Personopplysningsloven

Loven gjelder forbrukerkjøp, hvis ikke noe annet er fastsatt i lov.

Med forbrukerkjøp menes salg av ting til en forbruker når selgeren eller selgerens representant opptrer i næringsvirksomhet.

Med forbruker menes en fysisk person som ikke hovedsakelig handler som ledd i næringsvirksomhet.

Representant som opptrer i næringsvirksomhet er solidarisk ansvarlig med selgeren for dennes forpliktelser dersom ikke forbrukeren blir gjort uttrykkelig oppmerksom på at representanten bare opptrer som mellommann og ikke er solidarisk ansvarlig med selgeren. Ansvaret gjelder ikke når selgeren selv opptrer i næringsvirksomhet.

Loven gjelder bytte av ting så langt den passer.

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.

Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.

Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.

Uavhengig av hva som følger av første ledd, kan det ikke gjøres unntak fra personvernforordningen artikkel 24, 26, 28, 29, 32, 33 nr. 2 og 40 til 43, jf. kapittel I, VI, VIII, X og XI og kapittel 1, 2, 6 og 7 i loven her.

Når medier som er omfattet av medieansvarsloven, behandler personopplysninger utelukkende for formålene som nevnt i første ledd, gjelder kun bestemmelsene som nevnt i annet ledd.

Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.

Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.

Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.

Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.

Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

Offentlige myndigheter kan utlevere personopplysninger til hverandre når det er nødvendig for å forebygge, avdekke, forhindre eller sanksjonere arbeidslivskriminalitet. Første punktum gjelder ikke personopplysninger som nevnt i personvernforordningen artikkel 9. Departementet kan i forskrift gi nærmere regler om hvilke offentlige myndigheter som kan utveksle personopplysninger etter bestemmelsen her.

Første ledd gjelder ikke der noe annet er bestemt i eller i medhold av lov og gir ikke adgang til utlevering av opplysninger som er omfattet av lovbestemt taushetsplikt

Når risikoen for tingen er gått over på forbrukeren, faller ikke forbrukerens plikt til å betale kjøpesummen bort ved at tingen deretter går tapt, skades eller minskes som følge av en hendelse som ikke beror på selgeren.

Risikoen går over på forbrukeren når tingen er overtatt av forbrukeren. Hvis overtakelsestidspunktet er kommet og forbrukeren unnlater å overta en ting som er stilt til hans eller hennes rådighet, har forbrukeren likevel risikoen for tap eller skade som skyldes egenskaper ved tingen selv, for eksempel forråtnelse.

Skal forbrukeren hente tingen på et annet sted enn hos selgeren, går risikoen over når overtakelsestidspunktet er kommet og forbrukeren er kjent med at tingen er stilt til hans eller hennes rådighet på leveringsstedet.

Risikoen går ikke over på forbrukeren før det ved merking, transportdokument eller på annen måte er gjort klart at tingen er tiltenkt forbrukeren.

Ved sendekjøp går risikoen over på forbrukeren når forbrukeren, eller en tredjeperson forbrukeren har pekt ut som ikke er fraktføreren, fysisk har fått varene i sin besittelse. Risikoen går likevel over på forbrukeren når varene overlates til fraktføreren, dersom det er forbrukeren som har gitt fraktføreren transportoppdraget, og det ikke var selgeren som tilbød dette transportalternativet. Annet punktum berører ikke forbrukerens rettigheter overfor fraktføreren.

Er en ting kjøpt og levert på prøve eller for øvrig med rett til tilbakelevering, har forbrukeren risikoen for tingen inntil den igjen er overtatt av selgeren. Dette gjelder likevel ikke når forbrukeren har rett til å levere tingen tilbake etter angrerettloven eller tilsvarende angrefrist etter avtale om forbrukerkjøp.

Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

Forbrukerens rett til erstatning faller ikke bort ved at han eller hun gjør gjeldende andre krav, eller ved at disse ikke kan gjøres gjeldende.

Dersom selgeren ikke i tide oppfyller sine plikter ellers etter kjøpet, gjelder bestemmelsene om forsinkelse tilsvarende så langt de passer. Forbrukeren kan likevel heve avtalen ved forsinkelse av slike plikter først når forsinkelsen er vesentlig. Partene kan avtale en annen løsning.

Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.

Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.

Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.

Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.

Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.

Personvernnemnda skal årlig orientere Kongen om sin virksomhet.

Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.

Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.

Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.

Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.

Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.

Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.

Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.

Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.

Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.

Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.

Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.

Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.

Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.

Loven trer i kraft fra den tiden Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.

De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.

Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.

Kongen kan gi nærmere overgangsregler.

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

– – –