Personopplysningsloven

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk

Lov om behandling av personopplysninger (kortnavn: personopplysningsloven) er en norsk lov som utgjør den viktigste rettskilden innen beskyttelse av personvern. Loven ble vedtatt 14. april 2000 og trådte i kraft 1. januar 2001. Den erstattet personregisterloven av 1978, og gjennomfører personverndirektivet i norsk rett. Loven gir generelle bestemmelser om behandling av personopplysninger, dvs. opplysninger som direkte eller indirekte kan knyttes til en fysisk person.

I juli 2009 sendte Justisdepartementet på høring forslag til endringer i loven.[1] Høringen bygger i stor grad på to utredninger til Justisdepartementet om loven, samt Datatilsynets rapport om fjernsynsovervåking.[2][3]

Virkeområde og hovedregler[rediger | rediger kilde]

Loven gjelder i utgangspunktet for all behandling av personopplysninger, både i privat og offentlig sektor, forutsatt at det benyttes elektroniske hjelpemidler eller at opplysningene skal inngå i et register.[4] Behandling for rent personlige formål er unntatt fra loven[5], det samme gjelder Riksrevisjonens behandling av opplysninger, behandling av hensyn til rikets sikkerhet og behandling knyttet til sivile og strafferettslige saker.[6] Det er også visse unntak av hensyn til ytringsfriheten.[7]

Loven stiller noen grunnkrav til all behandling av personopplysninger[8]:

  • Den behandlingsansvarlige må ha rettslig grunnlag for behandlingen, dvs. enten samtykke fra den registrerte[9], hjemmel i lov eller behandlingen må være nødvendig av hensyn til et av formålene som er nevnt i § 8.
  • Opplysningene skal ha tilfredsstillende kvalitet
  • Opplysningene skal ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker
  • Opplysningene skal ikke lagres lengre enn det som er nødvendige for behandlingen

For sensitive personopplysninger er det enkelte tilleggskrav: behandlingen må som regel ha konsesjon (tillatelse) fra Datatilsynet[10] og behandlingen må oppfylle de skjerpede krav til rettslig grunnlag i § 9. Hvilke opplysninger som skal regnes som sensitive, er uttømmende definert i § 2 nr 8. Helseopplysninger og opplysninger om politisk oppfatning er eksempler på sensitive opplysninger.

Før behandlingen starter, skal den normalt meldes til Datatilsynet.[11] Behandling av sensitive opplysninger krever som regel konsesjon (tillatelse) fra Datatilsynet.[12]

Loven gir i kapittel III den registrerte og allmennheten rett til informasjon fra de behandlingsansvarlige. Fjernsynsovervåking er regulert i kapittel VII. Overtredelse av loven kan straffes med bøter eller fengsel inntil tre år.[13] Dessuten kan Datatilsynet ilegge overtredelsesgebyr eller tvangsmulkt.[14]

Datatilsynet er tilsynsmyndighet på personopplysningslovens område. Tilsynets avgjørelser kan påklages til Personvernnemnda.

I følge Datatilsynet beskytter også loven personer som benytter stjålne kredittkort. Rettmessig eier har ikke krav på opplysninger vedrørende transaksjoner med et stjålet kredittkort, dersom det er oppgitt personlige opplysninger i forbindelse med bruken av det stjålne kortet.

Eksterne lenker[rediger | rediger kilde]

Noter[rediger | rediger kilde]

  1. ^ http://www.regjeringen.no/nb/dep/jd/dok/hoeringer/hoeringsdok/2009/horing--etterkontroll-av-personopplysnin.html?id=570697 Etterkontroll av personopplysningsloven], Justisdepartementet 3.7.2009
  2. ^ Utredning av behov for endringer av personopplysningsloven av Dag Wiese Schartum og Lee Bygrave, 31.3.2006
  3. ^ Utredning om fødselsnummer, fingeravtrykk og annen bruk av biometri i forbindelse med lov om behandling av personopplysninger § 12 av Dag Wiese Schartum i samarbeid med Lee Bygrave, 5.11.2008
  4. ^ § 3
  5. ^ § 3 annet ledd
  6. ^ personopplysningsforskriften § 1-1 til 1-3
  7. ^ § 11
  8. ^ § 11
  9. ^ definert i § 2 nr 7
  10. ^ § 33
  11. ^ § 31, noen behandlinger er unntatt fra meldeplikt, jf. personopplysningsforskriften kapittel 7.
  12. ^ § 33
  13. ^ § 48
  14. ^ §§ 46 og 47