Innstilling fra justiskomiteen om Lov om behandling av personopplysninger (personopplysningsloven)

Søk
Til Stortinget

Sammendrag

Proposisjonens hovedinnhold

Justis- og beredskapsdepartementet foreslår i proposisjonen en ny personopplysningslov som avløser gjeldende personopplysningslov. Forslaget til ny personopplysningslov består av to hovedelementer. For det første gjøres EUs personvernforordning til norsk lov gjennom en inkorporasjonsbestemmelse. For det andre foreslår departementet en rekke bestemmelser som supplerer reglene i forordningen. Departementet foreslår at loven skal gjelde fra den tid Kongen bestemmer.

Proposisjonen inneholder også forslag til en rekke endringer i særlovgivningen som følge av forslaget til ny personopplysningslov. Dette dreier seg dels om lovtekniske endringer, hovedsakelig endringer av henvisninger til gjeldende personopplysningslov, som foreslås erstattet med henvisninger til ny personopplysningslov, og dels om endringer av innholdsmessig art.

Loven kan ikke tre i kraft før forordningen er innlemmet i EØS-avtalen gjennom en beslutning i EØS-komiteen. Slik beslutning er ennå ikke truffet. EØS/EFTA-statenes utkast til EØS-komiteens beslutning ligger til behandling i EUs organer. For å sikre rettsenhet i hele EØS er det viktig at beslutningen kan tre i kraft for EØS/EFTA-statene samtidig som eller så snart som mulig etter at forordningen får anvendelse i EU-statene 25. mai 2018. For å unngå at Norge må ta konstitusjonelt forbehold når beslutningen fattes i EØS-komiteen, bes det derfor om Stortingets forhåndssamtykke til innlemmelse av forordningen i EØS-avtalen. Det er ikke forventet vesentlige endringer i den endelige beslutningen i EØS-komiteen. Dersom den endelige beslutningen likevel skulle avvike vesentlig fra utkastet som er vedlagt proposisjonen, vil saken bli forelagt Stortinget på nytt.

Det vises til egen innstilling om samtykkesaken.

Bakgrunnen for lovforslaget

I kapittel 2 redegjøres det for EUs personvernforordning som ble vedtatt i april 2016 og erstatter EUs personverndirektiv fra 1995, som er gjennomført i den gjeldende personopplysningsloven. Forordningens overordnede formål er å sikre vern av personopplysninger, ensartede regler i EU/EØS og fri utveksling av personopplysninger mellom EU/EØS-landene. Forordningen oppstiller et omfattende regelverk, blant annet om de grunnleggende prinsippene og vilkårene for å behandle personopplysninger, rettigheter for enkeltpersoner, overføring av personopplysninger over landegrensene og om tilsyn og sanksjoner. Reglene gjelder for både private og offentlige aktører.

Forordningens formål, systematikk, terminologi og grunnprinsipper er i betydelig grad en videreføring av 95-direktivet og personopplysningsloven av 2000. De materielle reglene i forordningen er i stor grad en videreføring og videreutvikling av gjeldende rett. Samtidig innebærer reglene en rekke endringer, både på detaljnivå og av mer grunnleggende karakter. De registrertes rettigheter er på flere punkter styrket. Videre gir forordningen enkelte nye rettigheter, blant annet en rett til å overføre personopplysninger fra én tjenestetilbyder til en annen, såkalt dataportabilitet. For behandlingsansvarlige bortfaller melde- og konsesjonsplikten og erstattes med nye plikter til dokumentasjon og konsekvensvurderinger samt forhåndsdrøftinger med tilsynsmyndigheten. Det innføres videre en plikt til å ha personvernombud for offentlige myndigheter og for visse private behandlingsansvarlige. Videre kan Datatilsynet ilegge vesentlig høyere overtredelsesgebyrer. Det innføres også en mer effektiv tilsynsordning på europeisk nivå, ved at behandlingsansvarlige i utgangspunktet kun skal behøve å forholde seg til én tilsynsmyndighet i EU/EØS, den såkalte ettstedsmekanismen.

Ny personopplysningslov

I kapittel 3 gis en oversikt over proposisjonen.

Lovens saklige virkeområde

I kapittel 4 behandles lovens og forordningens saklige virkeområde. Det foreslås at forordningens bestemmelser gis generell anvendelse, slik at den får anvendelse også utenfor EØS-avtalens saklige virkeområde. Dette er en videreføring av gjeldende rett. Det foreslås at forordningen gjelder med mindre annet er fastsatt i eller i medhold av lov, slik at unntakene fra forordningens virkeområde i forordningen artikkel 2 nr. 2 bare vil gjelde i den utstrekning dette er fastsatt i lov eller forskrift. Det foreslås unntaksregler for behandling for private formål. Dette er videreføringer av gjeldende rett.

Departementet har lagt vekt på at det fremdeles, slik som etter gjeldende rett, bør være én personopplysningslov i norsk rett med generell anvendelse. Departementet foreslår at personopplysningsloven og forordningen skal gjelde for all helt eller delvis automatisert behandling av personopplysninger og for ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, med mindre annet er bestemt i eller i medhold av lov, se lovforslaget § 2 første ledd.

Departementet foreslår at loven ikke skal gjelde for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.)

Lovens geografiske virkeområde

Kapittel 5 omhandler lovens og forordningens geografiske virkeområde. Det foreslås at forordningens bestemmelser om geografisk virkeområde inntas i loven.

I departementets forslag er hovedregelen at loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke. Departementet foreslår at loven og personvernforordningen også skal gjelde når behandlingen utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS i tilfeller hvor behandlingen gjelder registrerte som befinner seg i Norge, og behandlingen er knyttet til enten tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller dersom behandlingen er knyttet til monitorering av deres atferd, i den grad deres atferd finner sted i Norge. Loven og personvernforordningen skal også gjelde for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Behandlingsgrunnlag

I kapittel 6 behandles forordningens krav om rettsgrunnlag for behandling av personopplysninger, herunder om behovet for nasjonale lovbestemmelser om dette. Videre redegjøres det for kravene til rettsgrunnlag etter EMK artikkel 8 og Grunnloven § 102. Det redegjøres også for adgangen til å fastsette spesifiserende regler om behandlingen av personopplysninger i nasjonal rett.

Reglene om behandlingsgrunnlag angir de grunnleggende vilkårene for når behandling av personopplysninger kan finne sted, med andre ord kravene til rettslig grunnlag for behandling av personopplysninger.

Det er ikke bare forordningen som stiller krav om rettsgrunnlag for behandling av personopplysninger. Når behandlingen er et inngrep i retten til privatliv, stiller også Grunnloven § 102 og EMK artikkel 8 krav til rettsgrunnlaget. Forordningens regler om behandlingsgrunnlag må tolkes og anvendes i lys av disse kravene.

I kapittelet gås det også nærmere inn på adgangen til å gi utfyllende regler om behandlingen i tilknytning til behandlingsgrunnlagene som krever supplerende rettsgrunnlag, jf. artikkel 6 nr. 1 bokstav c og e. Det gis en oversikt over forordningens krav om rettsgrunnlag ved viderebehandling av personopplysninger.

Forordningen oppstiller tilleggskrav for behandling av visse typer personopplysninger, jf. artikkel 9 (særlige kategorier av personopplysninger, som i gjeldende lov er kalt «sensitive personopplysninger») og artikkel 10 (opplysninger om straffbare forhold mv.).

Særlige kategorier av personopplysninger

I kapittel 7 behandles forordningens regler om særlige kategorier av personopplysninger, som er en videreføring og videreutvikling av reglene om sensitive personopplysninger i den någjeldende personopplysningsloven. Det foreslås en bestemmelse som åpner for behandling av særlige kategorier av personopplysninger i arbeidsforhold, som viderefører gjeldende rett. Videre foreslås det en snever adgang for Datatilsynet til å tillate behandling av særlige kategorier av personopplysninger i enkelttilfeller dersom det er nødvendig av hensyn til viktige allmenne interesser, og en hjemmel for å fastsette forskrifter som åpner for behandling. Det foreslås ikke å innta generelle bestemmelser om behandling i forbindelse med helsetjenester eller for folkehelseformål.

Personopplysninger om straffbare forhold mv.

I kapittel 8 behandles reglene om personopplysninger om straffbare forhold mv. Slike opplysninger kan etter forordningen artikkel 10 som utgangspunkt bare behandles under en offentlig myndighets kontroll. Det foreslås en bestemmelse som åpner for at behandling av slike opplysninger utenfor en offentlig myndighets kontroll på samme vilkår som behandling av særlige kategorier av personopplysninger. Bestemmelsen innebærer at de generelle reglene som tillater behandling av særlige kategorier av personopplysninger, som utgangspunkt gis tilsvarende anvendelse i disse tilfellene.

Fødselsnummer og andre entydige identifikasjonsmidler

Kapittel 9 omhandler behandling av fødselsnummer og andre entydige identifikasjonsmidler, herunder biometriske opplysninger. Fødselsnummer, andre identifikasjonsnumre og biometriske identifikasjonsmidler regnes ikke som sensitive personopplysninger etter dagens lov.

Departementet foreslår å videreføre de gjeldende tilleggsvilkårene for behandling av fødselsnummer og andre entydige identifikasjonsmidler, som innebærer at det må foreligge en saklig grunn for sikker identifisering, og at bruken må være nødvendig for å oppnå sikker identifisering. Det foreslås ikke å videreføre noen særbestemmelse om Datatilsynets adgang til å påby bruk av entydige identifikasjonsmidler. Heller ikke særreglene om forsendelser som inneholder fødselsnummer, foreslås videreført, fordi disse etter departementets oppfatning er overflødige ved siden av forordningens regler.

Den registrertes rettigheter

Kapittel 10 omhandler den registrertes rettigheter.

Den registrertes rettigheter følger av forordningen kapittel III. Bestemmelsene innebærer i stor grad en videreføring av dagens rettstilstand. Etter departementets syn vil rettighetene sikre den registrerte et like godt vern som etter gjeldende personopplysningslov. Samtidig medfører forordningen en presisering og utdyping av flere av rettighetene, og noen nye rettigheter er kommet til. Endelig er det noen av rettighetene i personopplysningsloven som mangler en klar parallell i forordningen. På samme måte som etter gjeldende lov må rettighetene sees i sammenheng med de generelle prinsippene for databehandling. Rettighetene skal bidra til at prinsippene etterleves, for eksempel vil en rett til innsyn bidra til at behandlingen er åpen og tilgjengelig, og til at feilaktige opplysninger kan rettes.

Departementet foreslår å videreføre de gjeldende unntakene fra den registrertes informasjons- og innsynsrett, men med visse endringer. Unntaket for interne dokumenter foreslås videreført med et tilleggsvilkår om at unntak må være nødvendig for å sikre forsvarlige interne avgjørelsesprosesser. Det foreslås ingen generelle unntak fra de øvrige rettighetene.

Behandling av personopplysninger for arkiv-, forsknings- og statistikkformål

Kapittel 11 omhandler behandling av personopplysninger for arkiv-, forsknings- og statistikkformål. Det foreslås en bestemmelse som gir supplerende rettsgrunnlag for behandling av alminnelige opplysninger for disse formålene uten samtykke. Videre foreslås det en bestemmelse som åpner for behandling av særlige kategorier av personopplysninger uten samtykke, med et vilkår om at den behandlingsansvarlige før behandlingen må rådføre seg med et personvernombud eller en annen rådgiver med tilsvarende kvalifikasjoner og uavhengighet. Det foreslås at plikten til slik rådføring også skal gjelde for samtykkebasert behandling for forskningsformål. Endelig foreslås det visse særlige unntak fra innsyns- og informasjonsretten samt retten til retting og begrensning av behandlingen ved behandling for arkiv-, forsknings- og statistikkformål.

Melde- og konsesjonsplikt

I kapittel 12 behandles melde- og konsesjonsplikten.

Forordningen avskaffer ordningen med meldeplikt som følger av 95-direktivet artikkel 18, og som er gjennomført i norsk rett i personopplysningsloven §§ 31 og 32. Forordningen legger heller ikke opp til at behandlinger skal forhåndsgodkjennes av tilsynsmyndighetene. Tilsynsmyndighetenes kontroll skal som hovedregel foregå som etterkontroll. Tilsynsmyndighetene gis også en sterkere veiledningsrolle, blant annet gjennom plikten til å foreta forhåndsdrøftinger. Videre skal tilsynsmyndighetene godkjenne atferdsnormer. Samtidig skjerpes pliktene for den behandlingsansvarlige og databehandler til å sikre at behandlingen er i samsvar med forordningen. Eksempler på dette er skjerpet plikt til internkontroll, risikovurderinger og utredning av personvernkonsekvenser og plikt for visse virksomheter til å ha personvernombud.

Departementet foreslår at den generelle konsesjonsplikten ikke videreføres. Det foreslås samtidig en forskriftshjemmel som kan benyttes til å gjeninnføre konsesjonsplikt på nærmere bestemte områder dersom det viser seg å bli nødvendig. Departementet foreslår videre at gjeldende konsesjoner som utgangspunkt ikke videreføres ved ikrafttredelse av ny personopplysningslov. Det åpnes likevel for at det kan bli behov for å gi overgangsregler om å videreføre konsesjonene på noen nærmere bestemte livsområder der det er et særskilt behov for dette.

Behandling av personopplysninger om barn

Kapittel 13 omhandler personopplysninger om barn. Som etter gjeldende rett er utgangspunktet etter forordningen at barn og voksne har samme rettigheter i forbindelse med behandling av personopplysninger. Forordningen inneholder enkelte spredte artikler og fortalepunkter om behandling av barns personopplysninger, men gir ingen samlet enhetlig regulering av temaet.

Fordi forordningen etter departementets vurdering ikke åpner for ytterligere generelle regler om barns personopplysninger, foreslås det ingen slike regler. Det foreslås at aldersgrensen for barns samtykke til informasjonssamfunnstjenester, jf. forordningen artikkel 8, skal være 13 år.

Ytrings- og informasjonsfrihet

Kapittel 14 omhandler forholdet mellom forordningens regler og ytrings- og informasjonsfriheten. Departementet foreslår at den gjeldende bestemmelsen om dette videreføres inntil videre, slik at det gjøres unntak for størsteparten av forordningens regler ved behandling utelukkende for journalistiske, kunstneriske og litterære formål. I tråd med forordningen artikkel 85 foreslår departementet at det gjøres tilsvarende unntak for akademiske ytringer.

Retten til ytrings- og informasjonsfrihet og retten til personvern er begge grunnleggende rettigheter, og rettighetene må balanseres mot hverandre. Fastsetting av regler om forholdet mellom ytrings- og informasjonsfriheten og retten til personvern reiser en rekke kompliserte spørsmål. Høringen har også vist at det er delte meninger om hvordan ytrings- og informasjonsfriheten bør være regulert i personopplysningsloven. Etter departementets syn bør det på dette punktet ikke foretas vesentlige endringer i gjeldende rett uten en nærmere utredning av de spørsmålene som oppstår.

Departementet foreslår derfor at gjeldende rett videreføres inntil videre, slik at det gjøres unntak for størsteparten av forordningens regler ved behandling utelukkende for journalistiske, kunstneriske og litterære formål, se forslaget § 3. Dette innebærer at det på samme måte som etter gjeldende rett angis i lovteksten hvilke bestemmelser som gjelder, og at dette ikke beror på en nødvendighets- eller proporsjonalitetsvurdering i det enkelte tilfelle.

Offentlighet og innsyn

I kapittel 15 behandles forholdet mellom forordningen og reglene om offentlighet og innsyn.

Både retten til innsyn i offentlige dokumenter og retten til privatliv har etter norsk rett et særskilt vern som menneskerettigheter beskyttet av Grunnloven. Det å finne en passende balanse mellom disse to rettighetene er derfor etter departementets syn svært viktig. Departementet viser til at det følger av forordningen artikkel 86 at personopplysninger i offentlige dokumenter som en offentlig myndighet er i besittelse av for å utføre en oppgave i allmennhetens interesse, kan utleveres av myndigheten eller organet i samsvar med medlemsstatenes nasjonale rett som den offentlige myndigheten er underlagt, for å bringe allmennhetens rett til innsyn i offentlige dokumenter i samsvar med retten til vern av personopplysninger i henhold til forordningen.

Fordi forordningen artikkel 86 åpner for å gi innsyn etter blant annet offentleglova, foreslås det ingen særlige bestemmelser om dette. Det foreslås heller ingen bestemmelser om annen lovfestet innsynsrett, fordi forordningen etter departementets vurdering ikke er til hinder for slikt innsyn.

Behandlingsansvarlig og databehandler

I kapittel 16 behandles reglene om behandlingsansvarlig og databehandler. Departementet foreslår en hjemmel for å gi forskrifter om plikten til forhåndsdrøftinger med tilsynsmyndigheten.

Etter gjeldende personopplysningslov er behandlingsansvarlig den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Den behandlingsansvarlige har ansvaret for at personopplysninger behandles i samsvar med personopplysningsloven og personopplysningsforskriften. Databehandler er den som behandler opplysninger på vegne av den behandlingsansvarlige. Definisjonene av behandlingsansvarlig og databehandler videreføres i forordningen.

Departementet foreslår ingen nasjonal særregulering av databehandlere og databehandleravtaler. Forordningen åpner heller ikke for å fastsette generelle nasjonale bestemmelser.

Personvernombud

I kapittel 17 behandles reglene om personvernombud. Det foreslås ingen utvidelse av plikten til å utpeke personvernombud ut over det som allerede følger av forordningen, men departementet foreslår en hjemmel for å fastsette forskrifter med nærmere bestemmelser om plikt til å utpeke personvernombud. Videre foreslås det en bestemmelse om taushetsplikt for personvernombud.

Forordningens regler om personvernombud innebærer en betydelig utvidelse av ordningen sammenlignet med gjeldende norsk rett. Behandlingsansvarlige og databehandlere får på nærmere vilkår en plikt til å utpeke personvernombud. Videre oppstiller forordningen detaljerte regler om personvernombudets oppgaver og uavhengige posisjon.

Generelle regler om kameraovervåking

Kapittel 18 omhandler kameraovervåking. Forordningen åpner etter departementets syn ikke for generelle nasjonale særreguleringer av behandling av personopplysninger ved kameraovervåking, og det foreslås derfor ikke slike bestemmelser. Departementet drøfter videre om det er behov for regler som åpner for behandling av særlige kategorier av personopplysninger ved kameraovervåking. Det er etter departementets vurdering ikke nødvendig med slike regler, fordi kameraovervåking bare kan regnes som behandling av særlige kategorier av personopplysninger når formålet med kameraovervåkingen vil være å fange opp slike opplysninger. Etter departementets syn er det heller ikke behov for regler om behandling av personopplysninger om straffbare forhold mv. ved kameraovervåking. Det foreslås at bruk av uekte kameraovervåkingsutstyr bør være underlagt tilsvarende begrensninger som ekte kameraovervåkingsutstyr, på samme måte som etter gjeldende rett, og at dette også skal gjelde skilting, oppslag og lignende som gir inntrykk av at kameraovervåking finner sted.

Overføring av personopplysninger til tredjestater og internasjonale organisasjoner

Kapittel 19 omhandler overføring av personopplysninger til tredjestater og internasjonale organisasjoner. Det foreslås en hjemmel for å fastsette forskrift om anvendelsen av Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå og standard personvernbestemmelser, samt bestemmelser om forbud mot overføring av spesifikke typer opplysninger til stater eller internasjonale organisasjoner når det ikke foreligger beslutning om tilstrekkelig beskyttelsesnivå.

Forordningens regler om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner åpner i liten grad for nasjonale tilpasninger.

Etter departementets syn bør det på nåværende tidspunkt ikke gis nærmere nasjonale regler om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner på grunnlag av forordningen artikkel 49 nr. 5. Departementet mener samtidig at det bør gis en hjemmel for å fastsette slike bestemmelser i forskrift, med henblikk på at det i fremtiden kan vise seg å bli nødvendig med nasjonale bestemmelser. Hensynet til harmonisering av regelverket, som er blitt trukket frem i høringen, må vektlegges i en vurdering av om slike bestemmelser bør gis.

Overtredelsesgebyr

I kapittel 20 behandles overtredelsesgebyr. Departementet foreslår at offentlige myndigheter skal kunne ilegges overtredelsesgebyr. Det foreslås også at Datatilsynet skal kunne ilegge overtredelsesgebyr for brudd på forordningen artikkel 10 og 24. Videre foreslås det visse regler om oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr, og en regel om at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelser er opphørt.

Departementet foreslår at det gis en bestemmelse om foreldelse av adgangen til å ilegge overtredelsesgebyr, se lovforslaget § 28. Departementet foreslår at adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

Administrativ inndragning

Kapittel 21 omhandler spørsmålet om hvorvidt Datatilsynet bør ha adgang til å beslutte administrativ inndragning. Departementet foreslår ikke at Datatilsynet skal gis slik adgang.

Erstatning (oppreisning)

Kapittel 22 omhandler erstatning. Det foreslås at det inntas en bestemmelse i personopplysningsloven som gjør det klart at den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, også kan pålegges å betale oppreisning. Bestemmelsen viderefører gjeldende rett.

Straff

I kapittel 23 behandles spørsmålet om hvorvidt overtredelser av forordningen skal kunne medføre straff. Departementet foreslår at overtredelser av den nye personopplysningsloven ikke skal være straffesanksjonert, blant annet som følge av at forordningen åpner for vesentlig høyere overtredelsesgebyrer, og at dette vil ha den nødvendige preventive effekt.

Tvangsmulkt

I kapittel 24 behandles reglene om tvangsmulkt. Departementet foreslår å videreføre Datatilsynets adgang til å ilegge tvangsmulkt.

Forordningen har ingen bestemmelser om tvangsmulkt.

Tilsynsmyndighetens organisering

Kapittel 25 omhandler tilsynsmyndighetens organisering. Departementet foreslår å videreføre de gjeldende reglene om Datatilsynets organisering og reglene om utnevnelse av Datatilsynets direktør.

Det følger av forordningen artikkel 51 at hver stat skal opprette en uavhengig tilsynsmyndighet som skal ha ansvar for å overvåke anvendelsen av forordningen i sitt hjemland samt bidra til enhetlig anvendelse av forordningen. En stat kan ha mer enn én tilsynsmyndighet. Etter artikkel 52 skal tilsynsmyndigheten opptre fullstendig uavhengig når den utfører sine oppgaver etter forordningen.

En uavhengig myndighet som fører tilsyn med behandling av personopplysninger, er etter departementets syn en svært viktig institusjon i dagens informasjonssamfunn. Det er av avgjørende betydning for den enkelte, og for samfunnet som helhet, at borgerne har en lett tilgjengelig klageordning dersom de opplever misbruk av egne personopplysninger, samt tilgang på god informasjon og veiledning om hvilke regler som gjelder ved behandling av personopplysninger. Departementet ser svært positivt på det at forordningen viderefører og understreker reglene om tilsynsmyndighetens uavhengighet, da uavhengighet er helt sentralt for å sikre tilliten til institusjonen.

Tilsynsmyndighetens oppgaver

I kapittel 26 behandles tilsynsmyndighetens oppgaver. Fordi forordningen gir en detaljert angivelse av tilsynsmyndighetens oppgaver, foreslås det ingen bestemmelser om dette. Datatilsynet vil ha tilsynskompetanse i tråd med forordningens utvidede virkeområde. Departementet foreslår en videreføring av gjeldende ordning, som går ut på at Datatilsynet leverer årsrapport til Kongen, og at Kongen hvert år legger rapporten frem for Stortinget i en stortingsmelding.

Klage over Datatilsynets vedtak

Kapittel 27 omhandler klage over Datatilsynets vedtak. Departementet foreslår å videreføre ordningen med Personvernnemnda som et uavhengig administrativt klageorgan for Datatilsynets avgjørelser. Det foreslås ikke endringer i Personvernnemndas organisering, og det foreslås at nemnda fortsatt skal ha syv medlemmer. For å sikre en helhetlig vurdering av nemndas sammensetning foreslår departementet at alle Personvernnemndas medlemmer med vararepresentanter, inkludert leder og nestleder, utnevnes av Kongen. Dette er en endring av den gjeldende ordningen, der leder og nestleder utnevnes av Stortinget.

Datatilsynets og Personvernnemndas taushetsplikt og tilgang til opplysninger

I kapittel 28 behandles Datatilsynets og Personvernnemndas taushetsplikt og tilgang til opplysninger. Det foreslås regler om taushetsplikt for ansatte i Datatilsynet og medlemmer av Personvernnemnda og om tilgang til opplysninger uten hinder av taushetsplikt.

Domstolsprøving

I kapittel 29 behandles domstolsprøving av Datatilsynets og Personvernnemndas vedtak. Det foreslås en bestemmelse om at Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten. Videre foreslås det å videreføre gjeldende rett om at søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Et nytt europeisk tilsynssystem – samarbeids- og konsistensmekanismen

I kapittel 30 gis det en beskrivelse av forordningens regler om det nye europeiske tilsynssystemet – samarbeids- og konsistensmekanismen. Det redegjøres for Personvernrådets kompetanse, herunder kompetansen til å treffe vedtak som er bindende for de nasjonale tilsynsmyndighetene. For å sikre at Datatilsynet kan samarbeide med andre staters tilsynsmyndigheter, foreslås det å videreføre bestemmelsen i någjeldende personopplysningslov om at Datatilsynet og Personvernnemnda kan gi opplysninger til utenlandske tilsynsmyndigheter uten hinder av taushetsplikten når dette er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten. Derimot foreslås det ikke å benytte adgangen etter forordningen artikkel 62 nr. 3 til å gi nasjonale regler om andre staters tilsynsmyndigheters rett til å utøve myndighet på norsk territorium.

Forordningen legger opp til et utvidet samarbeid mellom tilsynsmyndighetene i EU og fastsetter til dels detaljerte regler for hvordan dette samarbeidet skal foregå. Det opprettes et europeisk personvernråd, hvor alle nasjonale tilsynsmyndigheter skal være representert ved lederen i tilsynsorganet, og det legges opp til mekanismer som skal benyttes for at de nasjonale tilsynsmyndighetene skal komme frem til en ensartet tolkning og anvendelse av forordningen når en behandling av personopplysninger har virkninger i flere EU-stater.

Kameraovervåking i arbeidsforhold og innsyn i ansattes e-postkasse mv.

Kapittel 31 omhandler kameraovervåking i arbeidsforhold og arbeidsgivers innsyn i ansattes e-postkasse mv. Det foreslås endringer i arbeidsmiljøloven for å gi hjemmel for forskrifter om kameraovervåking i arbeidsforhold og arbeidsgivers innsyn i ansattes e-postkasse mv.

Helselovene

I kapittel 32 behandles nødvendige tilpasninger i helselovgivningen. Det foreslås at den gjeldende lovgivningen videreføres så langt det er adgang til dette etter forordningen. Dette innebærer at gjeldende rett videreføres i stor grad. Samtidig foreslås det en rekke tekniske tilpasninger som en følge av forordningens regler og systemet i ny personopplysningslov.

I helsesektoren behandles helseopplysninger i forbindelse med helsehjelp, kvalitetsforbedring, forskning, statistikk, helseanalyser mv. Vi har flere lover og en rekke forskrifter som gir særregler om behandling av helseopplysninger. Disse reglene utfyller og til dels skjerper de generelle kravene etter personopplysningsloven. Det er satt strenge vilkår for å kunne samle inn, lagre og behandle helseopplysninger, og strenge krav til konfidensialitet, informasjonssikkerhet, innsyn osv. Departementet legger til grunn at slike nasjonale særregler, som setter vilkår for eller begrenser behandlingen av helseopplysninger, kan videreføres.

Endringer i veglova

I kapittel 33 foreslås det nye bestemmelser i veglova om behandling av personopplysninger.

Endringer i politiloven – politiets bruk av kameraovervåking

I kapittel 34 foreslås det å innta en bestemmelse i politiloven som viderefører adgangen politiet har etter den någjeldende personopplysningsloven til å benytte kameraovervåking for kriminalitetsbekjempelse og til å opprettholde ro og orden mv.

Politiets behandling av opplysninger til politimessige formål reguleres av politiregisterloven og politiregisterforskriften, og faller dermed utenfor personopplysningslovens virkeområde, jf. personopplysningsloven § 5. Verken politiregisterloven eller politiloven inneholder spesifikke regler om kameraovervåking. Det har i praksis fra Datatilsynet og Personvernnemnda vært lagt til grunn at politiets bruk av kameraovervåking reguleres av personopplysningsloven.

Overgangsregler

Kapittel 35 omhandler overgangsregler. Departementet legger til grunn at saker om ileggelse av overtredelsesgebyr for behandling av personopplysninger vurderes etter de materielle reglene som gjaldt på behandlingstidspunktet, for å hindre at de nye reglene gis tilbakevirkende kraft. Det foreslås samtidig et unntak for tilfeller der de nye reglene vil føre til et gunstigere resultat for den ansvarlige.

Utkast til EØS-komiteens beslutning med tilpasninger

I kapittel 36 redegjøres det nærmere for innlemmelsen av forordningen i EØS-avtalen. For å forhindre at Norge forsinker innlemmelsen, bes det om at Stortinget gir forhåndssamtykke til innlemmelse. Det gis en beskrivelse og vurdering av hovedpunktene i den foreslåtte tilpasningsteksten, herunder de særskilte reglene for anvendelse av Kommisjonens beslutninger knyttet til overføring av personopplysninger til tredjestater. Det foretas en vurdering av om forordningen med tilpasningstekst medfører overføring av myndighet. Det konkluderes med at overføringen av myndighet må anses som lite inngripende, slik at Stortinget kan samtykke til innlemmelse av forordningen i EØS-avtalen etter Grunnloven § 26 annet ledd.

Økonomiske og administrative konsekvenser

Kapittel 37 omhandler økonomiske og administrative konsekvenser av forslagene i proposisjonen, både for private aktører, offentlige aktører og tilsynsmyndigheten. Det er usikkert hvor store kostnadene for de ulike virksomhetene i offentlig sektor vil bli. Eventuelle implementeringskostnader vil dekkes innenfor berørte departementers gjeldende budsjettrammer.

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Jan Bøhler, lederen Lene Vågslid og Maria Aasen-Svensrud, fra Høyre, Peter Frølich, Guro Angell Gimse og Frida Melvær, fra Fremskrittspartiet, Himanshu Gulati og Solveig Horne, fra Senterpartiet, Jenny Klinge og Emilie Enger Mehl, og fra Sosialistisk Venstreparti, Petter Eide, viser til at Justis- og beredskapsdepartementet i proposisjon 56 LS (2017–2018) foreslår en ny personopplysningslov som avløser gjeldende personopplysningslov. Forslaget til ny personopplysningslov består av to hovedelementer. For det første gjøres EUs personvernforordning til norsk lov gjennom en inkorporasjonsbestemmelse. For det andre foreslår departementet en rekke bestemmelser som supplerer reglene i forordningen. Komiteen registrerer at det fra departementets side tas sikte på å sette loven i kraft samtidig som eller så snart som mulig etter at forordningen får anvendelse i EU-statene 25. mai 2018.

Komiteen viser til at proposisjonen også inneholder forslag til en rekke endringer i særlovgivningen som følge av forslaget til ny personopplysningslov. Dette dreier seg dels om lovtekniske endringer, hovedsakelig endringer av henvisninger til gjeldende personopplysningslov, som foreslås erstattet med henvisninger til ny personopplysningslov, og dels om endringer av innholdsmessig art.

Komiteen registrerer at loven ikke kan tre i kraft før forordningen er innlemmet i EØS-avtalen gjennom en beslutning i EØS-komiteen. Slik beslutning er ennå ikke truffet. EØS/EFTA-statenes utkast til EØS-komiteens beslutning ligger til behandling i EUs organer.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre og Fremskrittspartiet, registrerer at departementet understreker at det er viktig for å sikre rettsenhet i hele EØS at beslutningen kan tre i kraft for EØS/EFTA-statene samtidig som eller så snart som mulig etter at forordningen får anvendelse i EU-statene 25. mai 2018.

Flertallet registrerer at departementet ber om Stortingets forhåndssamtykke til innlemmelse av forordningen i EØS-avtalen for å unngå at Norge må ta konstitusjonelt forbehold når beslutningen fattes i EØS-komiteen. Flertallet registrerer at det ikke er forventet vesentlige endringer i den endelige beslutningen i EØS-komiteen. Flertallet registrerer at dersom den endelige beslutningen likevel skulle avvike vesentlig fra utkastet som er vedlagt proposisjonen, vil saken bli forelagt Stortinget på nytt.

Komiteen vil vise til at bakgrunnen for lovforslaget er EUs personvernforordning, som ble vedtatt i april 2016 og erstatter EUs personverndirektiv fra 1995, som er gjennomført i vår gjeldende personopplysningslov. Den nye forordningen ble foreslått blant annet på bakgrunn av at det europeiske personopplysningsregelverket trengte en oppdatering for å ivareta den enkeltes personvern i møte med den nye teknologiske virkeligheten. Forordningens formål er å sikre vern av personopplysninger, ensartede regler i EU/EØS og fri utveksling av personopplysninger mellom EU/EØS-landene. Forordningen har et omfattende regelverk som blant annet omhandler de grunnleggende prinsipper og vilkår for behandling av personopplysninger, rettigheter for enkeltpersoner, overføring av personopplysninger over landegrensene og regler om tilsyn og sanksjoner. Reglene gjelder både for offentlige og private aktører.

Komiteen vil vise til at forordningens formål, systematikk, terminologi og grunnprinsipper i betydelig grad er en videreføring av direktivet av 1995 og personopplysningsloven av 2000.

Komiteen registrerer at de materielle reglene i forordningen i stor grad er en videreføring og videreutvikling av gjeldende rett. Komiteen registrerer samtidig at forordningen fører med seg en rekke endringer både på detaljnivå og av mer grunnleggende karakter. Komiteen viser til at de registrertes rettigheter på flere områder er styrket, og det gis videre nye rettigheter, blant annet en rett til å overføre personopplysninger fra en tjenestetilbyder til en annen (såkalt dataportabilitet). Komiteen viser videre til at for behandlingsansvarlige bortfaller melde- og konsesjonsplikten og erstattes med nye plikter til dokumentasjon og konsekvensvurderinger samt forhåndsdrøftinger med tilsynsmyndigheten. Det innføres også en plikt til å ha personvernombud for offentlige myndigheter og for visse private behandlingsansvarlige. Datatilsynet får videre mulighet til å ilegge vesentlig høyere overtredelsesgebyr.

Videre registrerer komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre og Fremskrittspartiet, at det innføres en mer effektiv tilsynsordning på europeisk nivå, slik at behandlingsansvarlige bare skal behøve å forholde seg til én tilsynsmyndighet i EU/EØS jf. den såkalte ettstedsmekanismen.

Flertallet viser til at det også ligger økonomiske fordeler i et nytt og oppdatert personvernregelverk, ved at forbrukernes tillit og villighet til å kjøpe varer og tjenester over internett vil styrkes. Flertallet registrerer også at en ny forordning vil kunne avbøte de utfordringer som ligger i at det gjeldende personverndirektivet ikke er gjennomført på en harmonisert måte i EU. Flertallet viser videre til en ytterligere målsetting med personvernforordningen, som var å fjerne unødvendige administrative byrder for bedrifter som ligger i dagens regelverk, blant annet meldeplikten.

Flertallet ser svært positivt på at det nå legges frem et forslag til ny personopplysningslov. Flertallet viser til at det i denne prosessen legges opp til at EUs personvernforordning gjøres til norsk lov gjennom en inkorporasjonsbestemmelse og at det foreslås en rekke bestemmelser som supplerer reglene i forordningen.

Flertallet viser til at noen høringsinstanser har påpekt at inkorporasjonsmetoden fører til at den nye loven får en annen utforming og at dette byr på pedagogiske utfordringer. Flertallet er enige med departementet i at en slik lovteknisk utforming ikke er ukjent i norsk rett og at denne metoden i dette tilfellet er nødvendig for å kunne oppfylle Norges forpliktelser etter EØS-avtalen. Flertallet mener hensynet til likhet og effektivitet gjør seg gjeldende i denne saken. Inkorporasjon bidrar til et mest mulig likt og harmonisert regelverk med EU-retten, i tillegg til at inkorporasjonsmetoden er mer effektiv for raskt å ikraftsette nye og etterspurte regler til fordel for forbrukerne.

Flertallet vil knytte følgende merknader til noen av endringene som foreslås, og viser for øvrig til proposisjonen:

Flertallet viser til kapittel 7 i proposisjonen, der det foreslås en bestemmelse som åpner for behandling av særlige kategorier av personopplysninger i den utstrekning det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter. Flertallet registrerer at dette er en videreføring av gjeldende rett og at det synes å være et behov for å beholde denne adgangen. Det foreslås at det fastsettes en slik bestemmelse i den nye loven (§ 6) med grunnlag i forordningens artikkel 9 nr. 2 bokstav b. Dette er en videreføring av gjeldende personopplysningslov § 9 første ledd bokstav f. Flertallet registrerer at forordningens bestemmelse sier at det i nasjonale regler som åpner for behandling av slike særlige kategorier personopplysninger, skal gis «nødvendige garantier for den registrertes grunnleggende rettigheter og interesser». Flertallet er enige med departementet i at det ville være uhensiktsmessig å utforme generelle «garantier» i den nye loven på grunn av svært ulike behandlingssituasjoner. Flertallet er videre enige med departementet i at kravet til garantier i stedet bør oppfylles gjennom mer spesifikke garantier i sektorlovgivningen.

Flertallet viser videre til kapittel 7, der det fastslås et behov for en bestemmelse som gir Datatilsynet adgang til å tillate behandling av særlige kategorier av personopplysninger i enkelttilfeller. Dagens personopplysningslov åpner for at Datatilsynet kan gjøre dette dersom viktige samfunnsinteresser tilsier behandling, og det settes i verk tiltak for å sikre den registrertes interesser, jf. § 9. Flertallet viser til at Datatilsynet med hjemmel i denne bestemmelsen har gitt tillatelse til at blant annet treningssentre behandler sensitive opplysninger for antidopingformål, og det er gitt tillatelse til behandling av opplysninger i forbindelse med bakgrunnsundersøkelser som har som formål å avdekke korrupsjon og annen kriminalitet. Flertallet er enige i at det fortsatt er et behov for en slik adgang og at dette er i tråd med forordningens unntaksbestemmelse fra det generelle forbudet så lenge det er «nødvendig av hensyn til viktige allmenne interesser», jf. artikkel 9 nr. 2 bokstav g. Flertallet er enige med departementet i at en slik adgang skal være snever, og at den som hovedregel skal være begrunnet i at det ikke er tilstrekkelig tid til å forberede og vedta lovgivning eller forskrifter som åpner for behandlingen, eller at behandlingssituasjonen er så unik at det ikke vil være naturlig å regulere den i lov eller forskrift.

Flertallet viser til kapittel 10 om den registrertes rettigheter (forordningens kapittel III). Flertallet merker seg at bestemmelsene i stor grad innebærer en videreføring av gjeldende rett og at den registrerte her sikres et like godt vern som etter dagens personopplysningslov. Flertallet registrerer samtidig at forordningen medfører presiseringer og utdypinger av flere rettigheter i tillegg til at noen nye rettigheter er kommet til.

Flertallet viser til gjeldende personopplysningslov §§ 27 og 28 om den behandlingsansvarliges plikt til å rette mangelfulle opplysninger og forbudet mot å lagre unødvendige personopplysninger. Flertallet registrerer at det i departementets høring om Prop. 56 LS (2017–2018) blant annet ble påpekt at retting av mangelfulle opplysninger i noen tilfeller kan være svært ressurskrevende for den behandlingsansvarlige, og det ble etterlyst en snever unntaksregel. Flertallet er enige med departementet i at det ikke bør fastsettes slike unntaksregler før rettighetene har fått virke i praksis. Flertallet har samtidig forståelse for at en ubetinget plikt til retting av mangelfulle opplysninger kan være ressurskrevende og vanskelig å følge opp i praksis for den behandlingsansvarlige. Flertallet ber derfor departementet følge situasjonen og vurdere behovet for en snever unntaksregel som står seg overfor forordningens rammer, dersom det viser seg å skulle være behov for dette.

Flertallet viser til kapittel 12 om melde- og konsesjonsplikt og at dagens system foreslås avskaffet i tråd med forordningen. Flertallet viser til at høringen viste bred støtte til forslaget, og er enige med departementet i å avskaffe ordningen. Flertallet er enige med departementet i at forordningen inneholder en rekke alternative virkemidler for å sikre at reglene om behandling av personopplysninger overholdes, herunder plikten til å foreta vurdering av personvernkonsekvenser etter artikkel 35 og plikten til å foreta forhåndsdrøftinger med tilsynsmyndigheten etter artikkel 36. Flertallet viser videre til at departementet foreslår å innføre en forskriftshjemmel som kan benyttes til å innføre konsesjonsplikt, dersom det skulle vise seg å være nødvendig for å sikre et tilstrekkelig personvern.

Komiteen viser til at siden konsesjons- og meldeplikten i någjeldende personopplysningslov ikke videreføres, vil § 86 i ny åndsverkslov være uten betydning. Gjeldende åndsverkslov § 56a, som tilsvarer ny § 86, må dermed oppheves, også i den nye åndsverksloven, jf. Prop. 104 L (2016–2017) lov om opphavsrett til åndsverk mv. (åndsverkloven). Komiteen understreker samtidig at ny åndsverklov p.t. ikke er vedtatt i Stortinget, men legger til grunn at loven vedtas kort tid før behandlingen av ny personopplysningslov.

På denne bakgrunn fremmer komiteen følgende forslag:

«Stortinget ber regjeringen fremme forslag om opphevelse av § 86 i ny åndsverklov som følge av at melde- og konsesjonsplikten avskaffes.»

Komiteen flertall, medlemmene fra Arbeiderpartiet, Høyre og Fremskrittspartiet, viser til kapittel 17 om personvernombud. Etter dagens personvernlovgivning er personvernombudsordningen frivillig, og det eksisterer ingen plikt i norsk rett til å ha personvernombud. Flertallet viser til at forordningens regler, jf. artikkel 37, innebærer en betydelig utvidelse av ordningen sammenlignet med gjeldende norsk rett. Alle offentlige organer og mange private virksomheter får etter forordningens regler på nærmere vilkår en plikt til å utpeke personvernombud. Videre oppstiller forordningen regler om personvernombudets oppgaver og uavhengige posisjon. Flertallet viser til at departementet ikke foreslår noen bestemmelser som utvider plikten til å utpeke personvernombud ut over hva som kreves i forordningens artikkel 37. Flertallet registrerer at artikkel 37 favner vidt og byr på et stort tolkningsrom, særlig med tanke på hvor stort nedslagsfelt plikten til å oppnevne personvernombud skal ha. Med andre ord er det ikke klart nøyaktig hvilke typer virksomheter og antallet virksomheter som er omfattet av plikten. Flertallet er enige med departementet i at det bør sees hen til en eventuell utvikling av felleseuropeisk praksis på dette området før det vurderes nasjonale regler som utvider eller presiserer personvernombudsordningen. Flertallet støtter en forskriftshjemmel som gir adgang til å gi bestemmelser om plikt til å utpeke personvernombud.

Flertallet viser til kapittel 20 om overtredelsesgebyr og at gjeldende personopplysningslov § 46 gir Datatilsynet adgang til å ilegge overtredelsesgebyr for overtredelser av loven eller forskriften med et beløp inntil ti ganger folketrygdens grunnbeløp. Flertallet registrerer at forordningens regler om overtredelsesgebyr skal være virkningsfulle og proporsjonale, jf. artikkel 83. Flertallet viser videre til at artikkel 83 bestemmer hvilke overtredelser som kan sanksjoneres med overtredelsesgebyr, samtidig som at artikkel 84 åpner for at det i nasjonal rett kan fastsettes sanksjoner for overtredelse av andre bestemmelser enn dem som er nevnt i artikkel 83. Flertallet registrerer at departementet med hjemmel i artikkel 84 foreslår at overtredelse av artikkel 10 og 24 (internkontroll og regler om behandling av personopplysninger om straffedommer mv.) skal kunne sanksjoneres med gebyr. Flertallet viser videre til at det foreslås at Datatilsynet fortsatt skal kunne ilegge overtredelsesgebyr mot offentlige myndigheter. Flertallet støtter seg til dette og er enige i at overtredelser av loven skal kunne sanksjoneres med administrative gebyrer som er vesentlig høyere enn etter gjeldende rett. Flertallet mener at dette vil ha en tilstrekkelig avskrekkende effekt.

Flertallet viser til kapittel 22 om erstatning (oppreisning). Flertallet registrerer at det er knyttet noe usikkerhet til hvorvidt forordningens artikkel 82 åpner for at en overtredelse kan gi rett til erstatning også for tap av ikke-økonomisk karakter (oppreisning). Flertallet viser til forordningens ordlyd, som åpner for at den som har lidd «materiell eller ikke-materiell skade» som følge av overtredelse av forordningen, har rett til erstatning for skaden. Flertallet støtter departementet i å ta inn en bestemmelse i personopplysningsloven som gjør det klart og tydelig at den erstatningsansvarlige også kan pålegges å betale erstatning for skade av ikke-økonomisk art (oppreisning).

Flertallet viser til kapittel 23 om straff og departementets vurdering av hvorvidt brudd på den nye personopplysningsloven fortsatt skal kunne straffesanksjoneres. Flertallet registrerer at departementet foreslår å avkriminalisere brudd på personopplysningsloven. Flertallet er enige med departementet i at den nye adgangen til å ilegge vesentlig høyere administrative gebyrer bør innebære en tilstrekkelig avskrekkende reaksjon på overtredelse av loven. Samtidig registrerer flertallet noen av høringsinstansenes bekymringer for at avkriminalisering vil sende et uheldig signal om at brudd på personopplysningsloven ikke lenger er like alvorlig som tidligere. Flertallet mener at eventuelle negative konsekvenser som følge av avkriminaliseringen må følges nøye med på, og dersom det viser seg at høyere administrative gebyrer ikke fungerer preventivt nok, bør brudd på loven likevel straffesanksjoneres.

Flertallet registrerer videre at det i kapittel 25 foreslås at Datatilsynet fortsatt skal være tilsynsmyndighet etter forordningens artikkel 51. Flertallet registrerer videre at det ikke foreslås noen nasjonale regler om tilsynsmyndighetens oppgaver i kapittel 26, begrunnet i at forordningen gir detaljerte nok regler. Det registreres videre at departementet fastholder forslaget om at Datatilsynet skal ha tilsynskompetanse også for behandling av personopplysninger som faller utenfor EØS-avtalens virkeområde, med mindre annet er fastsatt. Flertallet viser også til at det i kapittel 27 foreslås å videreføre Personvernnemda som administrativt klageorgan for Datatilsynets avgjørelser. Flertallet stiller seg bak disse forslagene.

Flertallet viser videre til kapittel 30, som omhandler et nytt europeisk tilsynssystem. Flertallet viser til at forordningen legger opp til et utvidet samarbeid mellom tilsynsmyndighetene i EU og fastsetter regler for hvordan dette samarbeidet skal utøves. Det opprettes et europeisk Personvernråd hvor alle nasjonale tilsynsmyndigheter skal være representert, og det legges opp til mekanismer som skal sørge for en mest mulig ensartet tolkning og anvendelse av forordningen. Flertallet er enige med departementet i at det må anses å være en fordel at det opprettes mekanismer for samarbeid mellom tilsynsmyndighetene for å bidra til ensartet praksis i hele EU/EØS.

Flertallet viser til slutt til kapittel 31, der det foreslås at dagens regler om kameraovervåking og e-postinnsyn i arbeidsforhold videreføres, så langt forordningen tillater det, som nye forskrifter til arbeidsmiljølovens kapittel 9.

Komiteen har forståelse for at arbeidet med lovproposisjonen har vært omfattende, men skulle like fullt ønske at regjeringen kunne kommet tidligere til Stortinget med forslag om ny personopplysningslov og sak om samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordning nr. 2016/679 (generell personvernforordning) i EØS-avtalen. Komiteen vil understreke at det er krevende for justiskomiteen å behandle en så stor sak på svært kort tid. Komiteen mener likevel at den nye personvernforordningen er svært viktig for et styrket personvern, og mener behovet for et likt regelverk i EU og EØS er av stor betydning. Komiteen mener forsterkede regler for folks personvern er svært viktig.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Fremskrittspartiet og Sosialistisk Venstreparti, mener det er svært viktig at justis- og beredskapsdepartementet følger opp høringsinnspillene departementet fikk, slik de selv skriver i proposisjonen side 12 og 13 i det videre arbeidet:

«Høringsinstansene har generelt stilt seg positive til at det gis en ny norsk personopplysningslov som gjennomfører personvernforordningen. Enkelte høringsinstanser har likevel tatt til orde for at det bør foretas ytterligere utredninger av diverse temaer. Dette gjelder ikke bare spørsmål som forordningen reiser, men også spørsmål som oppstår etter gjeldende norsk rett. Spørsmål som ikke er blitt utredet i forbindelse med proposisjonsarbeidet, vil følges opp videre av Justis- og beredskapsdepartementet etter at proposisjonen er fremlagt. Høringen har blant annet vist at det kan være grunn til å se nærmere på hvordan ytrings- og informasjonsfriheten bør være regulert i personopplysningsloven, om unntakene i personopplysningsloven av hensyn til rikets sikkerhet har en dekkende og hensiktsmessig utforming, og om bestemmelsen som gjør unntak fra personopplysningslovens saklige virkeområde for saker som behandles eller avgjøres i medhold av rettspleielovene, bør endres.

Forholdet mellom offentleglova og personopplysningsloven vil bli nærmere vurdert i sammenheng med arbeidet med evaluering av offentleglova. I denne sammenheng vil også høringsuttalelsene om dette temaet bli vurdert.

Departementet legger også opp til en etterkontroll etter at loven har virket noen år. En etterkontroll vil i første rekke fokusere på de nasjonale supplerende reglene i personopplysningsloven, og i mindre grad på reglene som følger direkte av forordningen og som det primært tilligger EU å kontrollere. Det må imidlertid ved en etterkontroll av de nasjonale supplerende reglene sees hen til utviklingen i tolkningen og praktiseringen av forordningens regler. For så vidt gjelder etterkontroll av reglene i forordningen, følger det av artikkel 97 at Kommisjonen senest 25. mai 2020 og deretter hvert fjerde år skal fremlegge en rapport med en vurdering og gjennomgåelse av forordningen, samt ved behov foreslå nødvendige endringer. Ved en etterkontroll kan det etter departementets syn være særlig aktuelt å se nærmere på ordningen med personvernombud, reglene som gjør unntak fra de registrertes rettigheter, reglene om behandling for forsknings-, arkiv- og statistikkformål, reglene om administrative sanksjoner, avviklingen av konsesjonsordningen og aldersgrensen på 13 år for samtykke etter forordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i artikkel 8 nr. 1. Det kan vurderes om reglene har en hensiktsmessig utforming og om de fungerer tilfredsstillende. Virkninger av at straffansvaret for overtredelse av personopplysningsloven ikke videreføres, kan også vurderes»

Komiteen vil vise til justiskomiteens høring 3. mai 2018, hvor flere aktører gav utrykk for et klart behov for veiledning for små- og mellomstore bedrifter. Det ble gitt klart utrykk for at den nye personopplysningsloven og EU-forordningen er «lite tilgjengelig» og komplisert. Komiteen forutsetter at regjeringen følger opp dette i sterkere grad enn hva som fremkommer av proposisjonens del 2.3.2 side 13. Komiteen vil vise til LO sitt høringsinnspill til departementet av 12. oktober 2017, hvor de utrykker at det særlig på arbeidsrettens område er viktig med et regelverk som er forståelig for partene i arbeidslivet, og er anvendbart.

Komiteen mener det også må vurderes om kapasiteten til Datatilsynet er tilstrekkelig i møte med den nye loven og implementeringen av forordningen. Komiteen mener Datatilsynet må styrkes.

Komiteen viser videre til at personvernloven er kompleks. Loven skal sikre både et godt vern for personopplysninger og samtidig gi rom for stadig innovasjon i et datadrevet samfunn. Det blir i praksis avgjørende at Datatilsynet gir aktiv støtte og veiledning. Personvernloven må reelt sett sikre like vilkår for lokale og store internasjonale aktører. Datatilsynet vil få en nøkkelrolle for å hindre utilsiktede og urimelige konsekvenser av personvernloven. Den norske praksisen må ikke unødvendig svekke konkurransekraften til norske aktører.

Komiteens medlemmer fra Senterpartiet viser til at EUs personvernforordning (GDRP) etablerer et overnasjonalt tilsynssystem hvor et nytt EU-personvernråd skal være på toppen. Dette rådet har myndighet til å treffe avgjørelser som binder nasjonale tilsynsmyndigheter. Det er Datatilsynet som utgjør den nasjonale tilsynsmyndigheten i Norge. Disse medlemmer viser til at EFTAs overvåkingsorgan ikke er etablert som et mellomledd til å gjøre såkalte «kopivedtak», slik som er gjort tidligere.

Disse medlemmer viser til departementets svarbrev av 26. april 2018 (vedlagt), hvor det kommer frem flere viktige avklaringer når det gjelder domstolskontroll. Det kommer frem i brevet at norske domstoler etter forslaget kan prøve Datatilsynets avgjørelser, men at disse ikke skal ha mulighet for å indirekte overprøve avgjørelser fra EUs personvernråd eller prøve gyldigheten av det underliggende vedtaket fra EUs personvernråd. Det kommer også frem at EFTA-domstolen ikke kan prøve lovligheten av en avgjørelse fra Personvernrådet, men at den kan gi en rådgivende uttalelse om tolkningen av forordningen.

Disse medlemmer viser til at det i svarbrevet bekreftes at private i noen tilfeller skal kunne føre saker for EU-domstolen, dersom de er direkte og umiddelbart berørt av en avgjørelse i EUs personvernråd. Fristen for å gjøre dette er to måneder, og private kan velge å avvente Datatilsynets avgjørelse i stedet. Disse medlemmer merker seg imidlertid at Datatilsynets avgjørelser ikke kan avvike vesentlig fra EUs personvernråd sine avgjørelser. I svarbrevet opplyses det videre om at norske domstoler ikke skal kunne anmode EU-domstolen om tolkning av lovligheten av Personvernrådets avgjørelser eller om tolkning av personvernforordningen i saker hvor personer berøres indirekte av en avgjørelse fra EUs personvernråd.

Disse medlemmer merker seg også at det i svarbrevet kommer frem at EU-kommisjonen kan fatte avgjørelser om at et tredjeland eller internasjonal institusjon har tilstrekkelig beskyttelsesnivå. Disse rettsaktene fra Kommisjonen innlemmes i EØS-avtalen med vedtak i EØS-komiteen overfor Norge. Disse medlemmer noterer seg at EU-domstolen ikke har kompetanse til å prøve gyldigheten av et vedtak i EØS-komiteen overfor Norge, og norske myndigheter kan heller ikke bringe en slik sak inn for EU-domstolen. Departementet uttaler også i svarbrevet at selv om Kommisjonens vedtak kan anvendes midlertidig i Norge i påvente av en innlemming i EØS-avtalen, betyr ikke dette at norske myndigheter kan bringe vedtaket inn for EU-domstolene.

Disse medlemmer viser til at EØS/EFTA-statene har utformet et utkast til EØS-komiteens beslutning og at dette utkastet nå er til behandling. Proposisjonen som er forelagt Stortinget, inneholder ikke den endelige utformingen av denne avtalen eller av forordningen.

Disse medlemmer vil peke på at forordningen er tilpasset en enpilarordning, og ikke den topilarordningen vi har gjennom EØS. Disse medlemmer mener det er problematisk at forordningen, slik den er forelagt Stortinget, ikke inneholder de EØS-tilpasningene som skal avtales i EØS-komiteen, og merker seg at det ikke er gitt noen garantier for at de endringene som er formulert i utkastet, tas inn i den endelige teksten. Disse medlemmer mener det er uheldig at Stortinget ikke får forelagt den endelige versjonen før vedtaket om tilslutning fattes. I ytterste fall vil ikke EU godta de endringer som ligger i utkastet til EØS-komiteens beslutning, slik at disse ikke blir realisert ord for ord, artikkel for artikkel. I et slikt tilfelle kan også regjeringens argumenter for at Stortinget kan vedta tilslutning til forordningen ved simpelt flertall iht. Grunnloven § 26, andre ledd falle bort, ettersom denne argumentasjonen forskutterer at EU skal komme til å slutte seg til de endringer som fremkommer i EØS-komiteens utkast.

Disse medlemmer mener det straks må avklares hvorvidt Stortingets vedtak vil opphøre dersom EU ikke godkjenner utkastet til EØS-komiteens beslutning slik det nå foreligger, og hvorvidt forordningen i så tilfelle skal legges frem for Stortinget på nytt uten de endringer som EU eventuelt ikke har godtatt. Hvis dette er tilfelle, mener disse medlemmer at utkastets § 1 bør endres fra denne formuleringen:

«§ 1 Gjennomføring av personvernforordningen. EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) … gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig».

og til denne formulering:

«§ 1 Gjennomføring av personvernforordningen. EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) … gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1, Felleserklæring om adressatene for Personvernrådets vedtak og avtalen for øvrig».

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti er videre kritiske til den korte behandlingstiden det er lagt opp til i Stortinget i en så viktig og kompleks sak som den foreliggende. Dette har gitt komiteen for kort tid til å sikre en god og forsvarlig behandling av saken.

Komiteens medlemmer fra Senterpartiet fremmer på dette grunnlag følgende utsettelsesforslag:

«Stortinget ber regjeringen komme tilbake til Stortinget med et nytt lovutkast (personopplysningsloven) som er identisk med de tekster som EU og EFTA har folkerettslig avtalt i EØS-komiteen.»

Disse medlemmer vil understreke at det er viktig å få på plass strengere regler for personvernet, og støtter denne hensikten med personvernforordningen. Disse medlemmer er likevel kritiske til den overføring av myndighet som er tiltenkt EUs personvernråd, og merker seg problematiske sider ved den foreslåtte ordningen. Disse medlemmer har forstått forslaget slik at norske domstoler skal kunne prøve Datatilsynets avgjørelser, men Datatilsynet skal også være bundet av avgjørelser fra Personvernrådet, samtidig som norske domstoler ikke skal kunne indirekte overprøve avgjørelser fra EUs personvernråd eller prøve gyldigheten av det underliggende vedtaket fra EUs personvernråd.

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti noterer seg også innspill som har kommet om at personvernforordningen kan ha en utilsiktet konkurransevridende virkning. Selv om formålet med proposisjonen ikke er å endre konkurranseforholdet i markedet, kan kostnadene til kompetansebygging og etterlevelse likevel være egnet til å vri konkurransesituasjonen i favør av store og etablerte aktører. Disse medlemmer opplever dette som uheldig og mener at fraværet av prinsipielle vurderinger rundt konkurransesituasjonen utgjør en svakhet ved forberedelsen av saken.

Komiteens medlem fra Sosialistisk Venstreparti er glad for at det er fremlagt en ny lov om personvern. Det er en forbedring av dagens lovverk, og sørger for et enhetlig regelverk i tråd med EUs. Dette er et område hvor det er globale utfordringer, både for å regulere bedrifter og det offentliges bruk av personopplysninger. I den seneste tiden har vi spesielt sett at det er behov for et nytt regelverk som kan hindre at selskaper som Facebook, som behandler store mengder opplysninger om oss, kan selge tilgangen til tredjeparter og spre opplysninger som vi ikke selv har samtykket til. Det er derfor bra at det stilles strengere krav til samtykke, til hvilke opplysninger som kan lagres, og til retten til å bli slettet.

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti vil blant annet vise til at det nylig er blitt kjent at personlig informasjon fra over 80 millioner brukere av Facebook skal ha kommet på avveie, hvorav over 30 000 norske brukere. Dette må vi avverge i fremtiden.

Disse medlemmer viser til at det i dag er en del store globale aktører som dominerer sosiale medier og kontrollerer mye av norske brukeres personverninformasjon. Forslaget til personopplysningslov ivaretar en del av disse utfordringene, slik som strengere krav til samtykke og krav til innsyn og rett til sletting. Forslaget tar likevel ikke innover seg utviklingen vi ser, med større grad av monopolisering. Facebook og Google er blitt svært dominerende aktører. Facebook har Instagram, Whatsapp, Facebook Workplace og Messenger, mens selskapet Alphabet tilbyr tjenester som søkemotoren Google, Gmail og Youtube. Tjenestene blir bedre av at mange bruker dem og av at algoritmene mates med informasjon om brukerne og deres aktivitet. Slik blir det svært vanskelig for nye aktører å etablere seg. I sum begrenser dette muligheten for at nye, mer personvernvennlige forretningsmodeller vokser fram og blir konkurransedyktige.

Disse medlemmer er bekymret for at det offentlige også bidrar med data om sine brukere til selskaper som har som hovedforretningsmodell å bruke disse dataene til markedsføring, med mindre det offentlige har fått eksplisitte avtaler som begrenser databruken til eksplisitte formål.

Dette medlem viser til at blant annet Statens vegvesen brukte Facebook-innlogging til sin kampanje «Hold Fokus», og det er eksempler på at Datatilsynet har slått ned på at bruk av gratis-tjenester har vært ulovlige fordi de har forutsatt overføring av informasjon til for eksempel Facebook. Flere offentlige organer har benyttet seg av for eksempel Facebook Work for interninformasjon, og Forbrukerrådet har kartlagt 79 fastlegekontor som har åpnet for kommunikasjon via Facebook-messenger. I tillegg er det flere kommuner som åpner for kommersielle sporere på sine nettsider.

Komiteens medlem fra Sosialistisk Venstreparti mener at offentlige virksomheter bør ha en bevissthet omkring sin rolle som innkjøper og bruker av disse verktøyene, og det er ikke alltid enkelt for virksomheten å ta stilling. Den enkelte innbygger bør likevel få være beskyttet mot at personlig informasjon deles med store kommersielle aktører fordi vedkommende har tatt kontakt med en offentlig myndighet.

På den bakgrunn fremmer dette medlem derfor følgende forslag:

«Stortinget ber regjeringen utarbeide forpliktende retningslinjer for at offentlige virksomheter ikke inngår avtaler med selskaper som har som hovedforretningsmodell å bruke disse personverndata til markedsføring, uten at det er avtalt en begrensning i bruk av dataene.»

Dette medlem vil videre vise til sine merknader i innstillingen om samtykke til forordningen og prosessen i forbindelsen med EØS-komiteen.

Dette medlem vil i tilknytning til samarbeids- og konsistensmekanismen peke på at forslaget legger opp til en tilslutning til EUs personvernråd hvor det er lagt til grunn at det norske Datatilsynet får rett til å delta og en rett til å protokollere sitt standpunkt, men ikke stemmerett. Dette medlem mener at forpliktende internasjonalt samarbeid i møte med globale problemer både er nødvendig og en styrke. Håndtering av digitale personverndata har en slik global dimensjon. Dette medlem kan likevel ikke akseptere at et norsk myndighetsorgan blir direkte underlagt et EU-organ uten samtidig å være fullverdig medlem av organet med stemmerett. Spesielt når det fremdeles er uklart hvorvidt EU-organene i det hele tatt har akseptert det fremforhandlede resultatet i EØS-komiteen, hvor det gis deltakerrett og rett til å få protokollert sitt syn. Dette medlem viser til at EU-retten har en dynamisk utvikling, slik at det er vanskelig å vurdere omfanget av Personvernrådets mandat over tid.

Komiteens medlemmer fra Senterpartiet og Sosialistisk Venstreparti vil også påpeke at Personvernrådet skal kunne gjøre vedtak som er bindende også for Datatilsynet i Norge, uten at vedtaket går via overvåkingsorganet ESA. Dette bryter med EØS-avtalens topilarsystem, der EFTA-landene og EU skal være atskilt. I dag er Datatilsynet et uavhengig tilsyn, som skal fortsette å være uavhengig fra instrukser fra myndighetene. Det er derfor paradoksalt at det skal underlegges et overnasjonalt byrå, men ikke være gjenstand for en nasjonal demokratisk styring.

Disse medlemmer vil også påpeke problematikken knyttet til domstolsprøving av avgjørelser i Personvernrådet. Det legges opp til at Personvernrådets avgjørelser kun kan prøves rettslig av EU-domstolen. Dette innebærer, slik disse medlemmer har forstått det, at Datatilsynet kun kan angripe bindende avgjørelser fra Personvernrådet for EU-domstolen. Regjeringen har likevel lagt til grunn at enkeltpersoner kan angripe avgjørelser fra Datatilsynet, selv om beslutningen er basert på en avgjørelse fattet av Personvernrådet, for norske domstoler. Disse medlemmer mener dette ennå ikke er avklart i og med at forhandlingsresultatet ikke er endelig, og kan derfor heller ikke støtte det forslaget.

Disse medlemmer er i utgangspunktet positive til de materielle endringene som styrker personvernet i Norge, men er samtidig uenige i innføringen og tilknytningen til EUs personvernråd. Slik forslaget er utformet, er det likevel vanskelig å skille de materielle endringene fra samtykke til forordningen som helhet. Disse medlemmer mener derfor at regjeringen bør komme tilbake til Stortinget med et forslag som inneholder de materielle endringene og forpliktelsene, men uten den konkrete tilknytningen. På den bakgrunn fremmer disse medlemmer følgende forslag:

«Stortinget ber regjeringen komme tilbake til Stortinget med et nytt lovforslag til personopplysningslov som inneholder de samme forslagene som vil styrke personvernet i Norge, men uten tilknytningen til forordningen (EU) nr. 2016/679 (generell personvernforordning) og innføringen av konsistensmekanismen hvor Personvernrådet kan gi bindende avgjørelser overfor Datatilsynet».

Komiteen viser til vedlagte brev fra Riksrevisjonen av 30. april 2018 om behov for endringer i lov om Riksrevisjonen av 7. mai 2014 nr. 21 § 17 som følge av ny personopplysningslov. Riksrevisjonen har etter gjeldende rett unntak fra enkelte bestemmelser når behandlingen av personopplysninger skjer som ledd i kontrollvirksomhet. Unntakene omfatter bestemmelser om innsyn, regler om retting/sletting/supplering/sperring av eget tiltak og fritak for meldeplikt og konsesjon. Riksrevisjonen legger til grunn at det ikke er brudd på forordningens artikkel 23 å opprettholde de nevnte unntakene i ny personopplysningslov. Komiteen viser for øvrig til Riksrevisjonens begrunnelse og fremmer følgende forslag:

«I lov om Riksrevisjonen av 7. mai 2014 nr. 21 gjøres følgende endring:

§ 17 annet ledd skal lyde:

Riksrevisjonens behandling av personopplysninger i revisjons- og kontrollarbeid er unntatt fra artiklene 15, 16, 17, 18 og 19 i personvernforordningen.»

Forslag fra mindretall

Forslag fra Senterpartiet og Sosialistisk Venstreparti:
Forslag 1

Stortinget ber regjeringen komme tilbake til Stortinget med et nytt lovforslag til personopplysningslov som inneholder de samme forslagene som vil styrke personvernet i Norge, men uten tilknytningen til forordningen (EU) nr. 2016/679 (generell personvernforordning) og innføringen av konsistensmekanismen hvor Personvernrådet kan gi bindende avgjørelser overfor Datatilsynet.

Forslag fra Senterpartiet:
Forslag 2

Stortinget ber regjeringen komme tilbake til Stortinget med et nytt lovutkast (personopplysningsloven) som er identisk med de tekster som EU og EFTA har folkerettslig avtalt i EØS-komiteen.

Forslag fra Sosialistisk Venstreparti:
Forslag 3

Stortinget ber regjeringen utarbeide forpliktende retningslinjer for at offentlige virksomheter ikke inngår avtaler med selskaper som har som hovedforretningsmodell å bruke disse personverndata til markedsføring, uten at det er avtalt en begrensning i bruk av dataene.

Komiteens tilråding

Komiteen har ellers ingen merknader, viser til proposisjonen og rår Stortinget til å gjøre følgende

vedtak:
A.
vedtak til lov

om behandling av personopplysninger (personopplysningsloven)

Kapittel 1. Personvernforordningen
§ 1 Gjennomføring av personvernforordningen

EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.

Kapittel 2. Lovens saklige og geografiske virkeområde
§ 2 Saklig virkeområde og forholdet til andre lover

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.

Loven og personvernforordningen gjelder ikke

  • a) ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter

  • b )for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).

Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.

Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.

§ 3 Forholdet til ytrings- og informasjonsfriheten

For behandling av personopplysninger utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer gjelder bare bestemmelsene i personvernforordningen artikkel 24, 26, 28, 29, 32 og 40 til 43, jf. personvernforordningen kapittel VI og VIII og kapittel 6 og 7 i loven her.

§ 4 Geografisk virkeområde

Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.

Loven og personvernforordningen gjelder for behandling av personopplysninger om registrerte som befinner seg i Norge, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS, dersom behandlingen er knyttet til

  • a) tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller

  • b) monitorering av deres atferd, i den grad deres atferd finner sted i Norge.

Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Kapittel 3. Utfyllende regler om behandling av personopplysninger
§ 5 Barns samtykke i forbindelse med informasjonssamfunnstjenester

Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

§ 6 Behandling av særlige kategorier av personopplysninger i arbeidsforhold

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

§ 7 Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift

Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

§ 8 Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

§ 9 Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.

Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.

§ 10 Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.

§ 11 Behandling av personopplysninger om straffedommer og lovovertredelser mv.

Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende også når personopplysninger som nevnt i personvernforordningen artikkel 10 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av

  • a)den registrertes samtykke, uten hensyn til om behandlingen utføres under en offentlig myndighets kontroll eller ikke

  • b)§ 8 i loven her, dersom behandlingen utføres under en offentlig myndighets kontroll.

§ 12 Bruk av fødselsnummer og andre entydige identifikasjonsmidler

Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

§ 13 Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Kongen kan gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

§ 14 Forskrifter om forhåndsdrøfting og forhåndsgodkjenning

Kongen kan gi forskrift om forhåndsdrøfting med Datatilsynet og om forhåndsgodkjenning fra Datatilsynet.

§ 15 Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter

Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.

Kapittel 4. Unntak fra den registrertes rettigheter
§ 16 Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten

Retten til informasjon og innsyn etter personvernforordningen artikkel 13, 14 og 15 omfatter ikke opplysninger som

  • a) er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21

  • b) det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

  • c) det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær

  • d) i lov eller med hjemmel i lov er underlagt taushetsplikt

  • e) utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser

  • f) det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold.

Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter personvernforordningen artikkel 34 gjelder ikke i den utstrekning en slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d.

Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.

§ 17 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål

Retten til innsyn etter personvernforordningen artikkel 15 gjelder ikke for behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt

  • a) det vil kreve en uforholdsmessig stor innsats å gi innsyn eller

  • b )innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Retten til retting og begrensning av behandling etter personvernforordningen artikkel 16 og 18 gjelder ikke for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Første og annet ledd gjelder ikke dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte.

Kapittel 5. Personvernombud
§ 18 Personvernombudets taushetsplikt

Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om

  • a) noens personlige forhold

  • b) tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet

  • c) sikkerhetstiltak etter personvernforordningen artikkel 32

  • d) enkeltpersoners varsling om overtredelser av loven her.

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

§ 19 Forskrifter om plikt til å utpeke personvernombud

Kongen kan gi forskrift om plikt til å utpeke personvernombud.

Kapittel 6. Tilsyn og klage
§ 20 Datatilsynet

Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.

Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av

  • a) bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her

  • b) bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.

§ 21 Årsrapport fra Datatilsynet

Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.

§ 22 Personvernnemnda

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.

Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.

Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.

Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.

Personvernnemnda skal årlig orientere Kongen om sin virksomhet.

Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.

§ 23 Tilgang til opplysninger

Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.

Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.

Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.

§ 24 Taushetsplikt

Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.

Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.

§ 25 Partsstilling

Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.

Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Kapittel 7. Sanksjoner og tvangsmulkt
§ 26 Overtredelsesgebyr

Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.

Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.

§ 27 Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr

Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.

Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.

§ 28 Foreldelse

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

§ 29 Tvangsmulkt

Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.

Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.

§ 30 Erstatning for ikke-økonomisk skade

Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel 8. Uekte kameraovervåkingsutstyr mv.
§ 31 Uekte kameraovervåkingsutstyr mv.

Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.

Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover
§ 32 Ikrafttredelse

Loven trer i kraft fra den tiden Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.

De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.

§ 33 Overgangsregler

Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.

Kongen kan gi nærmere overgangsregler.

§ 34 Endringer i andre lover

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

1. I lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v. oppheves § 56 a.

2. I lov 21. juni 1963 nr. 23 om vegar gjøres følgende endringer:

Kapittel II B skal lyde:
Kapittel II B. Personopplysningar.
§ 11 f Handsaming av personopplysningar

Vegstyremaktene etter kapittel II og tilsynsmyndigheita etter kapittel II A kan handsame personopplysningar når det er naudsynt for å utføre oppgåver gitt i eller i medhald av lova her, eller for å oppfylle internasjonale plikter under verkeområdet til lova. Det same gjeld eit statleg utbyggingsselskap for veg som er tildelt oppgåver i medhald av § 9 første ledd.

Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, krav til sletting og krav til samanstillingar av personopplysningar til bruk for forsking og statistiske formål.

§ 27 femte ledd skal lyde:

Selskap eller andre juridiske personar som er gitt fullmakt frå departementet til å krevje inn bompengar, kan handsame personopplysningar når det er naudsynt for å utføre denne oppgåva. Det same gjeld selskap eller andre juridiske personar som utfører tenester på bompengeområdet i medhald av forskrift til denne lova, og når Statens vegvesen utfører oppgåver på bompengeområdet. Personopplysningar som nemnt i personvernforordninga artikkel 9 nr. 1 kan berre handsamast etter første og andre punktum dersom det er strengt naudsynt ut frå formålet med handsaminga. Dei som har heimel etter første og andre punktum til å handsame personopplysningar, kan levere ut opplysningar til tredjepartar når internasjonale rettsakter eller avtaler som Noreg er bunde av, opnar for ei slik utlevering.

§ 27 sjette ledd skal lyde:

Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, vilkår for handsaming av sensitive personopplysningar, krav til sletting og krav til eventuelle samanstillingar av personopplysningar til bruk for forsking og statistiske formål.

Någjeldende § 27 femte ledd blir nytt sjuende ledd.

3. I lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs oppheves § 156 femte ledd annet punktum.

4. I lov 16. juni 1989 nr. 69 om forsikringsavtaler gjøres følgende endringer:

§ 8-1 annet ledd skal lyde:

Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.

§ 18-1 annet ledd skal lyde:

Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.

5. I lov 4. desember 1992 nr. 126 om arkiv gjøres følgende endringer:

§ 9 bokstav c og d skal lyde:
  • c. kasserast. Dette forbodet går framom føresegner om kassasjon i eller i medhald av andre lover. Personregister eller delar av personregister kan likevel slettast etter føresegnene i helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren. Personregister eller delar av personregister kan i tillegg slettast etter føresegner i medhald av politiregisterloven § 69 første ledd nr. 16.

  • d. rettast på ein slik måte at tidlegare urette eller ufullstendige opplysningar vert sletta, dersom desse har hatt noko å seia for saksførebuinga, vedtak eller anna som etter føremålet med denne lova bør kunna dokumenterast. Føresegner om sletting gjevne i medhald av §§ 8 til 11 og § 25 andre leden i helseregisterlova, gjeld likevel uinnskrenka.

§ 18 annet punktum skal lyde:

Reglane i helseregisterlova om retting og sletting av opplysningar vil likevel gjelda fullt ut.

6. I lov 11. juni 1993 nr. 101 om luftfart oppheves § 12-14.

7. I lov 3. juni 1994 nr. 15 om Enhetsregisteret skal § 22 annet ledd tredje punktum lyde:

Kredittopplysningsforetak kan likevel etter avtale godkjent av Datatilsynet få tilgang til slike numre til intern bruk.

8. I lov 4. august 1995 nr. 53 om politiet skal ny § 6 a lyde:

§ 6 a Kameraovervåking

Politiet kan benytte kameraovervåking dersom det er nødvendig for å gjennomføre oppgaver som nevnt i § 2 nr. 1 til 4. Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Som kameraovervåking anses både overvåking med og uten mulighet for opptak av lyd- og bildemateriale.

Kameraovervåking kan bare benyttes dersom de hensyn som tilsier overvåking, overstiger hensynet til den registrertes personvern. Det skal særlig legges vekt på hvordan overvåkingen skal skje, samt hva slags område som skal overvåkes.

Det skal ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket av politiet, og om overvåkingen eventuelt inkluderer lydopptak.

Kongen kan gi forskrifter med nærmere bestemmelser om behandling av opplysninger innhentet ved kameraovervåking.

9. I lov 28. februar 1997 nr. 19 om folketrygd gjøres følgende endringer:

§ 21-4 d første ledd bokstav b annet punktum skal lyde:

Helseopplysninger og andre opplysninger som omfattes av personvernforordningen artikkel 9 eller 10, kan ikke innhentes ved masseinnhenting.

§ 21-11 a syvende ledd første punktum skal lyde:

Ved behandling av personopplysninger i saker etter kapittel 5 er Helsedirektoratet behandlingsansvarlig, jf. personvernforordningen artikkel 4 nr. 7.

§ 21-11 a åttende ledd første punktum oppheves. Någjeldende annet punktum blir nytt første punktum.

10. I lov 19. juni 1997 nr. 62 om familievernkontorer oppheves § 11 tredje ledd.

Någjeldende fjerde ledd blir nytt tredje ledd.

11. I lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter gjøres følgende endringer:

§ 3-6 tredje ledd skal lyde:

Dersom helsepersonell tilgjengeliggjør opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det, informeres om at opplysningene er gjort tilgjengelige og hvilke opplysninger det dreier seg om.

§ 5-1 første ledd første punktum skal lyde:

Pasienten og brukeren har rett til innsyn i journalen sin med bilag og har etter særskilt forespørsel rett til kopi, jf. personvernforordningen artikkel 15.

§ 5-3 skal lyde:
§ 5-3 Overføring og tilgjengeliggjøring av journal

Pasienten og brukeren har rett til å motsette seg overføring og tilgjengeliggjøring av journal eller opplysninger i journal. Opplysningene kan heller ikke overføres eller tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det ved forespørsel. Overføring og tilgjengeliggjøring kan likevel skje dersom tungtveiende grunner taler for det. Overføring og tilgjengeliggjøring av journal eller opplysninger i journal skal skje i henhold til bestemmelsene i lov om helsepersonell.

12. I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres følgende endringer:

§ 29 første ledd skal lyde:

Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for forskning, og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene. Departementet kan sette vilkår for bruken av opplysningene for å verne den registrertes grunnleggende rettigheter og interesser.

§ 29 fjerde ledd første punktum skal lyde:

Departementet kan i forskrift regulere helsepersonells rett til tilgjengeliggjøring og bruk av taushetsbelagte opplysninger til andre formål enn helsehjelp når pasienten har gitt samtykke.

§ 29 b skal lyde:
§ 29 b Opplysninger til helseanalyser, kvalitetssikring, administrasjon mv.

Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene.

Tilgjengeliggjøring kan bare skje dersom bruken av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer.

Departementet kan sette vilkår for bruken av opplysningene for å verne den registrertes grunnleggende rettigheter og interesser.

§ 29 c skal lyde:
§ 29 c Opplysninger til bruk i læringsarbeid og kvalitetssikring

Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gjøres tilgjengelige for annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Første punktum omfatter opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt gjort tilgjengelige for, og hvilke opplysninger som har blitt gjort tilgjengelige, jf. § 40.

§ 42 skal lyde:
§ 42 Retting av journal

Helsepersonell som nevnt i § 39 skal etter krav fra den opplysningen gjelder, eller av eget tiltak, rette uriktige eller ufullstendige opplysninger, jf. personvernforordningen artikkel 16. Opplysningene skal etter krav fra den opplysningen gjelder, eller av eget tiltak, også rettes dersom de er utilbørlige. Retting skal skje ved at journalen føres på nytt, eller ved at en datert rettelse tilføyes i journalen. Retting skal ikke skje ved at opplysninger eller utsagn slettes.

Dersom et krav om retting avslås, skal kravet om retting og begrunnelse for avslaget nedtegnes i journalen. Avslag på krav om retting kan påklages til Fylkesmannen, som avgjør om retting kan foretas.

Departementet kan gi forskrift om fremgangsmåten ved retting.

§ 45 annet ledd skal lyde:

Helseopplysninger som nevnt i første ledd kan gis av den dataansvarlige for opplysningene eller det helsepersonellet som har dokumentert opplysningene, jf. § 39.

13. I lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap gjøres følgende endringer:

§ 2-4 første ledd fjerde punktum skal lyde:

Organet som etablerer registeret, er dataansvarlig.

§ 2-4 annet ledd første punktum skal lyde:

Ved etableringen av registre skal den dataansvarlige dokumentere at helseopplysningene behandles i samsvar med helseregisterloven § 6, herunder beskrive formålet med behandlingen og hvilke helseopplysninger som behandles.

§ 2-4 tredje ledd første punktum skal lyde:

Opplysningene kan behandles uten samtykke fra den registrerte og tilgjengeliggjøres uten hinder av lovbestemt taushetsplikt dersom det er nødvendig for å oppnå registerets formål.

§ 2-4 fjerde ledd skal lyde:

Den dataansvarlige kan uten hinder av lovbestemt taushetsplikt kreve opplysninger som er nødvendige for registerets formål fra helsepersonell, fra virksomheter i helse- og omsorgstjenesten og fra personell og virksomheter som nevnt i folkehelseloven § 29 andre og tredje ledd.

§ 2-4 femte ledd oppheves. Någjeldende sjette ledd blir nytt femte ledd.

14. I lov 15. juni 2001 nr. 81 om elektronisk signatur skal § 7 annet ledd annet punktum lyde:

I den utstrekning ikke annet følger av denne lov, kommer personopplysningsloven med forskrifter til anvendelse ved Datatilsynets kontroll etter første punktum.

15. I lov 21. februar 2003 nr. 12 om behandlingsbiobanker gjøres følgende endringer:

§ 3 annet ledd skal lyde:

Med mindre annet følger av denne loven, skal helse- og personopplysninger som utledes fra humant biologisk materiale behandles etter reglene i personvernforordningen, personopplysningsloven, pasientjournalloven, helsepersonelloven og eventuelt annen lovgivning som særlig regulerer vern av personopplysninger.

§ 5 første ledd nr. 7 skal lyde:

7. hvem som er ansvarshavende etter § 7 og dataansvarlig etter pasientjournalloven

§ 7 første ledd annet og tredje punktum skal lyde:

Dersom biobanken inneholder opplysninger som kan knyttes til enkeltpersoner, vil den også ha en dataansvarlig etter pasientjournalloven. Den dataansvarlige skal utpeke ansvarshavende.

§ 15 tredje ledd skal lyde:

Tilgang til personidentifiserbart materiale kan bare gis dersom mottakeren har adgang til å behandle det i henhold til pasientjournalloven, personopplysningsloven eller personvernforordningen.

§ 17 annet ledd skal lyde:

Datatilsynet skal føre tilsyn med at behandling av de helse- og personopplysninger som utledes av materialet i en biobank, skjer i tråd med personvernforordningen, personopplysningsloven og pasientjournalloven.

16. I lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv. skal § 29 første ledd annet punktum lyde:

Slike registre kan ikke uten samtykke inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 nr. 1 om særlige kategorier av personopplysninger.

17. I lov 10. desember 2004 nr. 76 om arbeidsmarkedstjenester skal § 14 lyde:

§ 14 Generelle saksbehandlingsregler

Forvaltningsloven og personopplysningsloven gjelder med de særregler som er fastsatt i loven her.

18. I lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. gjøres følgende endringer:

§ 9-5 skal lyde:
§ 9-5 Innsyn i arbeidstakers e-postkasse mv.

Departementet kan gi forskrift om arbeidsgivers rett til innsyn i arbeidstakers e-postkasse og annet elektronisk lagret materiale, blant annet om adgangen til innsyn, prosedyrer ved innsyn og plikten til å slette opplysninger.

Ny § 9-6 skal lyde:
§ 9-6 Kameraovervåking

Departementet kan gi forskrift om kameraovervåking i virksomheten, blant annet om adgangen til å iverksette kameraovervåking, varsling om at slik overvåking finner sted, og utlevering og sletting av opptak gjort ved slik overvåking.

19. I lov 17. juni 2005 nr. 101 om eigedomsregistrering gjøres følgende endringer:

§ 22 femte ledd skal lyde:

Personvernforordninga artikkel 13 og 14 gjeld ikkje for føring av matrikkelen.

§ 26 femte ledd skal lyde:

Denne paragrafen går framom personvernforordninga artikkel 16 om retting av personopplysningar.

§ 30 syvende ledd skal lyde:

Departementet kan i forskrift gi nærare reglar om behandling, utlevering og sal av opplysningar.

20. I lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd skal § 10 tredje ledd annet punktum lyde:

Kongen kan gi forskrift om tilgjengeleggjering av dokument på Internett og om at visse typar personopplysningar og dokument som ein tredjeperson har immaterielle rettar til, ikkje skal gjerast tilgjengelege på denne måten.

21. I lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen skal § 3 tredje ledd første punktum lyde:

Direktoratet er behandlingsansvarlig for etatens behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 7.

22. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:

§ 9-17 annet ledd nr. 2 skal lyde:

2. krav til dokumentasjon, herunder bestemmelser som gjør unntak fra personopplysningsloven.

§ 9-28 skal lyde:

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i verdipapirforetak, tilknyttet agent, eller filial av utenlandsk foretak som yter investeringstjenester i Norge, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

23. I lov 21. desember 2007 nr. 119 om toll og vareførsel skal § 13-12 første ledd lyde:

(1) Ved planlegging, målretting og gjennomføring av kontroller kan tollmyndighetene innhente, lagre, sammenstille og bruke nødvendige personopplysninger, herunder helseopplysninger, jf. personvernforordningen artikkel 9 nr. 1, og opplysninger som nevnt i personvernforordningen artikkel 10. For samme formål kan grensekryssende trafikk på landeveien og fergeterminaler med utenlands trafikk overvåkes av tollmyndighetene ved bruk av skiltgjenkjenningssystem.

24. I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning gjøres følgende endringer:

§ 2 annet, tredje og fjerde ledd skal lyde:

For behandling av helseopplysninger gjelder personvernforordningen og personopplysningsloven med forskrifter, i den utstrekning ikke annet følger av denne loven. For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer. Loven gjelder ikke for etablering av helseregistre.

For klinisk utprøvning av legemidler på mennesker gjelder legemiddelloven § 3 med forskrifter. For klinisk utprøvning av medisinsk utstyr gjelder lov om medisinsk utstyr med forskrifter. Loven her gjelder utfyllende så langt den passer.

Departementet kan gi forskrift om lovens anvendelse for særskilte områder innenfor medisinsk og helsefaglig forskning.

§ 3 annet ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.

§ 4 bokstav d skal lyde:
  • d)helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

§ 10 annet ledd annet punktum skal lyde:

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for godkjenning, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.

§ 13 annet ledd første punktum skal lyde:

Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra deltakeren der vedkommende ved en erklæring eller tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger eller humant biologisk materiale.

§ 32 første ledd første punktum skal lyde:

Behandling av helseopplysninger i medisinsk og helsefaglig forskning skal være i samsvar med prinsippene i personvernforordningen artikkel 5 og ha uttrykkelig angitte formål.

§ 33 skal lyde:
§ 33 Krav om forhåndsgodkjenning

Behandling av helseopplysninger i medisinsk og helsefaglig forskning krever forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk etter kapittel 3.

Behandling av helseopplysninger fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke forhåndsgodkjenning, med mindre annet følger av forskriftene til registrene.

Personopplysningsloven § 10 og § 11 andre ledd gjelder ikke for medisinsk og helsefaglig forskning.

§ 34 skal lyde:
§ 34 Behandling av helseopplysninger

Helseopplysninger kan sammenstilles, tilgjengeliggjøres og behandles på andre måter i tråd med forskningsprosjektets formål, eventuelle samtykker, forhåndsgodkjenningen etter § 33 og i samsvar med forskningsprotokollen.

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan ved godkjenningen etter kapittel 3 nekte slik sammenstilling, tilgjengeliggjøring eller annen behandling dersom denne finnes å være medisinsk eller etisk uforsvarlig.

Sammenstilling og tilgjengeliggjøring av helseopplysninger kan skje til dataansvarlige eller forskningsansvarlige som har adgang til å behandle personopplysningene etter personvernforordningen artikkel 6 og 9.

§ 35 første ledd fjerde punktum skal lyde:

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for bruken, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.

§ 36 nytt første ledd skal lyde:

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder.

Någjeldende § 36 første, annet og tredje ledd, blir henholdsvis nytt annet, tredje og fjerde ledd.

§ 37 oppheves.

§ 40 første ledd skal lyde:

Forskningsdeltakeren har rett til innsyn i helseopplysninger om seg selv etter personvernforordningen artikkel 15. Deltakeren har også rett til innsyn i sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.

§ 42 skal lyde:
§ 42 Unntak fra innsyn

Unntakene i personopplysningsloven §§ 16 og 17 fra retten til informasjon og innsyn og fra plikten til underretning om brudd på personopplysningssikkerheten, gjelder tilsvarende for innsyn etter §§ 40 og 41 i loven her.

Avslag på krav om innsyn og informasjon kan overprøves av den regionale komiteen for medisinsk og helsefaglig forskningsetikk.

§ 47 skal lyde:
§ 47 Datatilsynets myndighet

Datatilsynet fører tilsyn med bruken av helseopplysninger etter denne loven i samsvar med personvernforordningen og personopplysningsloven.

Når Datatilsynet har gitt pålegg, skal Statens helsetilsyn informeres om dette.

§ 50 annet, tredje og fjerde ledd skal lyde:

Den forskningsansvarlige skal erstatte skader som er oppstått som følge av at humant biologisk materiale er behandlet i strid med bestemmelser gitt i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den forskningsansvarliges side. Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av det humant biologiske materialet. Den forskningsansvarlige kan også pålegges å betale slik erstatning for skader av ikke-økonomisk art (oppreisning) som synes rimelig.

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, jf. forordningen artikkel 82. Ansvaret gjelder tilsvarende ved behandling av helseopplysninger i strid med denne loven eller forskrifter gitt i medhold av loven.

For forskningsansvarlige og dataansvarlige som er private, skal det ved forsikring stilles sikkerhet for det økonomiske ansvaret som kan oppstå etter andre og tredje ledd.

§ 52 skal lyde:
§ 52 Datatilsynets adgang til å fatte vedtak om overtredelsesgebyr

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Når Datatilsynet har fattet vedtak etter første ledd, skal Statens helsetilsyn informeres om dette.

§ 53 første og annet ledd skal lyde:

Statens helsetilsyn kan fastsette en løpende tvangsmulkt for hver dag, uke eller måned som går etter utløpet av den fristen som er satt for oppfylling av pålegget etter § 51, inntil pålegget er oppfylt. En tvangsmulkt kan også fastsettes som engangsmulkt. Statens helsetilsyn kan frafalle en påløpt tvangsmulkt. Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkten før klageinstansen har bestemt det.

Datatilsynet kan fastsette tvangsmulkt etter personopplysningsloven § 29.

25. I lov 17. oktober 2008 nr. 79 om utvalget for gjennomgang av stortingspensjoner oppheves § 3.

26. I lov 19. juni 2009 nr. 97 om dyrevelferd skal § 36 første ledd annet punktum lyde:

Slike registre kan ikke uten samtykke fra den det gjelder, inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 eller 10.

27. I lov 25. november 2011 nr. 44 om verdipapirfond skal § 1-6 lyde:

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i et forvaltningsselskap, tilknyttet agent, eller utenlandsk forvaltningsselskap som nevnt i §§ 3-3 første ledd eller 3-4 første ledd, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

28. I lov 24. august 2012 nr. 64 om bustøtte gjøres følgende endringer:

§ 8 første ledd fjerde punktum skal lyde:

Informasjonsplikta i personvernforordninga artikkel 14 gjeld.

§ 8 a tredje ledd annet punktum skal lyde:

Opplysningar som nemnt i personvernforordninga artikkel 9 og 10 kan ikkje masseinnhentast.

§ 8 b syvende ledd skal lyde:

Informasjonsplikta i personvernforordninga artikkel 14 gjeld.

§ 8 c annet ledd første punktum skal lyde:

Informasjonsplikta i personvernforordninga artikkel 14 gjeld for opplysningar som er henta inn etter paragrafen her, men den registrerte har først krav på informasjon når kontrollen er ferdig utført.

29. I lov 11. januar 2013 nr. 3 om Statens innkrevingssentral oppheves § 6 annet og tredje ledd.

30. I lov 7. mai 2004 nr. 21 om Riksrevisjonen skal § 17 annet ledd lyde:

Riksrevisjonens behandling av personopplysninger i revisjons- og kontrollarbeidet er unntatt fra artiklene 15, 16, 17, 18 og 19 i personvernforordningen.

31. I lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond skal § 1-6 lyde:

§ 1-6 Behandling av personopplysninger i tilknytning til autorisasjonsordninger for ansatte

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer som er ansatt hos en forvalter for et alternativt investeringsfond med tillatelse etter § 2-2, eller som er registreringspliktig etter § 1-4, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

32. I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

§ 2 skal lyde:
§ 2 Definisjoner

I denne loven forstås med:

  • a) helsehjelp: enhver handling som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven § 3 første ledd

  • b) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

  • c) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

  • d) behandlingsrettet helseregister: pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner

  • e) dataansvarlig: ansvarlig for behandling av helseopplysninger etter personvernforordningen artikkel 4 nr. 7.

§ 3 nytt annet ledd skal lyde:

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer.

Någjeldende § 3 annet ledd blir nytt tredje ledd.
§ 4 første ledd første punktum skal lyde:

Loven gjelder for dataansvarlige som er etablert i Norge.

§ 4 annet ledd oppheves.
§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen og personopplysningsloven

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av loven her.

§ 6 første ledd annet punktum oppheves.
§ 9 bokstav d skal lyde:
  • d)dataansvar.

§ 10 annet ledd skal lyde:

Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.

§ 11 tredje ledd skal lyde:

Forskriften skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles, om den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar.

§ 12 tredje ledd skal lyde:

Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.

§ 13 femte ledd skal lyde:

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om drift og behandling av helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem som er dataansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

§ 18 første ledd skal lyde:

Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.

§ 19 første og annet ledd skal lyde:

Innenfor rammen av taushetsplikten skal den dataansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.

§ 20 skal lyde:
§ 20 Helseopplysninger til andre formål enn helsehjelp

Den dataansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11.

§ 21 skal lyde:
§ 21 Personopplysninger fra Folkeregisteret

Den dataansvarlige kan innhente personopplysninger fra Folkeregisteret når dette er nødvendig for å oppfylle den dataansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.

§ 22 skal lyde:
§ 22 Informasjonssikkerhet

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

§ 23 første ledd skal lyde:

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

§ 23 annet ledd første og annet punktum skal lyde:

Den dataansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den dataansvarlige og hos databehandleren.

§ 26 skal lyde:
§ 26 Tilsyn

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven

§§ 27 og 28 oppheves.
§ 29 skal lyde:
§ 29 Overtredelsesgebyr

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

§ 30 annet og fjerde ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

33. I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

§ 2 skal lyde:
§ 2 Definisjoner

I denne loven forstås med:

  • a) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

  • b) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

  • c) helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6

  • d) dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7

  • e) samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11

  • f) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

§ 3 nytt annet og tredje ledd skal lyde:

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Någjeldende § 3 tredje og fjerde ledd blir nytt fjerde og femte ledd.

§ 4 skal lyde:
§ 4 Geografisk virkeområde

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen og personopplysningsloven

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.

§ 6 første og annet ledd skal lyde:

Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.

§ 6 tredje og fjerde ledd oppheves.

Någjeldende § 6 femte ledd blir nytt tredje ledd.

§ 7 oppheves.
§ 8 fjerde ledd bokstav e skal lyde:
  • e) hvem som er dataansvarlig.

§ 9 bokstav b skal lyde:
  • b) opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.

§ 12 tredje ledd skal lyde:

Riksarkivaren er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4.

§ 12 fjerde ledd annet punktum skal lyde

Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.

§ 14 skal lyde:
§ 14 Opplysninger fra Folkeregisteret

Dataansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret.

§ 19 annet og tredje ledd skal lyde:

Den dataansvarlige kan tilgjengeliggjøre helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov, skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer.

Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personvernforordningen, personopplysningsloven eller annen lov.

§ 19 tredje ledd oppheves.
§ 20 første ledd første punktum skal lyde:

Taushetsplikt er ikke til hinder for at den dataansvarlige kan tilgjengeliggjøre indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten.

§ 20 annet ledd skal lyde:

Helseopplysningene kan bare tilgjengeliggjøres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen for å verne den registrertes grunnleggende rettigheter og interesser.

§ 21 skal lyde:
§ 21 Informasjonssikkerhet

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

§ 22 skal lyde:
§ 22 Internkontroll

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Departementet kan i forskrift gi nærmere regler om tekniske og organisatoriske tiltak etter første ledd.

§ 23 skal lyde:
§ 23 Informasjon til allmennheten om behandling av helseopplysninger

En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

§ 24 skal lyde:
§ 24 Rett til informasjon og innsyn

Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.

Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.

§ 25 overskriften skal lyde:
§ 25 Retting, sperring eller sletting
§ 25 første ledd skal lyde:

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder. Den registrerte kan også kreve at helseopplysninger som behandles etter §§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte, og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.

§ 26 skal lyde:
§ 26 Tilsynsmyndighetene

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.

§§ 27 og 28 oppheves.
§ 29 skal lyde:
§ 29 Overtredelsesgebyr

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

§ 30 annet og fjerde ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

34. I lov 10. april 2015 nr. 17 om finansforetak og finanskonsern skal § 9-8 første ledd lyde:

(1) Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer ansatte i finansforetak, foretak som opptrer som agent eller annen formidler for finansforetak og utenlandsk finansforetak som skal drive eller driver virksomhet her i riket, kan behandle opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

35. I lov 4. september 2015 nr. 85 om gjennomføring av konvensjon 19. oktober 1996 om jurisdiksjon, lovvalg, anerkjennelse, fullbyrdelse og samarbeid vedrørende foreldremyndighet og tiltak for beskyttelse av barn skal § 3 lyde:

§ 3 Taushetsplikt

I tilfeller der norske myndigheter etter konvensjonen har plikt til å gi opplysninger, kan dette skje uten hinder av lovbestemt taushetsplikt. Tilsvarende gjelder der konvensjonen legger til rette for at opplysninger kan gis etter anmodning.

36. I lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner gjøres følgende endringer:

§ 2 bokstav c skal lyde:
  • c) kredittopplysningsforetak: foretak som driver kredittopplysningsvirksomhet i samsvar med personopplysningsloven,

§ 12 første ledd bokstav c skal lyde:
  • c) kredittopplysningsforetak, når disse etter forespørsel fra kredittytere som nevnt i bokstav a og b skal foreta kredittvurdering, eller når disse skal utarbeide kredittscore etter forespørsel fra noen som har saklig behov for å innhente kredittopplysninger, og

§ 13 annet ledd første punktum skal lyde:

Kredittopplysningsforetak kan også utlevere opplysning om kredittscore hvor gjeldsopplysninger inngår i beregningsgrunnlaget, til den som har saklig behov for opplysningen.

37. I lov 16. juni 2017 nr. 53 om endringar i pasient- og brukarrettslova, helsepersonellova m.m. (styrking av rettsstillinga til barn ved yting av helse- og omsorgstenester m.m.) gjøres følgende endringer:

I romertall VII endres følgende:

I § 30 skal nytt annet ledd lyde:

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 16, straffes med bøter eller fengsel inntil ett år.

Någjeldende annet ledd blir tredje ledd.

I romertall VIII endres følgende:

I § 30 skal nytt annet ledd lyde:

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 18, straffes med bøter eller fengsel inntil ett år.

Någjeldende annet ledd blir tredje ledd.

38. I lov 15. desember 2017 nr. 112 om utprøving av selvkjørende kjøretøy skal § 3 første ledd lyde:

Vegtrafikkloven med forskrifter, yrkestransportlova med forskrifter og personopplysningsloven med forskrifter gjelder under utprøving av selvkjørende kjøretøy, med mindre annet følger av denne loven eller forskrifter gitt med hjemmel i denne.

B.

Stortinget ber regjeringen fremme forslag om opphevelse av § 86 i ny åndsverklov som følge av at melde- og konsesjonsplikten avskaffes.

Vedlegg

Vedleggene finnes kun i PDF, se merknadsfelt

Oslo, i justiskomiteen, den 15. mai 2018

Lene Vågslid

Peter Frølich

leder

ordfører