F15.12.2000 nr 1265
Forskrift om behandling av personopplysninger (personopplysningsforskriften)
2014-09-01
personopplysningsforskriften; personvernforskriften; personopplysningsforskrift; personvernforskrift
Hjemmel: L14.04.2000 nr. 31
Personopplysningsforskriften
Fastsatt ved kgl.res. 15. desember 2000 med hjemmel i lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven)
§ 3, § 4, § 12, § 13, § 14, § 26, § 30, § 31, § 32, § 33, § 41, § 43, § 44, § 48 og § 51. Fremmet av Justis- og politidepartementet.
Endret ved F23.12.2004 nr 1798 i kraft 01.01.2004, F06.05.2005 nr 408 i kraft 01.07.2005, F23.08.2005 nr 923 i kraft straks,
F16.02.2006 nr 200 i kraft straks, F05.06.2007 nr 1092 i kraft 01.01.2008, F24.04.2008 nr 396 i kraft straks, F29.01.2009
nr 84 i kraft 01.03.2009, F05.06.2009 nr 598 i kraft straks, F07.05.2010 nr 654 i kraft 11.06.2010, F09.08.2013 nr. 970 i kraft straks / fra den tid dept. bestemmer, F19.08.2013 nr. 1001 i kraft straks,
F24.04.2014 nr. 569 i kraft 01.07.2014.
Kapittel 1. Personopplysningslovens virkeområde
§ 1-1. Riksrevisjonens behandling av personopplysninger
§ 1-2. Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet
Behandling av personopplysninger som er nødvendig av hensynet til rikets sikkerhet eller de alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personopplysningsloven § 44første til tredje ledd, samt fra loven §§ 31 og 33.
Uenighet mellom behandlingsansvarlig og Datatilsynet om utstrekningen av unntaket avgjøres av Personvernnemnda.
§ 1-3. Behandling av personopplysninger i rettspleien mv.
§ 1-4. Svalbard
Personopplysningsloven med forskrift gjelder for behandlingsansvarlige som er etablert på Svalbard.
Datatilsynet kan ved enkeltvedtak gi dispensasjon fra de enkelte bestemmelser i personopplysningsloven dersom stedlige forhold gjør det nødvendig.
§ 1-5. Jan Mayen
Personopplysningsloven med forskrift gjelder for behandlingsansvarlige som er etablert på Jan Mayen.
Kapittel 2. Informasjonssikkerhet
§ 2-1. Forholdsmessige krav om sikring av personopplysninger
Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene.
Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikkerhetsbrudd.
§ 2-2. Pålegg fra Datatilsynet
Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
§ 2-3. Sikkerhetsledelse
Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges.
Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål.
Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi.
Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat.
Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi.
§ 2-4. Risikovurdering
Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten.
Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og § 2-2.
Resultatet av risikovurderingen skal dokumenteres.
§ 2-5. Sikkerhetsrevisjon
Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.
Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.
Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2-6.
Resultatet fra sikkerhetsrevisjon skal dokumenteres.
§ 2-6. Avvik
Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik.
Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne årsaken til avviket og hindre gjentagelse.
Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles.
Resultatet fra avviksbehandling skal dokumenteres.
§ 2-7. Organisering
Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet.
Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder.
Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås.
Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den behandlingsansvarliges daglige leder.
Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner.
§ 2-8. Personell
Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk.
Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt.
Autorisert bruk av informasjonssystemet skal registreres.
§ 2-9. Taushetsplikt
Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten.
§ 2-10. Fysisk sikring
Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her.
Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betydning for informasjonssikkerheten.
Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for behandlingen av personopplysninger.
§ 2-11. Sikring av konfidensialitet
Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig.
Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten.
Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på annen måte når konfidensialitet er nødvendig.
For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte.
Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet.
§ 2-12. Sikring av tilgjengelighet
Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig.
Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten.
Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er utilgjengelig for normal bruk.
Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres.
§ 2-13. Sikring av integritet
Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig.
Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten.
Det skal treffes tiltak mot ødeleggende programvare.
§ 2-14. Sikkerhetstiltak
Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk.
Forsøk på uautorisert bruk av informasjonssystemet skal registreres.
Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre.
Sikkerhetstiltak skal dokumenteres.
§ 2-15. Sikkerhet hos andre virksomheter
Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her.
Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven §§ 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.
Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informasjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet.
Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører. Ansvars- og myndighetsforhold skal beskrives i særskilt avtale.
Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører, og jevnlig forsikre seg om at strategien gir tilfredsstillende informasjonssikkerhet.
§ 2-16. Dokumentasjon
Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres.
Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave.
Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.
Kapittel 3. Internkontroll
§ 3-1. Systematiske tiltak for behandling av personopplysninger
Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopplysningsloven § 14. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i medhold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven § 13.
Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.
Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herunder ha rutiner for
b) vurdering av formål med behandling av personopplysninger i samsvar med personopplysningsloven § 11 bokstav a,
c) vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven §§ 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik,
e) oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven §§ 25 og 26,
f) oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven §§ 31 til 33.
Databehandlere som behandler personopplysninger på oppdrag fra behandlingsansvarlige, skal behandle opplysningene i samsvar med rutiner behandingsansvarlige har oppstilt.
§ 3-2. Dispensasjon
Datatilsynet kan dispensere fra hele eller deler av dette kapittelet når særlige forhold foreligger.
Kapittel 4. Kredittopplysningsvirksomhet
§ 4-1. Forholdet til personopplysningsloven
Bestemmelsene i personopplysningsloven gjelder for behandlingen av personopplysninger i kredittopplysningsvirksomhet dersom annet ikke følger av forskriften.
Personopplysningsloven gjelder også for behandling av kredittopplysninger om andre enn enkeltpersoner.
§ 4-2. Definisjon av kredittopplysningsvirksomhet
Med kredittopplysningsvirksomhet menes i kapittelet her virksomhet som består i å gi meddelelser som belyser kredittverdighet eller økonomisk vederheftighet (kredittopplysning). Kapittelet gjelder ikke bruk av opplysninger innen et foretak, og heller ikke i forhold til foretak innen samme konsern med mindre opplysningene blir gitt av et foretak som driver kredittopplysningsvirksomhet. Det gjelder heller ikke avgivelse av opplysninger til annet kredittopplysningsforetak som loven gjelder for, dersom opplysningene skal brukes i dette foretakets kredittopplysningsvirksomhet.
Følgende virksomheter regnes ikke som kredittopplysningsvirksomhet:
a) meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre,
b) Endring meldinger fra banker, jf. sentralbankloven, husbankloven, sparebankloven og forretningsbankloven, og fra finansieringsselskaper, jf. finansieringsvirksomhetsloven, i forbindelse med uttak fra konto og utføring av betalingstjenester. Det samme gjelder når slike meldinger formidles for bank eller finansieringsselskap av et utenforstående foretak,
c) meldinger til den opplysningene gjelder,
d) Endring utgivelse av offentlig utlagt ligning i henhold til ligningsloven § 8-8,
e) Brønnøysundregistrenes behandling av lovpålagte registre.
f) Endring meldinger fra Løsøreregisteret om registrerte utleggstrekk og forretninger om "intet til utlegg".
§ 4-3. Utlevering av kredittopplysninger
Endring Kredittopplysning kan bare gis til den som har saklig behov for den. Kredittopplysning skal gis på ikke-diskriminerende vilkår til kredittgivere fra EØS-stater.
Kredittopplysning skal gis skriftlig enten elektronisk eller papirbasert. Kredittopplysningen kan likevel gis muntlig dersom den ikke inneholder noe som kan bli anført mot den opplysningen gjelder, eller kredittopplysningen av praktiske grunner må gis uten opphold. Blir en kredittopplysning gitt muntlig, skal opplysningen og bestillerens navn og adresse noteres og oppbevares minst 6 måneder. Inneholder opplysningen noe som kan bli anført mot den opplysningen gjelder, skal den bekreftes skriftlig.
Kredittopplysningen kan gis ved utsending av publikasjoner eller lister, dersom publikasjonen eller listen bare inneholder opplysninger om næringsdrivende, og opplysningene er gitt i summarisk form. Slike publikasjoner kan bare gis til den som er medlem eller abonnent hos den som behandler kredittopplysningen.
Avtaler som går ut på at bestilleren skal få vite det kredittopplysningsforetaket blir kjent med i framtiden, kan bare omfatte opplysninger om næringsdrivende.
§ 4-4. Innsynsrett og informasjon til den registrerte
Dersom kredittopplysning om enkeltpersoner blir gitt eller bekreftet skriftlig, skal kredittopplysningsforetaket samtidig vederlagsfritt sende gjenpart, kopi eller annen melding om innholdet til den det er bestilt opplysninger om. Den registrerte skal oppfordres til å be om at eventuelle feil rettes.
Juridiske personers rett til innsyn følger av personopplysningsloven § 18.
Den registrerte kan også kreve å få opplyst hvilke kredittopplysninger som er gitt om vedkommende de siste seks måneder, hvem disse er gitt til og hvor de er innhentet fra.
§ 4-5. Tillatelse til å drive kredittopplysningsvirksomhet
Et foretak kan ikke behandle personopplysninger i kredittopplysningsvirksomhet før Datatilsynet har gitt konsesjon. Det samme gjelder for kredittopplysninger for andre enn enkeltpersoner.
§ 4-6. Gyldighet av konsesjoner gitt i medhold av personregisterloven
§ 4-7. Datatilsynets kompetanse
Dersom særlige grunner taler for det, kan Datatilsynet ved enkeltvedtak frita den behandlingsansvarlige fra plikter som følger av bestemmelser i kapittelet her.
Kapittel 5. [opphevet]
§ 5-1. [opphevet]
§ 5-2. [opphevet]
§ 5-3. [opphevet]
§ 5-4. [opphevet]
Kapittel 6. Overføring av personopplysninger til utlandet
§ 6-1. EU-kommisjonens beslutninger om beskyttelsesnivået i tredjeland
Kommisjonens beslutninger etter direktiv 95/46/EF artikkel 25 og 26, jf. 31 gjelder også for Norge i samsvar med EØS-komiteens beslutning nr. 83/1999 (av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI), med mindre reservasjonsadgangen er benyttet.
Datatilsynet skal sørge for at beslutningene etterleves.
§ 6-2. Datatilsynets vurdering av beskyttelsesnivået i tredjeland
Dersom Datatilsynet kommer til at et tredjeland ikke har et tilfredsstillende beskyttelsesnivå ved behandling av personopplysninger, skal Datatilsynet gi melding til EU-kommisjonen og de øvrige medlemsstater om sin beslutning.
Dersom Datatilsynet, etter en konkret vurdering i henhold til direktiv 95/46/EF artikkel 26 nr. 2, allikevel tillater overføring av personopplysninger til et tredjeland som ikke sikrer et tilfredsstillende beskyttelsesnivå i henhold til direktiv 95/46/EF artikkel 25 nr. 2, skal Datatilsynet gi melding til EU-kommisjonen og øvrige medlemsstater om sin beslutning.
Dersom Kommisjonen eller andre medlemsstater har innsigelser mot Datatilsynets beslutninger i henhold til andre ledd, og Kommisjonen treffer tiltak, skal Datatilsynet sørge for at beslutningen etterleves.
§ 6-3. Varslingsplikt ved overføring av personopplysninger til databehandlere i tredjeland
Overføring av personopplysninger til tredjeland som ikke har et tilfredsstillende beskyttelsesnivå kan skje uten forhåndsgodkjenning fra Datatilsynet etter personopplysningsloven § 30annet ledd, forutsatt at mottaker av opplysningene er en databehandler og grunnlaget for overføringen er EUs standardkontrakt inntatt i kommisjonsbeslutning 2010/87/EU datert 5. februar 2010. Den behandlingsansvarlige skal varsle Datatilsynet om overføringen ved innsending av utfylt og signert standardkontrakt. Overføringen kan finne sted når varsel er sendt.
Med tredjeland menes alle land som ikke har gjennomført direktiv 95/46/EF, og som heller ikke er godkjent ved EU-kommisjonsbeslutning, jf. § 6-1.
Kapittel 7. Melde- og konsesjonsplikt
I. Konsesjonsplikt m.m
§ 7-1. Konsesjonsplikt for behandling av personopplysninger i telesektoren
Tilbydere av teletjenesters behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av tjenester i forbindelse med abonnentens bruk av telenett er konsesjonspliktig etter personopplysningsloven.
Med tilbydere av teletjenester menes her virksomhet som i næringsøyemed formidler telekommunikasjon helt eller delvis ved hjelp av overføring i telenett, som ikke er kringkasting.
§ 7-2. Konsesjonsplikt for behandling av personopplysninger i forsikringsbransjen
Tilbydere av forsikringstjenesters (jf. forsikringsvirksomhetsloven) behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av forsikringsavtaler er konsesjonspliktige etter personopplysningsloven.
§ 7-3. Konsesjonsplikt for bankers og finansinstitusjoners behandling av personopplysninger
Bankers og finansinstitusjoners (jf. sentralbankloven, husbankloven, sparebankloven, forretningsbankloven og finansieringsvirksomhetsloven) behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av banktjenester er konsesjonspliktige etter personopplysningsloven.
§ 7-4. Datatilsynets kompetanse
Dersom særlige grunner tilsier det, kan Datatilsynet beslutte at en behandling av personopplysninger som faller inn under § 7-14 til § 7-17 [7-14, 7-15, 7-16, 7-17] og § 7-23 til § 7-27 [7-23, 7-24, 7-25, 7-26, 7-27] i forskriften her, likevel skal reguleres av personopplysningsloven § 31 eller § 33.
§ 7-5. Meldeskjema
Melding til Datatilsynet skal gis på skjema utferdiget av Datatilsynet og etter regler for innsendelse som Datatilsynet har utarbeidet.
II. Behandlinger som er unntatt fra meldeplikt
§ 7-6. Unntak fra meldeplikt
§ 7-7. Kunde-, abonnent- og leverandøropplysninger
Behandling av personopplysninger om kunder, abonnenter og leverandører er unntatt fra meldeplikten etter personopplysningsloven § 31 første ledd. Det samme gjelder opplysninger om tredjeperson som er nødvendig for gjennomføring av kontraktsforpliktelser.
Unntak fra meldeplikt gjelder bare dersom personopplysningene behandles som ledd i administrasjon og gjennomføring av kontraktsforpliktelser.
§ 7-8. Opplysninger i boligforhold
Behandling av personopplysninger som ledd i administrasjon og gjennomføring av forpliktelser ved eie eller leie av fast eiendom er unntatt fra meldeplikten etter personopplysningslovens § 31første ledd. Dette omfatter alle leie- og eieforhold slik som opplysninger om leietakere i husleieforhold, sameiere i boligsameie og andelshavere i borettslag og boligaksjeselskap.
§ 7-9. Aksjebok
Behandling av personopplysninger som pålagt i aksjeloven § 4-5 og allmennaksjeloven § 4-4 er unntatt fra meldeplikt etter personopplysningsloven § 31første ledd.
Unntak fra meldeplikt gjelder bare dersom formålet med behandlingen er å ivareta de forpliktelser aksjeloven pålegger det enkelte selskap.
§ 7-10. Protokollføring av mekling
Endring Behandling av personopplysninger i forbindelse med føring av meklingsprotokoll pålagt etter barnelova og ekteskapsloven er unntatt fra meldeplikt etter personopplysningsloven § 31første ledd.
Unntak fra meldeplikt gjelder bare dersom formålet med behandlingen er å kontrollere at mekling har funnet sted, å evaluere og å planlegge meklingsordningen, eller å gi grunnlag for statistiske analyser.
§ 7-11. Aktivitetslogg i edb-system eller datanett
Behandling av personopplysninger som følge av registrering av aktiviteter (hendelser) i et edb-system, samt behandling av personopplysninger om disposisjoner til ressurser i systemet, er unntatt fra meldeplikten etter personopplysningsloven § 31 første ledd.
Unntak fra meldeplikt gjelder bare dersom behandlingen har som formål
a) å administrere systemet, eller
b) å avdekke/oppklare brudd på sikkerheten i edb-systemet.
Personopplysninger som fremkommer som følge av behandlinger etter annet ledd, kan ikke senere behandles for å overvåke eller kontrollere den enkelte.
§ 7-12. Personvernombud
Datatilsynet kan samtykke i at det gjøres unntak fra meldeplikt etter personopplysningsloven § 31første ledd, dersom den behandlingsansvarlige utpeker et uavhengig personvernombud som har i oppgave å sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift. Personvernombudet skal også føre en oversikt over opplysningene som nevnt i personopplysningsloven § 32.
III. Behandlinger som er unntatt fra konsesjonsplikt og meldeplikt
§ 7-13. Unntak fra konsesjonsplikt og meldeplikt
Behandlinger som omfattes av dette kapittelet, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
Unntak fra konsesjonsplikt og meldeplikt forutsetter at personopplysningene behandles i tråd med det formålet som følger av den enkelte bestemmelse. Personopplysningslovens regler om behandling av personopplysninger i kapitlene I til V, samt VII til IX, skal følges selv om behandlingen er unntatt fra konsesjonsplikt og meldeplikt.
§ 7-14. Sensitive kundeopplysninger
Behandling av sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8, om kunder er unntatt fra konsesjonsplikten etter loven § 33første ledd og fra meldeplikten etter § 31første ledd.
Unntaket fra konsesjonsplikt og meldeplikt gjelder bare dersom den registrerte har samtykket i registrering og behandling av de sensitive opplysningene, og opplysningene er nødvendige for gjennomføring av en kontraktsforpliktelse.
Personopplysningene kan bare behandles som et nødvendig ledd i administrasjon og gjennomføring av kontraktsforpliktelser.
§ 7-15. Foreningers medlemsopplysninger
Foreningers behandling av medlemsopplysninger er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
For behandling av sensitive personopplysninger gjelder unntaket fra konsesjonsplikt og meldeplikt bare dersom den registrerte har samtykket i registrering og behandling av de sensitive opplysningene, og opplysningene har nær og naturlig sammenheng med medlemskapet i foreningen.
Personopplysningene kan bare behandles som et nødvendig ledd i administrasjon av foreningens virksomhet.
§ 7-16. Personalregistre mv.
Arbeidsgivers behandling av ikke-sensitive personopplysninger om nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling er unntatt meldeplikt etter personopplysningsloven § 31første ledd.
Dersom det behandles sensitive personopplysninger, er behandlingen unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd, men underlagt meldeplikten etter § 31første ledd. Unntak fra konsesjonsplikt gjelder under forutsetning av at:
a) den registrerte har samtykket i behandlingen eller behandlingen er fastsatt i lov,
b) opplysningene er knyttet til arbeidsforholdet, og
c) personopplysningene behandles som ledd i personaladministrasjonen.
Meldeplikt etter andre ledd gjelder likevel ikke behandling av
a) opplysninger om medlemskap i fagforeninger som nevnt i personopplysningsloven § 2 nr. 8 bokstav e,
b) Endring nødvendige fraværsopplysninger og opplysninger som er registreringspliktige i henhold til arbeidsmiljøloven § 5-1,
c) opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold.
§ 7-17. Personopplysninger om offentlige representanter
Endring Behandling av personopplysninger om organets valgte eller oppnevnte representanter i organ opprettet i medhold av kommuneloven eller kirkeloven er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
Det samme gjelder for behandling av personopplysninger om Stortingets representanter eller medlemmer av Stortingets komiteer.
§ 7-18. Domstolenes behandling av personopplysninger
Domstolenes behandling av personopplysninger i forbindelse med domstolenes virksomhet (herunder registrerings- og notarialforretninger og lignende som utføres ved et dommerkontor) er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
§ 7-19. Tilsynsmyndighetens behandling av personopplysninger
Datatilsynets behandling av personopplysninger etter personopplysningsloven § 42, er unntatt fra konsesjonsplikt etter § 33første ledd og fra meldeplikt etter § 31første ledd.
Fortegnelser som nevnt i personopplysningsloven § 42tredje ledd nr. 1 skal også inneholde opplysninger om Datatilsynets personopplysningsbehandling.
Første og andre ledd gjelder tilsvarende for Personvernnemnda.
§ 7-20. Elev- og studentopplysninger ved skoler og universiteter mv.
Behandling av personopplysninger om elever og studenter som skjer i medhold av opplæringslova eller universitets- og høyskoleloven eller etter samtykke fra den enkelte elev eller foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
§ 7-21. Opplysninger om barn i barnehager og skolefritidsordninger
Behandling av personopplysninger om barn i barnehage eller skolefritidsordninger i medhold av barnehageloven og opplæringslova eller etter samtykke fra foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
IV. Behandlinger som er unntatt fra konsesjonsplikt, men underlagt meldeplikt
§ 7-22. Elev- og studentopplysninger ved skoler og universiteter mv.
Behandling av personopplysninger om elever og studenter som skjer i medhold av lov av 17. juli 1998 nr. 61 om grunnskolen og den vidaregåande opplæringa (opplæringslova) eller lov av 12. mai 1995 nr. 22 om universiteter og høgskoler (universitetsloven) eller etter samtykke fra den enkelte elev eller foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
§ 7-23. Klientregistre
Endring Behandling av personopplysninger i forbindelse med virksomhet som er regulert av domstolloven kapittel 11 om rettshjelpvirksomhet og advokater, revisorloven, eiendomsmeglingsloven og verdipapirhandelloven er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd.
Unntak fra konsesjonsplikt gjelder bare behandling innenfor rammene av lovgivningen som er nevnt i første ledd.
§ 7-24. Hvitvaskingsregistre og tilknyttet behandling av personopplysninger
Endring Rapporteringspliktiges behandling av personopplysninger til bruk i forbindelse med pålagt undersøkelses- og rapporteringsplikt etter hvitvaskingsloven, jf. forskrift 13. mars 2009 nr. 302 om tiltak mot hvitvasking og terrorfinansiering mv., er unntatt fra konsesjonsplikt etter personopplysningsloven § 33første ledd. Unntaket omfatter bare opplysninger som fremkommer ved institusjonens undersøkelser etter hvitvaskingsloven.
Unntaket fra konsesjonsplikt gjelder bare dersom
a) det utelukkende behandles opplysninger som fremkommer ved institusjonens undersøkelser etter hvitvaskingsloven, og
b) personopplysningene behandles for det formål som følger av hvitvaskingsloven og tilhørende forskrifter.
§ 7-25. Behandling av pasientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig autorisasjon eller gitt lisens
Behandling av pasient-/klientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig godkjenning, er unntatt fra konsesjonsplikt etter personopplysningsloven § 33første ledd.
Unntak fra konsesjonsplikt gjelder bare dersom personopplysningene behandles i forbindelse med:
a) behandling og oppfølging av den enkelte pasient, eller
b) utarbeidelse av statistikk.
§ 7-26. Behandling av pasientopplysninger hos helsepersonell som er underlagt offentlig autorisasjon eller gitt lisens
Endring Behandling av pasient-/klientopplysninger hos offentlig autorisert helsepersonell og helsepersonell som er gitt lisens, jf. helsepersonelloven § 48 og § 49, er unntatt fra konsesjonsplikt etter personopplysningsloven § 33første ledd.
Unntak fra konsesjonsplikt gjelder bare dersom personopplysningene behandles i forbindelse med:
a) behandling og oppfølging av den enkelte pasient,
b) arbeid som oppnevnt sakkyndig, eller
c) utarbeidelse av statistikk.
§ 7-27. Forskningsprosjekter
Behandling av personopplysninger i forbindelse med et forskningsprosjekt er unntatt fra konsesjonsplikt etter personopplysningslovens § 33første ledd dersom prosjektet er tilrådd av personvernombud. Omfatter prosjektet medisinsk og helsefaglig forskning, skal det i tillegg være tilrådd av en regional forskningsetisk komité.
Forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte, er ikke unntatt. Unntaket omfatter bare frafallsanalyser (analyser av fordelinger over utdanning, inntekt og ytelser m.m. blant fremmøtte og ikke-fremmøtte for å beregne betydningen av frafallet) i den grad de er basert på samtykke.
Merknader til § 7-27
Utgangspunktet for bestemmelsen er at det ikke oppstilles konsesjonsplikt, kun meldeplikt. Tidligere § 7-27 oppstilte vilkår for hvordan førstegangskontakt skulle opprettes, samtykke, tidspunkt for prosjektavslutning, anonymisering eller sletting ved prosjektavslutning og at prosjektet ikke skulle sammenstille personregistre elektronisk. Personvernelementene disse kravene ivaretok er også ivaretatt i lovgivningen. Hvordan førstegangskontakt opprettes er i stor grad et forskningsetisk spørsmål, likevel slik at enkelte fremgangsmåter er mindre problematiske i et personvernperspektiv enn andre. Datatilsynet legger til grunn at REK og personvernombudene ivaretar dette aspektet. At samtykke er den klare hovedregel for behandling av personopplysninger følger direkte av personopplysningslovens § 8 og § 9. I den grad personvernombudene skal kunne akseptere unntak fra hovedregelen forventes at forskeren begrunner behovet for dette på en tilfredsstillende måte. Begrunnelsen vil være et viktig element i Datatilsynets etterkontroll. Videre er det en forutsetning for at et samtykke skal være gyldig at det informeres om hvor lenge personopplysningene skal oppbevares, jf. § 2 nr. 7. Dette kravet følger også av informasjonsplikten etter § 19 flg. Anonymisering eller sletting skal normalt skje ved prosjektavslutning. Når det gjelder elektronisk sammenstilling er ikke det i seg selv problematisk i et personvernperspektiv. Antallet inkluderte, parametre og om materialet avidentifiseres eller anonymiseres umiddelbart etter sammenstillingen er viktigere.
Det oppstilles som et vilkår for at unntaket kommer til anvendelse at prosjektet er tilrådd av et personvernombud. Videre oppstilles som vilkår at prosjektet er tilrådd av en regional komité for medisinsk forskningsetikk (REK) dersom prosjektet omfatter medisinsk og helsefaglig forskning. Endringen innebærer på denne måten en begrensning i konsesjonsplikten, men utvidet meldeplikt for forskere ved institusjoner som er tilknyttet et personvernombud. For de som ikke er tilknyttet personvernombud innebærer det imidlertid en utvidelse av konsesjonsplikten.
For prosjekter som ikke anses som medisinsk eller helsefaglig forskning er det tilstrekkelig med tilrådning fra personvernombudet. Ettersom det i dag bare foreligger krav om fremleggelse innen medisinsk og helsefaglig forskning, forutsettes det særlig aktpågivenhet fra forskere innen andre samfunnsområder. Samtidig krever det at personvernombudet har kjennskap til forskningsetikk og på eget initiativ forelegger prosjekter som oppfattes som forskningsetisk tvilsomme for en komité. Personvernombudene skal også forelegge saker det finner problematisk å tilrå for Datatilsynet, eventuelt anbefale Datatilsynet å utføre forhåndskontroll.
I bestemmelsens annet ledd avgrenses det mot forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte. I dette ligger også opprettelse av store samlinger (registre) av personopplysninger, ment som grunnlag for andre enkeltstående prosjekter. Omfanget må her relateres både til antallet involverte forskningsobjekter og mengden opplysninger som registreres om den enkelte. Unntaket fra konsesjonsplikt vil ikke gjelde for denne typen registre.
Når det gjelder presiseringen om at unntaket ikke omfatter forskningsprosjekter av stort omfang, er det lagt til grunn at prosjekter som omfatter 5000 forskningsobjekter er store av omfang. Bakgrunnen for antallet 5000 er at langt de fleste prosjekter omfatter et mye lavere antall deltakere, samtidig som de store folkehelseundersøkelsene uansett omfattes av forhåndskontroll. Sett i forhold til kravet om varighet, fremstår antallet som akseptabelt i et personvernperspektiv.
Når det gjelder varighet legges det til grunn at en alminnelig doktoravhandling har varighet på 3 til 6 år, og at prosjekter ut over denne tidsangivelse bør kunne anses som langvarige. Det er likevel lagt til grunn her at det kun er prosjekter med varighet ut over 15 år som vurderes som langvarige. Tidsangivelsen innebærer at dersom et prosjekt, som i utgangspunktet ikke var antatt å skulle ha varighet over 15 år, likevel overskrider tidsangivelsen, inntrer krav om forhåndskontroll (konsesjon).
Forskning på store datasett er likevel unntatt fra konsesjonsplikt dersom materialet forskeren innehar er pseudonymisert eller avidentifisert på annen sikker måte. Kravet om pseudonymisering eller avidentifisering på annen sikker måte innebærer at forsker, eller institusjonen forsker er ansatt, ikke kan oppbevare koblingsnøkkelen. Det ligger også i dette at antallet og type parametre ikke kan være av en slik karakter at det er mulig å "bakveisidentifisere" de inkluderte.
De store befolkningsundersøkelsene i regi av Folkehelseinstituttet, JANUS-banken og det såkalte tvillingregisteret/arvelighetsregisteret ved Universitetet i Oslo er typiske eksempler på registre som ikke er unntatt fra konsesjonsplikten. Dette er omfattende registre, både med hensyn til varighet, antallet forskningsobjekter og mengden opplysninger som registreres. Det er ikke avgjørende for spørsmålet om undersøkelsen er konsesjonspliktig om det behandles biologisk materiale eller ikke. Folkehelseundersøkelser hvor det også samles inn biologisk materiale vil vanskelig kunne omfattes av unntaket. Dette vil imidlertid ha grunnlag i at undersøkelsene gjennomgående vil være av permanent karakter og være grunnlag for enkeltstående prosjekter/studier.
Behandling av opplysninger i enkeltstående prosjekter som har grunnlag i et konsesjonspliktig register må vurderes konkret etter eventuelle konsesjonsvilkår og bestemmelsen her. Det opprettholdes ikke konsesjonsplikt på generelt grunnlag for tilgang til opplysninger fra de store konsesjonsbelagte og forskriftsregulerte registrene.
I grensedragningen mellom prosjekter unntatt konsesjonsplikt og de øvrige, er det den enkelte forsker, som sammen med personvernombud best kan vurdere om de hensyn som taler for forhåndskontroll for det enkelte prosjekt. Dette kan være grunnet antall involverte personer, opplysningenes sensitivitet og lengden på prosjektet. Prosjekter er ofte av forskjellig karakter, samtidig som det ikke bare er de kvantitative størrelsene som er avgjørende, men omfanget av personopplysninger som skal innsamles og analyseres.
Det er i annet ledd også presisert at unntaket ikke omfatter såkalte frafallsanalyser, med mindre disse er basert på samtykke. Med frafallsanalyser er ment analyser av fordelinger over utdanning, inntekt og ytelser med mere blant fremmøtte og ikke-fremmøtte for å beregne betydningen av frafallet. I et personvernperspektiv står ikke-samtykkebaserte frafallsanalyser i en særstilling og skal derfor underlegges forhåndskontroll fra Datatilsynet. Grunnen til at denne type analyser er spesielt personvernmessig problematisk er at personer som har valgt ikke å være med i en studie, likevel inkluderes. Tilsynet har forståelse for at det i enkelte sammenhenger kan være behov for å vurdere utvalgets sammensetning, men når disse analysene forutsetter at det inkluderes relativt mange opplysninger om personer som har takket nei til deltagelse, og som forutsetningsvis legger til grunn at forskeren respekterer dette, medfører det et behov for en særlig vurdering dersom inklusjon mot deres vilje skal kunne aksepteres.
Behandling av helseopplysninger i forbindelse med medisinsk forskning er ofte omhandlet av helseregisterlovens virkeområde. Personopplysningsloven og personopplysningsforskriftens bestemmelser om meldeplikt kommer imidlertid også til anvendelse for prosjekter omfattet av helseregisterloven. Det følger av helseregisterlovens § 5 at helseopplysninger bare kan behandles elektronisk når dette er tillatt etter personopplysningslovens § 9 og § 33, eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Personopplysningslovens § 33 gjelder konsesjonsplikt. Videre følger det av helseregisterlovens § 36 at i den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.
Endringen har ikke betydning for konsesjons- eller meldeplikten for studier som allerede er startet. Endringen skal imidlertid legges til grunn dersom studien endrer karakter på en slik måte at det er nødvendig å sende melding om endring eller søke om endring av konsesjon.
Kapittel 8. Kameraovervåking
§ 8-1. Virkeområde
§ 8-2. [opphevet]
§ 8-3. Politiets bruk av opptak
Personopplysningsloven § 11første ledd bokstav c er ikke til hinder for at politiet bruker opptak det er i besittelse av, i forbindelse med forebygging av straffbare handlinger, i forbindelse med oppklaring av ulykker eller i saker om ettersøking av forsvunne personer.
Innsynsrett etter personopplysningsloven kan ikke gjøres gjeldende i opptak som politiet er i besittelse av, eller opptak som kan være av betydning for rikets eller dets alliertes sikkerhet, andre vitale nasjonale sikkerhetsinteresser og forholdet til fremmede makter.
§ 8-4. Sletting av opptak
Opptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf. personopplysningsloven § 28.
Opptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punktum gjelder likevel ikke dersom det er sannsynlig at opptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan opptakene oppbevares inntil 30 dager.
Opptak gjort i post- og banklokaler skal slettes senest tre måneder etter at opptakene er gjort.
Sletteplikten etter andre og tredje ledd gjelder ikke
a) for opptak som politiet er i besittelse av,
b) for opptak som kan være av betydning for rikets eller dets alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, eller
c) hvor den som er avbildet samtykker i at opptakene oppbevares lenger.
Dersom sletteplikten etter første ledd oppstår for opptak som er utlevert til politiet fra andre, kan politiet tilbakelevere opptaket til vedkommende, som snarest skal slette det dersom fristen etter andre og tredje ledd er gått ut.
Dersom det foreligger et særlig behov for oppbevaring i lengre tid enn i andre og tredje ledd, kan Datatilsynet gjøre unntak fra disse bestemmelsene.
§ 8-5. [opphevet]
Kapittel 9. Innsyn i e-postkasse mv.
§ 9-1. Virkeområde mv.
Dette kapittelet gjelder arbeidsgivers rett til innsyn i arbeidstakers e-postkasse mv.
Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøking av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Bestemmelsene gjelder også for arbeidsgivers innsyn i opplysninger som arbeidstaker har slettet fra de nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til.
Reglene gjelder både overfor nåværende og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver.
Reglene gjelder tilsvarende der behandlingen skjer ved hjelp av databehandler.
Reglene gjelder så langt de passer for universiteters og høyskolers innsyn i studenters e-postkasse, og for organisasjoners og foreningers innsyn i frivilliges og tillitsvalgtes e-postkasse.
§ 9-2. Vilkår for innsyn
Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse
a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten,
b) ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed.
Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, ut over det som følger av denne forskriften § 7-11.
§ 9-3. Prosedyrer ved innsyn
Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn etter dette kapittelet. I varselet skal arbeidsgiver begrunne hvorfor vilkårene i § 9-2 anses å være oppfylt og orientere om arbeidstakers rettigheter etter denne bestemmelsen. Arbeidstaker skal så langt som mulig gis anledning til å være tilstede under gjennomføringen av innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant.
Er innsyn foretatt uten forutgående varsel, skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført. Underretningen skal, i tillegg til opplysningene nevnt i første ledd annet punktum, inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet samt resultatet av innsynet jf. § 2-16.
Unntakene fra rett til informasjon i personopplysningslovens § 23 gjelder tilsvarende. Unntaket gjelder også etterfølgende varsel etter annet ledd.
Innsyn må gjennomføres på en slik måte at dataene så langt som mulig ikke endres og at frembrakte opplysninger kan etterprøves.
Dersom innsyn i e-postkassen viser at det ikke foreligger dokumentasjon som arbeidsgiver har rett til innsyn i etter § 9-2 bokstav a og b, skal e-postkassen og dokumenter i denne straks lukkes. Eventuelle kopier skal slettes.
§ 9-4. Sletting mv. ved opphør av arbeidsforholdet
Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid. Personopplysningsloven § 28 gjelder tilsvarende.
§ 9-5. Adgang til å fravike bestemmelsene i dette kapitlet
Det er ikke adgang til å fastsette instruks eller inngå avtale om arbeidsgivers innsyn i arbeidstakers e-postkasse mv. som fraviker bestemmelsene i dette kapitlet til ugunst for arbeidstaker.
Kapittel 10. Forskjellige bestemmelser
§ 10-1. Personvernnemnda
Personvernnemnda behandler klager over Datatilsynets avgjørelser som nevnt i personopplysningsloven § 42fjerde ledd og klager over Datatilsynets enkeltvedtak etter forskriften her.
Kongen oppnevner personlige varamedlemmer for de fem medlemmene i nemnda som oppnevnes av Kongen etter personopplysningsloven § 43annet ledd. Varamedlemmene oppnevnes for samme periode som medlemmene.
Personvernnemnda skal ha et sekretariat som skal tilrettelegge forholdene for Personvernnemndas arbeid og ellers forberede saker for behandling i nemnda.
Personvernnemnda treffer vedtak med alminnelig flertall. Det skal fremgå av vedtakene om de er truffet ved enstemmighet. Ved dissens skal også en begrunnelse for mindretallets standpunkt fremgå. I den grad vedtakene ikke er unntatt fra offentlighet, skal de samles i en protokoll som er offentlig.
§ 10-2. Forsendelser som inneholder fødselsnummer
Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Tilsvarende gjelder sendinger som formidles ved hjelp av telekommunikasjon.
Kapittel 11. Sluttbestemmelser
§ 11-1. Ikrafttredelse
Forskriften trer i kraft 1. januar 2001.
Fra samme tidspunkt oppheves
a) Forskrift av 21. desember 1979 nr. 7 om personregistre m.m. og om delegasjon av myndighet
b) Forskrift av 21. desember 1979 nr. 22 i medhold av lov om personregistre m.m.
c) Delegering av 30. september 1988 nr. 758 av myndighet etter personregisterloven
d) Forskrift av 12. desember 1988 nr. 1010 om årsavgift for foretak som er konsesjonspliktige etter personregisterloven
e) Forskrift av 1. juli 1994 nr. 536 om bruk av billedopptak gjort ved fjernsynsovervåkning
f) Forskrift av 23. mars 1995 nr. 267 om unntak fra konsesjonsplikt for finansinstitusjoners mv personregistre i saker om hvitvasking av penger
g) Delegering av 22. mai 1995 nr. 486 av kompetanse til Datatilsynet.
[Merknader]
Merknader til § 7-27
Utgangspunktet for bestemmelsen er at det ikke oppstilles konsesjonsplikt, kun meldeplikt. Tidligere § 7-27 oppstilte vilkår for hvordan førstegangskontakt skulle opprettes, samtykke, tidspunkt for prosjektavslutning, anonymisering eller sletting ved prosjektavslutning og at prosjektet ikke skulle sammenstille personregistre elektronisk. Personvernelementene disse kravene ivaretok er også ivaretatt i lovgivningen. Hvordan førstegangskontakt opprettes er i stor grad et forskningsetisk spørsmål, likevel slik at enkelte fremgangsmåter er mindre problematiske i et personvernperspektiv enn andre. Datatilsynet legger til grunn at REK og personvernombudene ivaretar dette aspektet. At samtykke er den klare hovedregel for behandling av personopplysninger følger direkte av personopplysningslovens § 8 og § 9. I den grad personvernombudene skal kunne akseptere unntak fra hovedregelen forventes at forskeren begrunner behovet for dette på en tilfredsstillende måte. Begrunnelsen vil være et viktig element i Datatilsynets etterkontroll. Videre er det en forutsetning for at et samtykke skal være gyldig at det informeres om hvor lenge personopplysningene skal oppbevares, jf. § 2 nr. 7. Dette kravet følger også av informasjonsplikten etter § 19 flg. Anonymisering eller sletting skal normalt skje ved prosjektavslutning. Når det gjelder elektronisk sammenstilling er ikke det i seg selv problematisk i et personvernperspektiv. Antallet inkluderte, parametre og om materialet avidentifiseres eller anonymiseres umiddelbart etter sammenstillingen er viktigere.
Det oppstilles som et vilkår for at unntaket kommer til anvendelse at prosjektet er tilrådd av et personvernombud. Videre oppstilles som vilkår at prosjektet er tilrådd av en regional komité for medisinsk forskningsetikk (REK) dersom prosjektet omfatter medisinsk og helsefaglig forskning. Endringen innebærer på denne måten en begrensning i konsesjonsplikten, men utvidet meldeplikt for forskere ved institusjoner som er tilknyttet et personvernombud. For de som ikke er tilknyttet personvernombud innebærer det imidlertid en utvidelse av konsesjonsplikten.
For prosjekter som ikke anses som medisinsk eller helsefaglig forskning er det tilstrekkelig med tilrådning fra personvernombudet. Ettersom det i dag bare foreligger krav om fremleggelse innen medisinsk og helsefaglig forskning, forutsettes det særlig aktpågivenhet fra forskere innen andre samfunnsområder. Samtidig krever det at personvernombudet har kjennskap til forskningsetikk og på eget initiativ forelegger prosjekter som oppfattes som forskningsetisk tvilsomme for en komité. Personvernombudene skal også forelegge saker det finner problematisk å tilrå for Datatilsynet, eventuelt anbefale Datatilsynet å utføre forhåndskontroll.
I bestemmelsens annet ledd avgrenses det mot forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte. I dette ligger også opprettelse av store samlinger (registre) av personopplysninger, ment som grunnlag for andre enkeltstående prosjekter. Omfanget må her relateres både til antallet involverte forskningsobjekter og mengden opplysninger som registreres om den enkelte. Unntaket fra konsesjonsplikt vil ikke gjelde for denne typen registre.
Når det gjelder presiseringen om at unntaket ikke omfatter forskningsprosjekter av stort omfang, er det lagt til grunn at prosjekter som omfatter 5000 forskningsobjekter er store av omfang. Bakgrunnen for antallet 5000 er at langt de fleste prosjekter omfatter et mye lavere antall deltakere, samtidig som de store folkehelseundersøkelsene uansett omfattes av forhåndskontroll. Sett i forhold til kravet om varighet, fremstår antallet som akseptabelt i et personvernperspektiv.
Når det gjelder varighet legges det til grunn at en alminnelig doktoravhandling har varighet på 3 til 6 år, og at prosjekter ut over denne tidsangivelse bør kunne anses som langvarige. Det er likevel lagt til grunn her at det kun er prosjekter med varighet ut over 15 år som vurderes som langvarige. Tidsangivelsen innebærer at dersom et prosjekt, som i utgangspunktet ikke var antatt å skulle ha varighet over 15 år, likevel overskrider tidsangivelsen, inntrer krav om forhåndskontroll (konsesjon).
Forskning på store datasett er likevel unntatt fra konsesjonsplikt dersom materialet forskeren innehar er pseudonymisert eller avidentifisert på annen sikker måte. Kravet om pseudonymisering eller avidentifisering på annen sikker måte innebærer at forsker, eller institusjonen forsker er ansatt, ikke kan oppbevare koblingsnøkkelen. Det ligger også i dette at antallet og type parametre ikke kan være av en slik karakter at det er mulig å "bakveisidentifisere" de inkluderte.
De store befolkningsundersøkelsene i regi av Folkehelseinstituttet, JANUS-banken og det såkalte tvillingregisteret/arvelighetsregisteret ved Universitetet i Oslo er typiske eksempler på registre som ikke er unntatt fra konsesjonsplikten. Dette er omfattende registre, både med hensyn til varighet, antallet forskningsobjekter og mengden opplysninger som registreres. Det er ikke avgjørende for spørsmålet om undersøkelsen er konsesjonspliktig om det behandles biologisk materiale eller ikke. Folkehelseundersøkelser hvor det også samles inn biologisk materiale vil vanskelig kunne omfattes av unntaket. Dette vil imidlertid ha grunnlag i at undersøkelsene gjennomgående vil være av permanent karakter og være grunnlag for enkeltstående prosjekter/studier.
Behandling av opplysninger i enkeltstående prosjekter som har grunnlag i et konsesjonspliktig register må vurderes konkret etter eventuelle konsesjonsvilkår og bestemmelsen her. Det opprettholdes ikke konsesjonsplikt på generelt grunnlag for tilgang til opplysninger fra de store konsesjonsbelagte og forskriftsregulerte registrene.
I grensedragningen mellom prosjekter unntatt konsesjonsplikt og de øvrige, er det den enkelte forsker, som sammen med personvernombud best kan vurdere om de hensyn som taler for forhåndskontroll for det enkelte prosjekt. Dette kan være grunnet antall involverte personer, opplysningenes sensitivitet og lengden på prosjektet. Prosjekter er ofte av forskjellig karakter, samtidig som det ikke bare er de kvantitative størrelsene som er avgjørende, men omfanget av personopplysninger som skal innsamles og analyseres.
Det er i annet ledd også presisert at unntaket ikke omfatter såkalte frafallsanalyser, med mindre disse er basert på samtykke. Med frafallsanalyser er ment analyser av fordelinger over utdanning, inntekt og ytelser med mere blant fremmøtte og ikke-fremmøtte for å beregne betydningen av frafallet. I et personvernperspektiv står ikke-samtykkebaserte frafallsanalyser i en særstilling og skal derfor underlegges forhåndskontroll fra Datatilsynet. Grunnen til at denne type analyser er spesielt personvernmessig problematisk er at personer som har valgt ikke å være med i en studie, likevel inkluderes. Tilsynet har forståelse for at det i enkelte sammenhenger kan være behov for å vurdere utvalgets sammensetning, men når disse analysene forutsetter at det inkluderes relativt mange opplysninger om personer som har takket nei til deltagelse, og som forutsetningsvis legger til grunn at forskeren respekterer dette, medfører det et behov for en særlig vurdering dersom inklusjon mot deres vilje skal kunne aksepteres.
Behandling av helseopplysninger i forbindelse med medisinsk forskning er ofte omhandlet av helseregisterlovens virkeområde. Personopplysningsloven og personopplysningsforskriftens bestemmelser om meldeplikt kommer imidlertid også til anvendelse for prosjekter omfattet av helseregisterloven. Det følger av helseregisterlovens § 5 at helseopplysninger bare kan behandles elektronisk når dette er tillatt etter personopplysningslovens § 9 og § 33, eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Personopplysningslovens § 33 gjelder konsesjonsplikt. Videre følger det av helseregisterlovens § 36 at i den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.
Endringen har ikke betydning for konsesjons- eller meldeplikten for studier som allerede er startet. Endringen vil skal imidlertid legges til grunn dersom studien endrer karakter på en slik måte at det er nødvendig å sende melding om endring eller søke om endring av konsesjon.
F24.04.2008 nr 396 i kraft straks. Forskriftens tittel er endret. Før endring:
Forskrift om behandling av personopplysninger (personopplysningsforskriften)
F23.12.2003 nr 1798 i kraft 01.01.2004. Overskriften er endret.
F24.04.2014 nr. 569 i kraft 01.07.2014. Ny § 6-3.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 6-3 er opphevet. Før endring:
§ 6-3. Overføring av personopplysninger til tredjeland som ikke har et tilfredsstillende beskyttelsesnivå
Dersom Datatilsynet, etter en konkret vurdering i henhold til direktiv 95/46/EF artikkel 26 nr. 2, tillater overføring av personopplysninger til et tredjeland som ikke sikrer et tilfredsstillende beskyttelsesnivå i henhold til og direktiv 95/46/EF artikkel 25 nr. 2, skal Datatilsynet gi melding til EU-kommisjonen og de øvrige medlemsstater om sin beslutning.
Dersom Kommisjonen eller andre medlemsstater har innsigelser mot Datatilsynets beslutninger i henhold til første ledd, og Kommisjonen treffer tiltak, skal Datatilsynet sørge for at beslutningen etterleves.
Dersom Kommisjonen i medhold av direktiv 95/46/EF artikkel 25 nr. 6 beslutter at personopplysninger kan overføres til mottakere i tredjeland som forplikter seg til å bruke standardiserte kontraktsvilkår, og Norge ikke reserverer seg mot beslutningen, skal Datatilsynet sørge for at den etterleves.
Personopplysninger kan overføres til mottakere i USA selv om vilkårene i personopplysningsloven §§ 29 og 30 ikke er oppfylt, dersom mottakeren forplikter seg til å oppfylle kravene i Kommisjonens beslutning 2000/520/EF.
Dersom myndighetene i USA har slått fast at mottakeren ikke overholder prinsippene det er vist til i Kommisjonens beslutning, kan Datatilsynet forby overføringen for å beskytte den registrerte. Datatilsynet kan også forby overføringen dersom vilkårene i bokstav a til d alle er oppfylt:
a) det er overveiende sannsynlig at mottakeren ikke overholder eller vil overholde prinsippene,
b) det ikke er holdepunkter for at myndighetene i USA vil behandle saken innen rimelig tid,
c) det er nærliggende at overføringen vil påføre de registrerte stor skade, og
d) mottakeren har blitt varslet av Datatilsynet og fått mulighet til å uttale seg.
F09.08.2013 nr. 970 i kraft fra den tid dept. bestemmer. § 7-1 skal endres. Etter endring:
§ 7-1. Konsesjonsplikt for behandling av personopplysninger i ekomsektoren
Behandling av personopplysninger for kommunikasjons- og faktureringsformål, samt for å oppfylle plikten til å lagre data i medhold av ekomloven § 2-7a, er konsesjonspliktig etter personopplysningsloven.
Ved utferdigelse av konsesjonen skal Datatilsynet vurdere om det skal stilles vilkår om kryptering av de data som faller inn under lagringsplikten etter ekomloven § 2-7a. Kryptering skal tilfredsstille etablerte internasjonale standarder der slike foreligger. Ved pålegg om kryptering skal Datatilsynet i den enkelte konsesjon fastsette nærmere omfang av krypteringen, herunder vilkår knyttet til lagringsmåte, lagringstidspunkt og lokalisering, samt krav til sikker overføring.
For tilbydere som er lagringspliktige i henhold til ekomloven § 2-7a, skal Datatilsynet i konsesjonen pålegge nødvendige vilkår for å sikre lukket lagring. For å sikre lukket lagring skal det blant annet fastsettes nærmere krav om:
a) identitetskontroll ved innpassering til de lokaler hvor data lagres,
b) behovsbegrenset adgang til lokaler hvor lagringspliktige data lagres og tilgang til lagringspliktige data,
c) fysisk sikring av lagringsmediet og omgivelsene rundt,
d) elektronisk sikring av lagringsmediet (brannmur mv.),
e) begrensninger i muligheter for direkte adgang til data fra andre lokaler enn der hvor lagringsmediet fysisk befinner seg, og
f) kryptering ved forsendelse av data over landegrensene, i henhold til retningslinjer om krypteringsgrad fra Nasjonal sikkerhetsmyndighet.
F09.08.2013 nr. 970 i kraft straks. § 7-2 er endret. Før endring:
Tilbydere av forsikringstjenesters (jf. lov av 10. juni 1988 nr. 39 om forsikringsvirksomhet) behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av forsikringsavtaler er konsesjonspliktige etter personopplysningsloven.
F09.08.2013 nr. 970 i kraft straks. § 7-3 er endret. Før endring:
Bankers og finansinstitusjoners (jf. lov av 24. mai 1985 nr. 28 om Norges Bank og pengevesenet (sentralbankloven), lov av 1. mars 1946 nr. 3 om Den Norske Stats Husbank, lov av 24. mai 1961 nr. 1 om sparebanker, lov av 24. mai 1961 nr. 2 om forretningsbanker, lov av 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner) behandling av personopplysninger for kundeadministrasjon, fakturering og gjennomføring av banktjenester er konsesjonspliktige etter personopplysningsloven.
F24.04.2008 nr 396 i kraft straks. § 7-4 er endret. Før endring:
Dersom særlige grunner tilsier det, kan Datatilsynet beslutte at en behandling av personopplysninger som faller inn under §§ 7-14 til 7-17 og §§ 7-21 til 7-25 i forskriften her, likevel skal reguleres av personopplysningsloven §§ 31 eller 33.
F24.04.2008 nr 396 i kraft straks. § 7-6 er endret. Før endring:
Behandlinger som omfattes av dette kapittelet er unntatt fra meldeplikt etter personopplysningsloven § 31, første ledd. Dersom det behandles sensitive opplysninger, jf. personopplysningsloven § 2 nr. 8, kan behandlingen være konsesjonspliktig etter personopplysningsloven § 33 første ledd.
Unntaket fra meldeplikten forutsetter at personopplysninger behandles i tråd med det formålet som følger av den enkelte bestemmelse. Personopplysningslovens regler om behandling av personopplysninger i kapitlene I til V samt VII til IX skal følges selv om behandlingen er unntatt fra meldeplikt.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 7-6 er endret. Før endring:
Behandlinger som omfattes av dette kapittelet er unntatt fra meldeplikten etter personopplysningsloven § 31 første ledd. Dersom det behandles sensitive personopplysninger, jf. personopplysningsloven § 2 nr. 8, vil behandlingen være konsesjonspliktig etter personopplysningsloven § 33 første ledd.
Personopplysningslovens regler om behandling av personopplysninger i kapitlene I til V, samt VII til IX, skal følges selv om behandlingen er unntatt fra meldeplikt.
F24.04.2008 nr 396 i kraft straks. § 7-8 er endret. Før endring:
§ 7-8. Opplysninger om leietakere og boligsameiere mv.
Behandling av personopplysninger som ledd i administrasjon og gjennomføring av forpliktelser ved eie eller leie av fast eiendom er unntatt fra meldeplikten etter personopplysningslovens § 31 første ledd. Dette omfatter alle leie- og eieforhold slik som opplysninger om leietakere i husleieforhold, sameiere i boligsameie og andelshavere i borettslag og boligaksjeselskap.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 7-8 er endret. Før endring:
Behandling av personopplysninger om leietakere i husleieforhold og sameiere mv. i et boligsameie er unntatt fra meldeplikten etter personopplysningsloven § 31 første ledd.
Unntak fra meldeplikten gjelder bare dersom personopplysningene behandles som ledd i administrasjon og gjennomføring av forpliktelser i leie- eller sameieforholdet.
F19.08.2013 nr. 1001 i kraft straks. § 7-9 er endret. Før endring:
Behandling av personopplysninger som pålagt i aksjeloven § 4-5 og allmennaksjeloven § 4-4 er unntatt fra meldeplikt etter personopplysningsloven § 31første ledd.
F09.08.2013 nr. 970 i kraft straks. § 7-9 er endret. Før endring:
Behandling av personopplysninger som pålagt i lov 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven) § 4-5 og lov 13. juni 1997 nr. 45 om allmennaksjeselskaper (allmennaksjeloven) § 4-4 er unntatt fra meldeplikt etter personopplysningsloven § 31første ledd.
Unntak fra meldeplikt gjelder bare dersom formålet med behandlingen er å ivareta de forpliktelser aksjelovgivningen pålegger det enkelte selskap.
F24.04.2008 nr 396 i kraft straks. § 7-9 første ledd er endret. Før endring:
Behandling av personopplysninger som pålagt i lov av 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven) § 4-5 og lov av 13. juni 1997 nr. 45 om allmennaksjeselskaper (allmennaksjeloven) § 4-4 er unntatt fra meldeplikt etter personopplysningsloven § 31 første ledd.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 7-9 første ledd er endret. Før endring:
Behandling av personopplysninger som pålagt i lov av 13. juni 1997 nr. 44 om aksjeselskaper (aksjeloven) § 4-5 er unntatt fra meldeplikt etter personopplysningsloven § 31 første ledd.
F09.08.2013 nr. 970 i kraft straks. § 7-10 første ledd er endret. Før endring:
Behandling av personopplysninger i forbindelse med føring av meklingsprotokoll pålagt etter lov av 8. april 1981 nr. 7 om barn og foreldre (barnelova) og lov av 4. juli 1991 nr. 47 om ekteskap er unntatt fra meldeplikt etter personopplysningsloven § 31 første ledd.
F24.04.2008 nr 396 i kraft straks. § 7-16 er endret. Før endring:
§ 7-16. Personellregistre mv.
Arbeidsgivers behandling av ikke-sensitive personopplysninger om nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling er unntatt meldeplikt etter personopplysningsloven § 31 første ledd.
Dersom det behandles sensitive personopplysninger, er behandlingen unntatt fra konsesjonsplikten etter personopplysningsloven § 33 første ledd, men underlagt meldeplikten etter § 31 første ledd. Unntak fra konsesjonsplikt gjelder under forutsetning av at:
a) den registrerte har samtykket i behandlingen eller behandlingen er fastsatt i lov,
b) opplysningene er knyttet til arbeidsforholdet, og
c) personopplysningene behandles som ledd i personaladministrasjonen.
Meldeplikt etter andre ledd gjelder likevel ikke behandling av
a) opplysninger om medlemskap i fagforeninger som nevnt i personopplysningsloven § 2 nr. 8 bokstav e,
b) nødvendige fraværsopplysninger og opplysninger som er registreringspliktige i henhold til lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) § 5-1,
c) opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold.
F16.02.2006 nr 200 i kraft straks. § 7-16 er endret. Før endring:
Arbeidsgivers behandling av ikke-sensitive personopplysninger om nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling er unntatt meldeplikt etter personopplysningsloven § 31 første ledd.
Dersom det behandles sensitive personopplysninger, er behandlingen unntatt fra konsesjonsplikten etter personopplysningsloven § 33 første ledd, men underlagt meldeplikten etter § 31 første ledd. Unntak fra konsesjonsplikt gjelder under forutsetning av at:
a) den registrerte har samtykket i behandlingen eller behandlingen er fastsatt i lov,
b) opplysningene er knyttet til arbeidsforholdet, og
c) personopplysningene behandles som ledd i personaladministrasjonen.
Meldeplikt etter andre ledd gjelder likevel ikke behandling av
a) opplysninger om medlemskap i fagforeninger som nevnt i personopplysningsloven § 2 nr. 8 bokstav e,
b) nødvendige fraværsopplysninger og opplysninger som er registreringspliktige i henhold til lov av 4. februar 1977 nr. 4 om arbeidervern og arbeidsmiljø m.v. § 20,
c) opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold.
§ 7-17. Personopplysninger om offentlige representanter
Behandling av personopplysninger om organets valgte eller oppnevnte representanter i organ opprettet i medhold av lov av 25. september 1992 nr. 107 om kommuner og fylkeskommuner (kommuneloven) eller lov av 7. juni 1996 nr. 31 om Den norske kirke (kirkeloven) er unntatt fra konsesjonsplikten etter personopplysningsloven § 33 første ledd og fra meldeplikten etter § 31 første ledd.
Det samme gjelder for behandling av personopplysninger om Stortingets representanter eller medlemmer av Stortingets komiteer.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 7-16 er endret. Før endring:
Arbeidsgivers behandling av personopplysninger om nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33 første ledd og fra meldeplikt etter § 31 første ledd.
Unntak fra konsesjonsplikt gjelder bare dersom:
a) den registrerte har samtykket i behandlingen,
b) opplysningene er knyttet til arbeidsforholdet, og
c) personopplysningene behandles som ledd i personaladministrasjon.
Unntak fra meldeplikt gjelder bare dersom de sensitive opplysningene er begrenset til:
a) opplysninger om medlemskap i fagforeninger som nevnt i personopplysningsloven § 2 nr. 8 bokstav e,
b) nødvendige fraværsopplysninger og opplysninger som er registreringspliktige i henhold til lov av 4. februar 1977 nr. 4 om arbeidervern og arbeidsmiljø m.v. § 20,
c) opplysninger som er nødvendige for å tilrettelegge arbeidssituasjonen på grunn av helseforhold.
F05.06.2007 nr 1092 i kraft 01.01.2008. I § 1-3 er "tvistemålsloven" erstattet med "tvisteloven".
F09.08.2013 nr. 970 i kraft straks. § 7-16 tredje ledd bokstav b er endret. Før endring:
b) nødvendige fraværsopplysninger og opplysninger som er registreringspliktige i henhold til lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. (arbeidsmiljøloven) § 5-1,
F09.08.2013 nr. 970 i kraft straks. § 7-17 første ledd er endret. Før endring:
Behandling av personopplysninger om organets valgte eller oppnevnte representanter i organ opprettet i medhold av lov av 25. september 1992 nr. 107 om kommuner og fylkeskommuner (kommuneloven) eller lov av 7. juni 1996 nr. 31 om Den norske kirke (kirkeloven) er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
F09.08.2013 nr. 970 i kraft straks. § 7-20 er endret. Før endring:
Behandling av personopplysninger om elever og studenter som skjer i medhold av lov 17. juli 1998 nr. 61 om grunnskolen og den vidaregåande opplæringa (opplæringslova) eller lov 1. april 2005 nr. 15 om universiteter og høyskoler (universitetsloven) eller etter samtykke fra den enkelte elev eller foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
F24.04.2008 nr 396 i kraft straks. Ny § 7-20.
F09.08.2013 nr. 970 i kraft straks. § 7-21 er endret. Før endring:
Behandling av personopplysninger om barn i barnehage eller skolefritidsordninger i medhold av lov 17. juni 2005 nr. 64 om barnehager (barnehageloven) og lov 17. juli 1998 nr. 61 om grunnskolen og den vidaregåande opplæringa (opplæringslova) eller etter samtykke fra foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
F24.04.2008 nr 396 i kraft straks. Ny § 7-21.
F23.12.2003 nr 1798 i kraft 01.01.2004. Tidligere § 7-20 til § 7-25 er nye § 7-22 til § 7-27.
F23.12.2003 nr 1798 i kraft 01.01.2004. Ny § 7-20.
F24.04.2008 nr 396 i kraft straks. § 7-23 er endret. Før endring:
§ 7-23. Opplysninger om barn i barnehager og skolefritidsordninger
Behandling av personopplysninger om barn i barnehage eller skolefritidsordninger i medhold av lov av 5. mai 1995 nr. 19 om barnehager (barnehageloven) og lov av 17. juli 1998 nr. 61 om grunnskolen og den vidaregåande opplæringa (opplæringslova) eller etter samtykke fra foresatt, er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd og fra meldeplikten etter § 31første ledd.
F23.12.2003 nr 1798 i kraft 01.01.2004. Ny § 7-21.
F09.08.2013 nr. 970 i kraft straks. § 7-23 første ledd er endret. Før endring:
Behandling av personopplysninger i forbindelse med virksomhet som er regulert av lov 13. august 1915 nr. 5 om domstolene (domstolloven) kapittel 11 om rettshjelpvirksomhet og advokater, lov 15. januar 1999 nr. 2 om revisjon og revisorer (revisorloven), lov 29. juni 2007 nr. 73 om eiendomsmegling og lov 29. juni 2007 nr. 75 om verdipapirhandel er unntatt fra konsesjonsplikten etter personopplysningsloven § 33første ledd.
F24.04.2008 nr 396 i kraft straks. § 7-24 er endret. Før endring:
§ 7-24. Unntak fra konsesjonsplikt
Behandlinger som omfattes av dette kapittelet er unntatt fra konsesjonsplikt etter personopplysningsloven § 33 første ledd. Behandlingene skal likevel meldes etter personopplysningsloven § 31 første ledd.
Unntak fra konsesjonsplikt gjelder bare dersom personopplysningene behandles i tråd med det formålet som følger av den enkelte bestemmelse. Personopplysningslovens regler om behandling av personopplysninger i kapitlene I til V samt VII til IX, skal følges selv om det ikke kreves konsesjon.
F09.08.2013 nr. 970 i kraft straks. § 7-24 første ledd er endret. Før endring:
Rapporteringspliktiges behandling av personopplysninger til bruk i forbindelse med pålagt undersøkelses- og rapporteringsplikt etter lov 20. juni 2003 nr. 41 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv. jf. forskrift 10. desember 2003 nr. 1487 om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv., er unntatt fra konsesjonsplikt etter personopplysningsloven § 33første ledd. Unntaket omfatter bare opplysninger som fremkommer ved institusjonens undersøkelser etter hvitvaskingsloven.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 1-3 annet ledd er opphevet. Før endring:
Loven gjelder heller ikke for politiets behandling av personopplysninger i henhold til lov av 16. juli 1999 nr. 66 om Schengen informasjonssystem (SIS).
F24.04.2008 nr 396 i kraft straks. § 7-25 overskriften er endret. Før endring:
§ 7-25. Klientregistre mv.
F24.04.2008 nr 396 i kraft straks. § 7-26 overskriften er endret. Før endring:
§ 7-26. Hvitvaskingsregistre og tilknyttet behandling av personopplysninger
F23.08.2005 nr 923 i kraft straks. § 7-24 er endret. Før endring:
Finansinstitusjoners mv. behandling av personopplysninger til bruk i forbindelse med pålagt undersøkelses- og rapporteringsplikt etter lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner § 2-17, jf. forskrift av 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger § 8 første ledd, er unntatt fra konsesjonsplikt etter personopplysningsloven § 33 første ledd. Unntaket omfatter bare opplysninger som fremkommer ved institusjonens undersøkelser etter finansieringsvirksomhetsloven § 2-17.
Unntaket fra konsesjonsplikt gjelder bare dersom
a) det utelukkende behandles opplysninger som fremkommer ved institusjonens undersøkelser etter finansieringsvirksomhetsloven § 2-17, og
b) personopplysningene behandles for det formål som følger av finansieringsvirksomhetsloven § 2-17 og tilhørende forskrifter.
F09.08.2013 nr. 970 i kraft straks. § 7-26 første ledd er endret. Før endring:
Behandling av pasient-/klientopplysninger hos offentlig autorisert helsepersonell og helsepersonell som er gitt lisens, jf. lov av 2. juli 1999 nr. 64 om helsepersonell mv. §§ 48 og 49, er unntatt fra konsesjonsplikt etter personopplysningsloven § 33første ledd.
F24.04.2008 nr 396 i kraft straks. § 7-27 er endret. Før endring:
§ 7-27. Behandling av pasientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig autorisasjon eller gitt lisens
Behandling av pasient-/klientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig godkjenning, er unntatt fra konsesjonsplikt etter personopplysningsloven § 33 første ledd.
Unntak fra konsesjonsplikt gjelder bare dersom personopplysningene behandles i forbindelse med:
a) behandling og oppfølging av den enkelte pasient, eller
b) utarbeidelse av statistikk.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 7-25 overskriften er endret. Før endring:
§ 7-25. Behandling av pasientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig autorisasjon
F24.04.2008 nr 396 i kraft straks. Merknadene til § 27 er endret. Før endring:
Utgangspunktet for bestemmelsen er at det ikke oppstilles konsesjonsplikt, kun meldeplikt. Tidligere § 7-27 oppstilte vilkår for hvordan førstegangskontakt skulle opprettes, samtykke, tidspunkt for prosjektavslutning, anonymisering eller sletting ved prosjektavslutning og at prosjektet ikke skulle sammenstille personregistre elektronisk. Personvernelementene disse kravene ivaretok er også ivaretatt i lovgivningen. Hvordan førstegangskontakt opprettes er i stor grad et forskningsetisk spørsmål, likevel slik at enkelte fremgangsmåter er mindre problematiske i et personvernperspektiv enn andre. Datatilsynet legger til grunn at REK og personvernombudene ivaretar dette aspektet. At samtykke er den klare hovedregel for behandling av personopplysninger følger direkte av personopplysningslovens § 8 og § 9. I den grad personvernombudene skal kunne akseptere unntak fra hovedregelen forventes at forskeren begrunner behovet for dette på en tilfredsstillende måte. Begrunnelsen vil være et viktig element i Datatilsynets etterkontroll. Videre er det en forutsetning for at et samtykke skal være gyldig at det informeres om hvor lenge personopplysningene skal oppbevares, jf. § 2 nr. 7. Dette kravet følger også av informasjonsplikten etter § 19 flg. Anonymisering eller sletting skal normalt skje ved prosjektavslutning. Når det gjelder elektronisk sammenstilling er ikke det i seg selv problematisk i et personvernperspektiv. Antallet inkluderte, parametre og om materialet avidentifiseres eller anonymiseres umiddelbart etter sammenstillingen er viktigere.
Det oppstilles som et vilkår for at unntaket kommer til anvendelse at prosjektet er tilrådd av et personvernombud. Videre oppstilles som vilkår at prosjektet er tilrådd av en regional komité for medisinsk forskningsetikk (REK) dersom prosjektet omfatter medisinsk og helsefaglig forskning. Endringen innebærer på denne måten en begrensning i konsesjonsplikten, men utvidet meldeplikt for forskere ved institusjoner som er tilknyttet et personvernombud. For de som ikke er tilknyttet personvernombud innebærer det imidlertid en utvidelse av konsesjonsplikten.
For prosjekter som ikke anses som medisinsk eller helsefaglig forskning er det tilstrekkelig med tilrådning fra personvernombudet. Ettersom det i dag bare foreligger krav om fremleggelse innen medisinsk og helsefaglig forskning, forutsettes det særlig aktpågivenhet fra forskere innen andre samfunnsområder. Samtidig krever det at personvernombudet har kjennskap til forskningsetikk og på eget initiativ forelegger prosjekter som oppfattes som forskningsetisk tvilsomme for en komité. Personvernombudene skal også forelegge saker det finner problematisk å tilrå for Datatilsynet, eventuelt anbefale Datatilsynet å utføre forhåndskontroll.
I bestemmelsens annet ledd avgrenses det mot forskningsprosjekter av stort omfang og lang varighet, samt forskning på store datasett som ikke er pseudonymisert eller avidentifisert på annen sikker måte. I dette ligger også opprettelse av store samlinger (registre) av personopplysninger, ment som grunnlag for andre enkeltstående prosjekter. Omfanget må her relateres både til antallet involverte forskningsobjekter og mengden opplysninger som registreres om den enkelte. Unntaket fra konsesjonsplikt vil ikke gjelde for denne typen registre.
Når det gjelder presiseringen om at unntaket ikke omfatter forskningsprosjekter av stort omfang, er det lagt til grunn at prosjekter som omfatter 5000 forskningsobjekter er store av omfang. Bakgrunnen for antallet 5000 er at langt de fleste prosjekter omfatter et mye lavere antall deltakere, samtidig som de store folkehelseundersøkelsene uansett omfattes av forhåndskontroll. Sett i forhold til kravet om varighet, fremstår antallet som akseptabelt i et personvernperspektiv.
Når det gjelder varighet legges det til grunn at en alminnelig doktoravhandling har varighet på 3 til 6 år, og at prosjekter ut over denne tidsangivelse bør kunne anses som langvarige. Det er likevel lagt til grunn her at det kun er prosjekter med varighet ut over 15 år som vurderes som langvarige. Tidsangivelsen innebærer at dersom et prosjekt, som i utgangspunktet ikke var antatt å skulle ha varighet over 15 år, likevel overskrider tidsangivelsen, inntrer krav om forhåndskontroll (konsesjon).
Forskning på store datasett er likevel unntatt fra konsesjonsplikt dersom materialet forskeren innehar er pseudonymisert eller avidentifisert på annen sikker måte. Kravet om pseudonymisering eller avidentifisering på annen sikker måte innebærer at forsker, eller institusjonen forsker er ansatt, ikke kan oppbevare koblingsnøkkelen. Det ligger også i dette at antallet og type parametre ikke kan være av en slik karakter at det er mulig å "bakveisidentifisere" de inkluderte.
De store befolkningsundersøkelsene i regi av Folkehelseinstituttet, JANUS-banken og det såkalte tvillingregisteret/arvelighetsregisteret ved Universitetet i Oslo er typiske eksempler på registre som ikke er unntatt fra konsesjonsplikten. Dette er omfattende registre, både med hensyn til varighet, antallet forskningsobjekter og mengden opplysninger som registreres. Det er ikke avgjørende for spørsmålet om undersøkelsen er konsesjonspliktig om det behandles biologisk materiale eller ikke. Folkehelseundersøkelser hvor det også samles inn biologisk materiale vil vanskelig kunne omfattes av unntaket. Dette vil imidlertid ha grunnlag i at undersøkelsene gjennomgående vil være av permanent karakter og være grunnlag for enkeltstående prosjekter/studier.
Behandling av opplysninger i enkeltstående prosjekter som har grunnlag i et konsesjonspliktig register må vurderes konkret etter eventuelle konsesjonsvilkår og bestemmelsen her. Det opprettholdes ikke konsesjonsplikt på generelt grunnlag for tilgang til opplysninger fra de store konsesjonsbelagte og forskriftsregulerte registrene.
I grensedragningen mellom prosjekter unntatt konsesjonsplikt og de øvrige, er det den enkelte forsker, som sammen med personvernombud best kan vurdere om de hensyn som taler for forhåndskontroll for det enkelte prosjekt. Dette kan være grunnet antall involverte personer, opplysningenes sensitivitet og lengden på prosjektet. Prosjekter er ofte av forskjellig karakter, samtidig som det ikke bare er de kvantitative størrelsene som er avgjørende, men omfanget av personopplysninger som skal innsamles og analyseres.
Det er i annet ledd også presisert at unntaket ikke omfatter såkalte frafallsanalyser, med mindre disse er basert på samtykke. Med frafallsanalyser er ment analyser av fordelinger over utdanning, inntekt og ytelser med mere blant fremmøtte og ikke-fremmøtte for å beregne betydningen av frafallet. I et personvernperspektiv står ikke-samtykkebaserte frafallsanalyser i en særstilling og skal derfor underlegges forhåndskontroll fra Datatilsynet. Grunnen til at denne type analyser er spesielt personvernmessig problematisk er at personer som har valgt ikke å være med i en studie, likevel inkluderes. Tilsynet har forståelse for at det i enkelte sammenhenger kan være behov for å vurdere utvalgets sammensetning, men når disse analysene forutsetter at det inkluderes relativt mange opplysninger om personer som har takket nei til deltagelse, og som forutsetningsvis legger til grunn at forskeren respekterer dette, medfører det et behov for en særlig vurdering dersom inklusjon mot deres vilje skal kunne aksepteres.
Behandling av helseopplysninger i forbindelse med medisinsk forskning er ofte omhandlet av helseregisterlovens virkeområde. Personopplysningsloven og personopplysningsforskriftens bestemmelser om meldeplikt kommer imidlertid også til anvendelse for prosjekter omfattet av helseregisterloven. Det følger av helseregisterlovens § 5 at helseopplysninger bare kan behandles elektronisk når dette er tillatt etter personopplysningslovens § 9 og § 33, eller følger av lov og behandlingen ikke er forbudt ved annet særskilt rettsgrunnlag. Personopplysningslovens § 33 gjelder konsesjonsplikt. Videre følger det av helseregisterlovens § 36 at i den utstrekning ikke annet følger av denne lov, gjelder personopplysningsloven med forskrifter som utfyllende bestemmelser.
Endringen har ikke betydning for konsesjons- eller meldeplikten for studier som allerede er startet. Endringen vil skal imidlertid legges til grunn dersom studien endrer karakter på en slik måte at det er nødvendig å sende melding om endring eller søke om endring av konsesjon.
F09.08.2013 nr. 970 i kraft straks. Kapittel 8 overskriften er endret. Før endring:
Kapittel 8. Fjernsynsovervåking
F09.08.2013 nr. 970 i kraft straks. § 8-1 er endret. Før endring:
Kapittelet her gjelder for fjernsynsovervåking, jf. personopplysningsloven § 36.
F09.08.2013 nr. 970 i kraft straks. § 8-2 er opphevet. Før endring:
§ 8-2. Sikring av billedopptak
Billedopptakene skal sikres i henhold til personopplysningsloven § 13 om informasjonssikkerhet og bestemmelsene i kapittel 2 i forskriften her.
F09.08.2013 nr. 970 i kraft straks. § 8-3 er endret. Før endring:
§ 8-3. Politiets bruk av billedopptak
Personopplysningsloven § 11første ledd bokstav c er ikke til hinder for at politiet bruker billedopptak det er i besittelse av, i forbindelse med forebygging av straffbare handlinger, i forbindelse med oppklaring av ulykker eller i saker om ettersøking av forsvunne personer.
F09.08.2013 nr. 970 i kraft straks. § 8-4 er endret. Før endring:
§ 8-4. Sletting av billedopptak
Billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf. personopplysningsloven § 28.
Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punktum gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager.
Billedopptak gjort i post- og banklokaler skal slettes senest tre måneder etter at opptakene er gjort.
Sletteplikten etter andre og tredje ledd gjelder ikke
a) for billedopptak som politiet er i besittelse av,
b) for billedopptak som kan være av betydning for rikets eller dets alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, eller
c) hvor den som er avbildet samtykker i at billedopptakene oppbevares lenger.
Dersom sletteplikten etter første ledd oppstår for billedopptak som er utlevert til politiet fra andre, kan politiet tilbakelevere opptaket til vedkommende, som snarest skal slette det dersom fristen etter andre og tredje ledd er gått ut.
Dersom det foreligger et særlig behov for oppbevaring i lengre tid enn fastsatt i andre og tredje ledd, kan Datatilsynet gjøre unntak fra disse bestemmelsene.
F09.08.2013 nr. 970 i kraft straks. § 4-2 annet ledd bokstav b er endret. Før endring:
b) meldinger fra banker (jf. lov av 24. mai 1985 nr. 28 om Norges Bank og pengevesenet (sentralbankloven), lov av 1. mars 1946 nr. 3 om Den Norske Stats Husbank, lov av 24. mai 1961 nr. 1 om sparebanker, lov av 24. mai 1961 nr. 2 om forretningsbanker) og fra finansieringsselskaper (jf. lov av 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner) i forbindelse med uttak fra konto og utføring av betalingstjenester. Det samme gjelder når slike meldinger formidles for bank eller finansieringsselskap av et utenforstående foretak,
F09.08.2013 nr. 970 i kraft straks. § 8-5 er opphevet. Før endring:
§ 8-5. Innsynsrett
For billedopptak som omfattes av personopplysningsloven § 37annet ledd, gjelder reglene om innsynsrett etter personopplysningsloven § 18. I andre tilfelle kan den som det er gjort billedopptak av, kreve innsyn i de deler av billedopptakene hvor vedkommende er avbildet, dersom billedopptakene oppbevares utover 7 dager.
Innsynsrett etter første ledd annet punktum gjelder ikke i billedopptak som politiet er i besittelse av, eller billedopptak som kan være av betydning for rikets eller dets alliertes sikkerhet, andre vitale nasjonale sikkerhetsinteresser og forholdet til fremmede makter.
F29.01.2009 nr 84 i kraft 01.03.2009. Nytt kapittel 9. Tidligere kapittel 9 er nå kapittel 10.
F29.01.2009 nr 84 i kraft 01.03.2009. Tidligere kapittel 9 er nå nytt kapittel 10.
F29.01.2009 nr 84 i kraft 01.03.2009. Tidligere kapittel 10 er nå nytt kapittel 11. Tidligere § 10-2 til § 10-5 er opphevet. Før endring:
§ 10-2. Overgangsreglenes virkeområde
Overgangsreglene i §§ 10-3 og 10-4 gjelder for behandlinger som er påbegynt før 1. januar 2001. For behandlinger som blir påbegynt etter denne datoen, gjelder personopplysningsloven og personopplysningsforskriften.
Forskriften kapittel 5 gjelder fra 1. april 2001 også for dem som behandler personopplysninger i medhold av personopplysningsloven § 51 nr. 1 siste punktum.
Dersom særlige grunner gjør det nødvendig, kan Datatilsynet forlenge overgangsperioden for personopplysningsloven §§ 13 og 14 med forskrifter med inntil 3 år.
§ 10-3. Overgangsregler for behandlinger som reguleres av konsesjon etter personregisterloven § 9
For behandlinger som foretas i medhold av konsesjon etter personregisterloven § 9, og som er melde- eller konsesjonspliktig etter personopplysningsloven, er fristen for å sende melding eller søke konsesjon 1. januar 2003. Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan personopplysningene behandles i henhold til personregisterloven.
For behandlinger som foretas i medhold av konsesjon etter personregisterloven § 9, og som er fritatt for melde- og konsesjonsplikt etter personopplysningsloven, gjelder personopplysningsloven og personopplysningsforskriften fra 1. januar 2001. Den behandlingsansvarlige kan likevel vente til 1. juli 2001 med å etterleve reglene i personopplysningsloven §§ 13, 14, 19 og 20, og i stedet følge sikkerhetsreglene som er gitt i medhold av personregisterloven.
§ 10-4. Overgangsregler for behandlinger som ikke er undergitt konsesjon etter personregisterloven § 9
For behandlinger som ikke er undergitt konsesjonsplikt etter personregisterloven § 9, og som er undergitt melde- eller konsesjonsplikt etter personopplysningsloven, er fristen for å sende melding eller søke konsesjon 1. januar 2002. Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan personopplysningene behandles i henhold til personregisterloven.
For behandlinger som ikke er undergitt konsesjonsplikt etter personregisterloven § 9, og som er fritatt for melde- og konsesjonsplikt etter personopplysningsloven, gjelder personopplysningsloven og personopplysningsforskriften fra 1. januar 2001. Den behandlingsansvarlige kan likevel vente til 1. juli 2001 med å etterleve reglene i personopplysningsloven §§ 13, 14, 19 og 20, og i stedet følge sikkerhetsreglene som er gitt i medhold av personregisterloven.
§ 10-5. Overgangsregel for Reservasjonsregisteret
Behandlingsansvarlige som markedsfører direkte, plikter ikke å oppdatere sine adresseregistre mot Reservasjonsregisteret før 1. april 2001.
F09.08.2013 nr. 970 i kraft straks. § 4-2 annet ledd bokstav d er endret. Før endring:
d) utgivelse av offentlig utlagt ligning i henhold til lov av 13. juni 1980 nr. 24 om ligningsforvaltning (ligningsloven) § 8-8.
F24.04.2008 nr 396 i kraft straks. § 4-2 annet ledd ny bokstav f.
F07.05.2010 nr 654 i kraft 11.06.2010. § 4-3 første ledd er endret. Før endring:
Kredittopplysning kan bare gis til den som har saklig behov for den.
F05.06.2009 nr 598 i kraft straks. Kap. 5 er opphevet. Før endring:
Kapittel 5. Reservasjonsregisteret
§ 5-1. Innledning
Det skal føres et sentralt reservasjonsregister for direkte markedsføring (Reservasjonsregisteret). Registeret føres av Registerenheten i Brønnøysund.
§ 5-2. Reservasjonsadgangen
Enkeltpersoner kan ved å registrere seg i Reservasjonsregisteret kreve sitt navn sperret mot bruk til direkte markedsføring uavhengig av medium. Den som registrerer seg, kan angi at sperringen likevel ikke skal gjelde for direkte markedsføring til inntekt for humanitære og samfunnsnyttige organisasjoner og foreninger.
§ 5-3. Fremgangsmåten ved registrering m.m.
Enkeltpersoner kan registrere seg i Reservasjonsregisteret ved å bruke Registerenhetens tilbud om elektronisk selvregistrering eller ved å sende inn et utfylt registreringsskjema eller på andre måter som Registerenheten har fastsatt.
Den som har registrert seg, kan når som helst slette eller endre registreringen ved å henvende seg til Registerenheten som nevnt i første ledd.
Registerenheten fastsetter hvilke opplysninger den enkelte må gi ved registrering eller sletting eller endring av registreringer.
§ 5-4. Utlevering av opplysninger m.m.
Opplysninger fra Reservasjonsregisteret utleveres til behandlingsansvarlige som markedsfører direkte, og til de som skal oppdatere adresseregistre for direkte markedsførere, på den måten, på de vilkår og til de priser som Registerenheten fastsetter. Prisene skal ikke overstige det som er nødvendig for å dekke kostnadene ved registeret inklusiv en forholdsmessig andel av felleskostnadene ved Registerenheten.
Bare opplysninger som er nødvendige for oppdatering av adresseregistre for direkte markedsføring, utleveres. Fødselsnummer utleveres bare dersom det aktuelle adresseregisteret inneholder fødselsnummer. Utleverte opplysninger kan bare brukes til å oppdatere adresseregistre for direkte markedsføring. Mottakeren kan bare bruke opplysningene til å oppdatere sitt eget adresseregister med mindre vedkommende har oppgitt at opplysningene skal brukes til å oppdatere adresseregistre for andre som markedsfører direkte og, dersom dette skal skje med elektroniske hjelpemidler, vedkommende dessuten dokumenterer overfor Registerenheten at vedkommende har gitt melding til Datatilsynet om denne virksomheten.
Registerenheten kan som eget oppdrag til avtalt pris gjennomføre oppdatering av adresseregistre.
F24.04.2008 nr 396 i kraft straks. Kapittel 6 er endret. Før endring:
§ 6-1. EU-kommisjonens beslutninger om beskyttelsesnivået i tredjeland
Kommisjonens beslutninger etter direktiv 95/46/EF artikkel 25 og 26, jf. 31 gjelder også for Norge i samsvar med EØS-komiteens beslutning nr. 83/1999 (av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI), med mindre reservasjonsadgangen er benyttet.
Datatilsynet skal sørge for at beslutningene etterleves.
§ 6-2. Datatilsynets vurdering av beskyttelsesnivået i tredjeland
Dersom Datatilsynet kommer til at et tredjeland ikke har et tilfredsstillende beskyttelsesnivå ved behandling av personopplysninger, skal Datatilsynet gi melding til EU-kommisjonen og de øvrige medlemsstater om sin beslutning.
Dersom Datatilsynet, etter en konkret vurdering i henhold til direktiv 95/46/EF artikkel 26 nr. 2, allikevel tillater overføring av personopplysninger til et tredjeland som ikke sikrer et tilfredsstillende beskyttelsesnivå i henhold til direktiv 95/46/EF artikkel 25 nr. 2, skal Datatilsynet gi melding til EU-kommisjonen og øvrige medlemsstater om sin beslutning.
Dersom Kommisjonen eller andre medlemsstater har innsigelser mot Datatilsynets beslutninger i henhold til andre ledd, og Kommisjonen treffer tiltak, skal Datatilsynet sørge for at beslutningen etterleves.
F23.12.2003 nr 1798 i kraft 01.01.2004. § 6-1 og § 6-2 er endret. Før endring:
§ 6-1. Melding til EU-kommisjonen om tredjeland som ikke har tilfredsstillende beskyttelsesnivå
Dersom Datatilsynet kommer til at et tredjeland ikke har et tilfredsstillende beskyttelsesnivå ved behandling av personopplysninger, skal Datatilsynet gi melding til EU-kommisjonen og de øvrige medlemsstater om sin beslutning.
§ 6-2. EU-kommisjonens beslutninger om beskyttelsesnivået i tredjeland
Dersom EU-kommisjonen i medhold av direktiv 95/46/EF artikkel 25 beslutter at et tredjeland har eller ikke har et tilfredsstillende beskyttelsesnivå ved behandling av personopplysninger, og Norge ikke har reservert seg mot beslutningen, skal Datatilsynet sørge for at den etterleves.
Personopplysninger kan overføres til mottakere i Sveits og Ungarn i medhold av personopplysningsloven § 29 første ledd, jf. Kommisjonens beslutninger 2000/518/EF og 2000/519/EF.
Dersom sveitsiske myndigheter har slått fast at mottakeren ikke overholder sveitsiske personvernregler, kan Datatilsynet forby overføringen for å beskytte den registrerte. Datatilsynet kan også forby overføringen dersom vilkårene i bokstav a til d alle er oppfylt:
a) det er overveiende sannsynlig at mottakeren ikke overholder eller vil overholde sveitsiske personvernregler,
b) det ikke er holdepunkter for at sveitsiske myndigheter vil behandle saken innen rimelig tid,
c) det er nærliggende fare for at overføring av personopplysninger vil kunne påføre de registrerte stor skade, og
d) mottakeren har blitt varslet av Datatilsynet og fått anledning til å uttale seg om saken.
Reglene i tredje ledd gjelder tilsvarende for overføring av personopplysninger til Ungarn.