Personopplysningsloven med forskrifter

  Utskriftsvennlig versjon

Lov nr 31 av 14.april 2000 om behandling av personopplysninger trådte i kraft 01.01.2001 og erstatter personregisterloven og er en del av EØS-avtalen.

Personopplysningsloven viderefører flere bestemmelser i den tidligere personregisterloven. Samtidig innfører den noen nye og grunnleggende begreper og bestemmelser. De tidligere bestemmelser gjaldt bare for personopplyninger som inngikk i et personregister. I den nye loven har man valgt å knytte lovens anvendelsesområde opp mot behandling av personopplysninger.

I lovens §2 nr 2 er behandling etter loven definert og følgende kan nevnes som eksempel:

Innsamling, registrering, systematisering, oppbevaring, tilpassing eller endring, blokkering, sletting eller tilintetgjøring, seleksjon, søking, bruk, utlevering/utvidelse og sammenstilling/ samkjøring/kobling.

Loven gir nye plikter for virksomheter som behandler personopplysninger, og nye rettigheter for dem som blir registrert.

Loven innfører meldeplikten for behandling av personopplysninger. For behandling av personopplysninger gjelder også bruk av kameraovervåking. Med unntak for registre som er hjemlet i en særlov, kreves det konsesjon for behandling av sensitive opplysninger.

Den som blir registrert har rett til å

  • få innsyn i behandlingen av personopplysninger om seg selv. Dette skal være kostnadsfritt.
  • få rettet mangelfulle opplysninger om seg selv.
  • reservere seg mot direkte markedsføring.

Meldeplikt og konsesjon

Etter den nye loven foreligger det meldeplikt for de som ønsker å behandle personopplysninger.

Det skilles mellom personopplysninger og sensitive opplysninger. Det kreves som hovedregel konsesjon fra Datatilsynet for å behandle sensitive opplysninger. I lovens §2.8 er følgende ansett som sensitive opplysninger:

Rasemessige bakgrunn, etnisk bakgrunn, politisk oppfatning, filosofisk oppfatning, religiøs oppfatning, at en person har mistenkt, siktet, tiltalt eller dømt for straffbare forhold, helseforhold, seksuelle forhold og medlemskap i fagforeninger

I visse tilfelle kan sensitive opplysninger behandles uten at det er nødvendig å søke om konsesjon. Men selv om det ikke kreves konsesjon for behandling, må det som utgangspunkt alltid sendes melding til Datatilsynet. Følgende unntak foreligger:

  • det kreves ikke konsesjon for behandling av sensitive opplysninger som den registrerte har avgitt uoppfordret (dvs frivillig og på eget initiativ)
  • det kreves ikke konsesjon for behandling av opplysninger i stat og kommune når behandling har hjemmel i egen lov
  • videre er det gitt unntak fra konsesjonsplikten i forskrifter i personopplysningsloven. blant annet arbeidsgivers behandling av opplysninger om ansatte, forutsatt at den registrerte har samtykket i at opplysningene er knyttet til arbeidsforholdet

Personregisterforskriften og nærmere bestemmelser om hvilke arkiver som er fritatt for konsesjonsplikt finner du på hjemmesiden til Datatilsynet .

Hele loven finner du på Lovdata

Det ble også utarbeidet en NOU i 2009 som het: Individ og integretet - personvern i det digitale samfunnet.