Personopplysningsloven

Lov 15. juni 2018 nr. 38 om behandling av personopplysninger

Kapittel 1. Personvernforordningen

§ 1. Gjennomføring av personvernforordningen

EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.

Kapittel 2. Lovens saklige og geografiske virkeområde

§ 2. Saklig virkeområde og forholdet til andre lover

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.

Loven og personvernforordningen gjelder ikke

  • a)

    ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter

  • b)

    for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).

Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.

Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.

§ 3. Forholdet til ytrings- og informasjonsfriheten

Så langt det er nødvendig for utøvelsen av retten til ytrings- og informasjonsfrihet, gjelder ikke personvernforordningen og loven her ved behandling av personopplysninger for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer. Ved vurderingen av i hvilken utstrekning personvernforordningen og loven her gjelder ved behandlingen, skal det særlig tas hensyn til

  • a)

    samfunnets interesse i behandlingen eller ytringer den leder frem til

  • b)

    atferdsnormer, etiske retningslinjer og selvdømmeordninger eller lignende som bidrar til å ivareta den registrertes personvern ved behandlingen

  • c)

    negative konsekvenser en anvendelse av bestemmelser i personvernforordningen eller loven her kan få for utøvelsen av ytrings- og informasjonsfriheten

  • d)

    konsekvensene behandlingen kan få for den registrerte, og om den registrerte har et særskilt behov for vern.

Uavhengig av hva som følger av første ledd, kan det ikke gjøres unntak fra personvernforordningen artikkel 24, 26, 28, 29, 32, 33 nr. 2 og 40 til 43, jf. kapittel I, VI, VIII, X og XI og kapittel 1, 2, 6 og 7 i loven her.

Når medier som er omfattet av medieansvarsloven, behandler personopplysninger utelukkende for formålene som nevnt i første ledd, gjelder kun bestemmelsene som nevnt i annet ledd.

§ 4. Geografisk virkeområde

Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.

Loven og personvernforordningen gjelder for behandling av personopplysninger om registrerte som befinner seg i Norge, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS, dersom behandlingen er knyttet til

  • a)

    tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller

  • b)

    monitorering av deres atferd, i den grad deres atferd finner sted i Norge.

Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Kapittel 3. Utfyllende regler om behandling av personopplysninger

§ 5. Barns samtykke i forbindelse med informasjonssamfunnstjenester

Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

§ 6. Behandling av særlige kategorier av personopplysninger i arbeidsforhold

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

§ 7. Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift

Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

§ 8. Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

§ 9. Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.

Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.

§ 10. Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.

§ 11. Behandling av personopplysninger om straffedommer og lovovertredelser mv.

Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende også når personopplysninger som nevnt i personvernforordningen artikkel 10 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av

  • a)

    den registrertes samtykke, uten hensyn til om behandlingen utføres under en offentlig myndighets kontroll eller ikke

  • b)

    § 8 i loven her, dersom behandlingen utføres under en offentlig myndighets kontroll.

§ 12. Bruk av fødselsnummer og andre entydige identifikasjonsmidler

Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

§ 12 a. Adgang for offentlige myndigheter til å utlevere personopplysninger i arbeidet mot arbeidslivskriminalitet

Offentlige myndigheter kan utlevere personopplysninger til hverandre når det er nødvendig for å forebygge, avdekke, forhindre eller sanksjonere arbeidslivskriminalitet. Første punktum gjelder ikke personopplysninger som nevnt i personvernforordningen artikkel 9. Departementet kan i forskrift gi nærmere regler om hvilke offentlige myndigheter som kan utveksle personopplysninger etter bestemmelsen her.

Første ledd gjelder ikke der noe annet er bestemt i eller i medhold av lov og gir ikke adgang til utlevering av opplysninger som er omfattet av lovbestemt taushetsplikt

§ 13. Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner

Kongen kan gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

§ 14. Forskrifter om forhåndsdrøfting og forhåndsgodkjenning

Kongen kan gi forskrift om forhåndsdrøfting med Datatilsynet og om forhåndsgodkjenning fra Datatilsynet.

§ 15. Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter

Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.

Kapittel 4. Unntak fra den registrertes rettigheter

§ 16. Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten

Retten til informasjon og innsyn etter personvernforordningen artikkel 13, 14 og 15 omfatter ikke opplysninger som

  • a)

    er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21

  • b)

    det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

  • c)

    det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær

  • d)

    i lov eller med hjemmel i lov er underlagt taushetsplikt

  • e)

    utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser

  • f)

    det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold.

Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter personvernforordningen artikkel 34 gjelder ikke i den utstrekning en slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d.

Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.

§ 17. Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål

Retten til innsyn etter personvernforordningen artikkel 15 gjelder ikke for behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt

  • a)

    det vil kreve en uforholdsmessig stor innsats å gi innsyn eller

  • b)

    innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Retten til retting og begrensning av behandling etter personvernforordningen artikkel 16 og 18 gjelder ikke for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Første og annet ledd gjelder ikke dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte.

Kapittel 5. Personvernombud

§ 18. Personvernombudets taushetsplikt

Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om

  • a)

    noens personlige forhold

  • b)

    tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet

  • c)

    sikkerhetstiltak etter personvernforordningen artikkel 32

  • d)

    enkeltpersoners varsling om overtredelser av loven her.

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

§ 19. Forskrifter om plikt til å utpeke personvernombud

Kongen kan gi forskrift om plikt til å utpeke personvernombud.

Kapittel 6. Tilsyn og klage

§ 20. Datatilsynet

Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.

Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av

  • a)

    bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her

  • b)

    bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.

§ 21. Årsrapport fra Datatilsynet

Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.

§ 22. Personvernnemnda

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.

Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.

Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.

Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.

Personvernnemnda skal årlig orientere Kongen om sin virksomhet.

Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.

§ 23. Tilgang til opplysninger

Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.

Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.

Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.

§ 24. Taushetsplikt

Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.

Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.

§ 25. Partsstilling

Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.

Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Kapittel 7. Sanksjoner og tvangsmulkt

§ 26. Overtredelsesgebyr

Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.

Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.

§ 27. Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr

Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.

Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.

§ 28. Foreldelse

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

§ 29. Tvangsmulkt

Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.

Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.

§ 30. Erstatning for ikke-økonomisk skade

Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Kapittel 8. Uekte kameraovervåkingsutstyr mv.

§ 31. Uekte kameraovervåkingsutstyr mv.

Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.

Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover

§ 32. Ikrafttredelse

Loven trer i kraft fra den tiden Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.

De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.

§ 33. Overgangsregler

Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.

Kongen kan gi nærmere overgangsregler.

§ 34. Endringer i andre lover

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

– – –