hvis opplysningene
ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres
før det treffes vedtak om sletting. Vedtaket går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Sletting bør suppleres med registrering av korrekte
og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet
som inneholdt de slettede opplysningene av den grunn gir et åpenbart
misvisende bilde, skal hele dokumentet slettes.
Kongen kan gi forskrift med utfyllende bestemmelser om
hvordan retting skal gjennomføres.
§ 28 Forbud mot å lagre
unødvendige personopplysninger
Den behandlingsansvarlige skal ikke lagre personopplysninger
lenger enn det som er nødvendig for å gjennomføre
formålet med behandlingen. Hvis ikke personopplysningene
deretter skal oppbevares i henhold til arkivloven eller annen lovgivning,
skal de slettes.
Den behandlingsansvarlige kan uten hinder av første
ledd lagre personopplysninger for historiske, statistiske eller
vitenskapelige formål, dersom samfunnets interesse i at
opplysningene lagres klart overstiger de ulempene den kan medføre
for den enkelte. Den behandlingsansvarlige skal i så fall
sørge for at opplysningene ikke oppbevares på måter
som gjør det mulig å identifisere den registrerte
lenger enn nødvendig.
Den registrerte kan kreve at opplysninger som er sterkt
belastende for ham eller henne skal sperres eller slettes dersom
dette
a) ikke strider mot annen lov, og
b) er forsvarlig ut fra en samlet vurdering av bl.a. andres
behov for dokumentasjon, hensynet til den registrerte, kulturhistoriske
hensyn og de ressurser gjennomføringen av kravet forutsetter.
Datatilsynet kan - etter at Riksarkivaren er hørt
- treffe vedtak om at retten til sletting etter tredje ledd går
foran reglene i arkivloven 4. desember 1992 nr. 126 §§ 9
og 18.
Hvis dokumentet som inneholdt de slettede opplysningene
gir et åpenbart misvisende bilde etter slettingen, skal
hele dokumentet slettes.
§ 29 Grunnleggende
vilkår
Personopplysninger kan bare overføres til stater som
sikrer en forsvarlig behandling av opplysningene. Stater som har
gjennomført direktiv 95/46/EF om beskyttelse
av fysiske personer i forbindelse med behandling av personopplysninger
og om fri utveksling av slike opplysninger, oppfyller kravet til
forsvarlig behandling.
I vurderingen av om behandlingen sikres på forsvarlig
måte, skal det bl.a. legges vekt på opplysningenes
art, den planlagte behandlingens formål og varighet samt
de rettsregler, regler for god forretningsskikk og sikkerhetstiltak
som gjelder i vedkommende stat. Det skal også legges vekt
på om staten har tiltrådt Europarådets
konvensjon 28. januar 1981 nr. 108 om personvern i forbindelse med
elektronisk behandling av personopplysninger.
§ 30 Unntak
Personopplysninger kan også overføres
til stater som ikke sikrer en forsvarlig behandling av opplysningene
dersom
a) den registrerte har samtykket i overføringen,
b) det foreligger plikt til å overføre
opplysningene etter folkerettslig avtale eller som følge
av medlemskap i internasjonal organisasjon,
c) overføringen er nødvendig for å oppfylle
en avtale med den registrerte, eller for å utføre
gjøremål etter den registrertes ønske
før en slik avtale inngås,
d) overføringen er nødvendig for å inngå eller
oppfylle en avtale med en tredjeperson i den registrertes interesse,
e) overføringen er nødvendig for å vareta
den registrertes vitale interesser,
f) overføringen er nødvendig for å fastsette,
gjøre gjeldende eller forsvare et rettskrav,
g) overføringen er nødvendig eller følger
av lov for å beskytte en viktig samfunnsinteresse, eller
h) det er fastsatt i lov at det er adgang til å kreve
opplysninger fra et offentlig register.
Datatilsynet kan tillate overføring selv om vilkårene
i første ledd ikke er oppfylt dersom den behandlingsansvarlige
gir tilstrekkelige garantier for vern av den registrertes rettigheter.
Datatilsynet kan sette vilkår for overføringen.
Kongen kan gi forskrift om overføring av personopplysninger
til utlandet, herunder om å stanse eller begrense overføring
til bestemte stater som ikke tilfredsstiller kravene i § 29.
§ 31 Meldeplikt
Den behandlingsansvarlige skal gi melding til Datatilsynet
før
a) behandling av personopplysninger med elektroniske
hjelpemidler,
b) opprettelse av manuelt personregister som inneholder
sensitive personopplysninger.
Meldingen skal gis senest 30 dager før behandlingen
tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering
for at melding er mottatt.
Ny melding må gis før behandling som
går ut over den rammen for behandling som er angitt i medhold av § 32.
Selv om det ikke har skjedd endringer, skal det gis ny melding tre år
etter at forrige melding ble gitt.
Kongen kan gi forskrift om at visse behandlingsmåter
eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt
forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger
som unntas fra meldeplikt kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for den registrerte.
§ 32 Meldingens innhold
Meldingen skal opplyse om
a) navn og adresse på den behandlingsansvarlige
og på dennes eventuelle representant og databehandler,
b) når behandlingen starter,
c) hvem som har det daglige ansvaret for å oppfylle den
behandlingsansvarliges plikter,
d) formålet med behandlingen,
e) oversikt over hvilke typer personopplysninger som skal
behandles,
f) hvor personopplysningene hentes fra,
g) det rettslige grunnlaget for innsamlingen av opplysningene,
h) hvem personopplysningene vil bli utlevert til, herunder
eventuelle mottakere i andre stater, og
i) hvilke sikkerhetstiltak som er knyttet til behandlingen.
Kongen kan gi forskrift om hvilke opplysninger meldingene
skal inneholde og om gjennomføringen av meldeplikten.
§ 33 Konsesjonsplikt
Det kreves konsesjon fra Datatilsynet for å behandle
sensitive personopplysninger. Dette gjelder likevel ikke for behandling
av sensitive personopplysninger som er avgitt uoppfordret.
Datatilsynet kan bestemme at også behandling av annet
enn sensitive personopplysninger krever konsesjon, dersom behandlingen
ellers åpenbart vil krenke tungtveiende personverninteresser.
I vurderingen av om konsesjon er nødvendig, skal Datatilsynet
bl.a. ta hensyn til personopplysningenes art, mengde og formålet
med behandlingen.
Den behandlingsansvarlige kan kreve at Datatilsynet avgjør
om en behandling vil kreve konsesjon.
Konsesjonsplikt etter første og annet ledd gjelder ikke
for behandling av personopplysninger i organ for stat eller kommune
når behandlingen har hjemmel i egen lov.
Kongen kan gi forskrift om at visse behandlingsmåter
ikke trenger konsesjon etter første ledd. For behandlingsmåter
som unntas fra konsesjon kan det gis forskrift for å begrense
ulemper som behandlingen ellers kan medføre for den registrerte.
§ 34 Avgjørelsen
av om konsesjon skal gis
Ved avgjørelsen av om konsesjon skal gis, skal det
klarlegges om behandlingen av personopplysninger kan volde ulemper
for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene
II-V og vilkår etter § 35. I så fall
må det vurderes om ulempene blir oppveid av hensyn som
taler for behandlingen.
§ 35 Vilkår
i konsesjon
I konsesjonen skal det vurderes å sette vilkår
for behandlingen når slike vilkår er nødvendige
for å begrense ulempene behandlingen ellers ville medføre for
den registrerte.
§ 36 Definisjon
Med fjernsynsovervåking menes vedvarende eller regelmessig
gjentatt personovervåking ved hjelp av fjernbetjent eller
automatisk virkende fjernsynskamera fotografiapparat eller lignende
apparat.
§ 37 Virkeområde
Reglene i §§ 38 - 41 gjelder for all
fjernsynsovervåking. Det samme gjelder §§ 8,
9, 11, 31 og 32. Fjernsynsovervåking som har som formål å avdekke opplysninger
som nevnt i § 2 nr. 8 bokstav b, er likevel tillatt, selv
om vilkårene i § 9 første ledd ikke er
oppfylt.
Når billedopptak fra fjernsynsovervåking
lagres på en måte som gjør det mulig å finne
igjen opplysninger om en bestemt person, jf. § 3 første
ledd, gjelder også lovens øvrige bestemmelser.
Konsesjonsplikten etter § 33 gjelder likevel ikke
for slik fjernsynsovervåking som har som formål å avdekke
opplysninger som nevnt i § 2 nr. 8 bokstav b.
§ 38 Grunnkrav til
overvåking
Fjernsynsovervåking av sted hvor en begrenset krets
av personer ferdes jevnlig, er bare tillatt dersom det ut fra virksomheten
er et særskilt behov for overvåkingen.
§ 39 Utlevering av
billedopptak gjort ved fjernsynsovervåking
Personopplysninger som er innsamlet ved billedopptak gjort
ved fjernsynsovervåking, kan bare utleveres til andre enn
den behandlingsansvarlige dersom den som er avbildet samtykker eller
utleveringsadgangen følger av lov. Billedopptak kan likevel
utleveres til politiet ved etterforskning av straffbare handlinger eller
ulykker hvis ikke lovbestemt taushetsplikt er til hinder.
§ 40 Varsel om at overvåking
finner sted
Ved fjernsynsovervåking på offentlig
sted eller sted hvor en begrenset krets av personer ferdes jevnlig,
skal det ved skilting eller på annen måte gjøres
tydelig oppmerksom på at stedet blir overvåket
og hvem som er behandlingsansvarlig.
§ 41 Forskrifter
Kongen kan gi forskrifter med nærmere bestemmelser
om fjernsynsovervåking og billedopptak i forbindelse med
slik overvåking, herunder om sikring, bruk og sletting
av billedopptak gjort ved fjernsynsovervåking
og om innsynsrett for den som er overvåket i de deler av
billedopptakene hvor han eller hun er avbildet. Det kan også gis
forskrift om at billedopptak kan utleveres utover det som følger
av § 39.
§ 42 Datatilsynets
organisering og oppgaver
Datatilsynet er et uavhengig forvaltningsorgan administrativt
underordnet Kongen og departementet. Kongen og departementet kan
ikke gi instruks om eller omgjøre Datatilsynets utøving
av myndighet i enkelttilfeller etter loven.
Datatilsynet ledes av en direktør som utnevnes
av Kongen. Kongen kan bestemme at direktøren ansettes på åremål.
Datatilsynet skal
1) føre en systematisk og offentlig fortegnelse
over alle behandlinger som er innmeldt etter § 31 eller gitt
konsesjon etter § 33, med opplysninger som nevnt i § 18
første ledd jf. § 23,
2) behandle søknader om konsesjoner, motta meldinger
og vurdere om det skal gis pålegg der loven gir hjemmel
for dette,
3) kontrollere at lover og forskrifter som gjelder for behandling
av personopplysninger blir fulgt, og at feil eller mangler blir
rettet,
4) holde seg orientert om og informere om den generelle
nasjonale og internasjonale utviklingen i behandlingen av personopplysninger
og om de problemer som knytter seg til slik behandling,
5) identifisere farer for personvernet, og gi råd
om hvordan de kan unngås eller begrenses,
6) gi råd og veiledning i spørsmål
om personvern og sikring av personopplysninger til dem som planlegger å behandle
personopplysninger eller utvikle systemer for slik behandling,
herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
7) etter henvendelse eller av eget tiltak gi uttalelse i spørsmål
om behandling av personopplysninger, og
8) gi Kongen årsmelding om sin virksomhet.
Avgjørelser som Datatilsynet fatter i medhold
av §§ 9, 12, 27, 28, 30, 33, 34, 35, 44, 46 og
47 kan påklages til Personvernnemnda. Avgjørelser
som fattes i medhold av §§ 27 eller 28 kan påklages
videre til Kongen dersom avgjørelsen gjelder personopplysninger
som behandles for historiske formål.
§ 43 Personvernnemndas
organisering og oppgaver
Personvernnemnda avgjør klager over Datatilsynets
avgjørelser, jf. § 42 fjerde ledd. Nemnda er et
uavhengig forvaltningsorgan administrativt underordnet Kongen og
departementet. § 42 første ledd annet punktum
gjelder tilsvarende.
Personvernnemnda har syv medlemmer som oppnevnes for fire år
med adgang til gjenoppnevning for ytterligere fire år.
Lederen og nestlederen oppnevnes av Stortinget. De øvrige
fem medlemmene oppnevnes av Kongen.
Personvernnemnda kan bestemme at lederen eller nestlederen
sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser
som må avgjøres uten opphold.
Personvernnemnda orienterer årlig Kongen om behandling
av klagesakene.
Søksmål om gyldigheten av Personvernnemndas avgjørelser
rettes mot staten ved Personvernnemnda.
Kongen kan gi nærmere regler om Personvernnemndas
organisering og saksbehandling.
§ 44 Tilsynsmyndighetens
tilgang til opplysninger
Datatilsynet og Personvernnemnda kan kreve de opplysningene
som trengs for at de kan gjennomføre sine oppgaver.
Datatilsynet kan som ledd i sin kontroll med at lovens
regler etterleves, kreve adgang til steder hvor det finnes personregistre,
overvåkingsutstyr og billedopptak som nevnt i § 37,
personopplysninger som behandles elektronisk og hjelpemidler for
slik behandling. Tilsynet kan gjennomføre de prøver
eller kontroller som det finner nødvendig og kreve bistand
fra personalet på stedet i den grad dette må til
for å få utført prøvene eller
kontrollene.
Retten til å kreve opplysninger eller tilgang
til lokaler og hjelpemidler i henhold til første og annet ledd
gjelder uten hinder av taushetsplikt.
Kongen kan gi forskrift om unntak fra første til tredje
ledd av hensyn til rikets sikkerhet. Kongen kan også gi
forskrift om dekning av utgiftene ved kontroll. Skyldige bidrag
til dekning av utgiftene er tvangsgrunnlag for utlegg.
§ 45 Taushetsplikt
for tilsynsmyndighetene
For ansatte i Datatilsynet, medlemmer av Personvernnemnda
og andre som utfører tjeneste for tilsynsmyndighetene gjelder
bestemmelsene om taushetsplikt i forvaltningsloven §§ 13
flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak,
jf § 13.
Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten
etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter
når det er nødvendig for å kunne treffe
vedtak som ledd i tilsynsvirksomheten.
§ 46 Pålegg
om endring eller opphør av ulovlige
behandlinger
Datatilsynet kan gi pålegg om at behandling av personopplysninger
i strid med bestemmelser i eller i medhold av denne loven skal opphøre
eller stille vilkår som må oppfylles for at behandlingen
skal være i samsvar med loven.
§ 47 Tvangsmulkt
Ved pålegg etter §§ 12, 27,
28 og 46 kan Datatilsynet fastsette en tvangsmulkt som løper
for hver dag som går etter utløpet av den fristen
som er satt for oppfylling av pålegget, inntil pålegget
er oppfylt.
Tvangsmulkten løper ikke før klagefristen
er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt
før Personvernnemnda har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
§ 48 Straff
Med bøter eller fengsel inntil ett år
eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) unnlater å sende melding etter § 31,
b) behandler personopplysninger uten nødvendig konsesjon
etter § 33,
c) overtrer vilkår fastsatt etter §§ 35
eller 46,
d) unnlater å etterkomme pålegg fra Datatilsynet
etter §§ 12, 27, 28 eller 46,
e) behandler personopplysninger i strid med §§ 13, 15,
26 eller § 39, eller
f) unnlater å gi opplysninger etter §§ 19,
20, 21, 40 eller 44.
Ved særdeles skjerpende omstendigheter kan fengsel
inntil tre år idømmes. Ved avgjørelsen
av om det foreligger særdeles skjerpende omstendigheter skal
det blant annet legges vekt på faren for stor skade eller
ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen,
overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere
er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes
at den som forsettlig eller grovt uaktsomt overtrer forskriften
skal straffes med bøter eller fengsel inntil ett år
eller begge deler.
§ 49 Erstatning
Den behandlingsansvarlige skal erstatte skade som er oppstått
som følge av at personopplysninger er behandlet i strid
med bestemmelser i eller i medhold av loven, med mindre det godtgjøres
at skaden ikke skyldes feil eller forsømmelse på den
behandlingsansvarliges side.
Behandlingsansvarlige som formidler kredittopplysninger
og som har meddelt opplysninger som viser seg uriktige eller åpenbart
misvisende, skal erstatte skade som er oppstått som følge
av den feilaktige meddelelsen, uten hensyn til om skaden skyldes
feil eller forsømmelse på den behandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som
den skadelidte er påført som følge av
den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale
slik erstatning for skade av ikke-økonomisk art (oppreisning)
som synes rimelig.
§ 50 Ikraftsetting
Loven trer i kraft fra den tid Kongen bestemmer. Kongen
kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft
til forskjellig tid.
§ 51 Overgangsregler
1. For behandling av personopplysninger som er påbegynt
før loven trer i kraft og som er melde- eller konsesjonspliktig
etter bestemmelsene i kapittel VI, skal det sendes melding i henhold
til § 31 eller søkes om konsesjon fra Datatilsynet
i henhold til § 33 innen ett år fra ikrafttredelsen.
Dersom behandlingen foretas i henhold til konsesjon i medhold av
personregisterloven § 9, er fristen for å sende
melding eller søke om konsesjon to år fra ikrafttredelsen.
Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan
personopplysningene behandles i henhold til reglene i personregisterloven.
2. Et samtykke som en registrert har gitt før loven trer
i kraft skal fremdeles gjelde, hvis det tilfredsstiller vilkårene
i § 2 nr. 7.
3. Klager som Datatilsynet mottar etter at loven trer i
kraft, behandles av Personvernnemnda.
4. Kongen kan ved forskrift gi nærmere overgangsregler.
§ 52 Endringer i andre
lover
I andre lover gjøres følgende endringer:
1. Lov 22. mai 1902 nr. 10 Almindelig borgerlig Straffelov
endres slik:
§ 390 b oppheves.
2. Lov 9. juni 1978 nr. 48 om personregistre m.m.
oppheves.
3. I lov 22. mai 1981 nr. 25 om rettergangsmåten
i straffesaker skal § 202 a første ledd lyde:
Når det foreligger skjellig grunn til mistanke
om en eller flere straffbare handlinger som etter loven kan medføre
høyere straff enn fengsel i 6 måneder, kan politiet
iverksette skjult fjernsynsovervåking på offentlig
sted som nevnt i personopplysningsloven § 40 når
slik overvåking vil være av vesentlig betydning for
etterforskningen. § 196 gjelder tilsvarende.
4. I lov 13. mai 1988 nr. 26 om inkassovirksomhet skal § 22
annet ledd lyde:
Første ledd hindrer ikke at opplysninger overlates til
eller lovlig brukes i kredittopplysningsvirksomhet som drives i
samsvar med personopplysningsloven.
5. Lov 4. desember 1992 nr. 126 om arkiv endres slik:
§ 9 bokstav c tredje punktum skal lyde:
Personregister eller delar av personregister kan likevel
slettast etter føresegnene i personopplysningslova.
§ 9 bokstav d annet punktum skal lyde:
Føresegner om sletting gjevne i medhald av § 27 tredje
og femte leden og § 28 fjerde leden i personopplysningslova gjeld
likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i personopplysningslova om retting
og sletting av opplysningar vil likevel gjelda fullt ut.
6. I lov 19. juni 1997 nr. 62 om familievernkontorer skal § 11
tredje ledd lyde:
Behandling av klientjournal er ikke
konsesjonspliktig etter personopplysningsloven § 33.
7. Lov 26. juni 1998 nr. 47 om fritids- og småbåter endres
slik:
§ 13 annet punktum skal lyde:
Sammenstilling kan ellers bare skje
når dette følger av annen lov eller av vedtak
etter personopplysningsloven.
§ 14 skal lyde:
§ 14 Innsynsrett
Innsynsrett etter personopplysningsloven § 18
jf. § 23 gjelder for småbåtregisteret.
§ 16 skal lyde:
§ 16 Registreringsmyndighetens ansvar
Registreringsmyndigheten nevnt i § 3 skal sørge for
at bestemmelser gitt i eller i medhold av §§ 10
til 15 i loven her og personopplysningsloven blir
fulgt.
8. Lov om Schengen informasjonssystem (SIS)
endres slik:
§ 3 annet ledd tredje og fjerde punktum
skal lyde:
Dokumentasjonen skal også være tilgjengelig
for Datatilsynet og Personvernnemnda. De ansatte
i Datatilsynet, medlemmer av Personvernnemnda eller andre
som utfører tjeneste for tilsynsmyndigheten, skal hindre
at uvedkommende får tilgang til opplysninger om sikkerhetstiltakene.
§ 4 annet ledd skal lyde:
Den registeransvarlige skal dokumentere tiltakene. Dokumentasjonen skal
gjøres tilgjengelig for medarbeiderne hos den
registeransvarlige og dennes databehandler. Dokumentasjonen
skal også være tilgjengelig for Datatilsynet og
Personvernnemnda.
§ 22 første ledd første
punktum skal lyde:
Datatilsynet og Personvernnemnda kan
kreve de opplysningene som trengs for å gjennomføre
sine oppgaver.
§ 23 annet skal lyde:
Datatilsynets vedtak etter første ledd kan påklages til
Personvernnemnda.
Jorunn Ringstad |
Olav Gunnar Ballo |
president |
sekretær |