Datatilsynet er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Kongen og departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i enkelttilfeller etter loven.
Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan bestemme at direktøren ansettes på åremål.
Datatilsynet skal
Avgjørelser som Datatilsynet fatter i medhold av § 9, § 12, § 27, § 28, § 30, § 33, § 34, § 35, § 44, § 46 og § 47 kan påklages til Personvernnemnda. Avgjørelser som fattes i medhold av § 27 eller § 28 kan påklages videre til Kongen dersom avgjørelsen gjelder personopplysninger som behandles for historiske formål.
Personvernnemnda avgjør klager over Datatilsynets avgjørelser, jf. § 42 fjerde ledd. Nemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. § 42 første ledd annet punktum gjelder tilsvarende.
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til gjenoppnevning for ytterligere fire år. Lederen og nestlederen oppnevnes av Stortinget. De øvrige fem medlemmene oppnevnes av Kongen.
Personvernnemnda kan bestemme at lederen eller nestlederen sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser som må avgjøres uten opphold.
Personvernnemnda orienterer årlig Kongen om behandling av klagesakene.
Søksmål om gyldigheten av Personvernnemndas avgjørelser rettes mot staten ved Personvernnemnda.
Kongen kan gi nærmere regler om Personvernnemndas organisering og saksbehandling.
Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver.
Datatilsynet kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak som nevnt i § 37, personopplysninger som behandles elektronisk og hjelpemidler for slik behandling. Tilsynet kan gjennomføre de prøver eller kontroller som det finner nødvendig og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til første og annet ledd gjelder uten hinder av taushetsplikt.
Kongen kan gi forskrift om unntak fra første til tredje ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll.
For ansatte i Datatilsynet, medlemmer av Personvernnemnda og andre som utfører tjeneste for tilsynsmyndighetene gjelder bestemmelsene om taushetsplikt i forvaltningsloven §§ 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. § 13.
Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten.
Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
Oppfyllelsesfristen er 4 uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.
Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må være oppfylt for at behandlingen skal være i samsvar med loven.
Ved pålegg etter § 12, § 27, § 28 og § 46 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før Personvernnemnda har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
Refusjonskrav som nevnt i § 44, overtredelsesgebyr etter § 46 og tvangsmulkt etter § 47 er tvangsgrunnlag for utlegg.
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Behandlingsansvarlige som formidler kredittopplysninger og som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende, skal erstatte skade som er oppstått som følge av den feilaktige meddelelsen, uten hensyn til om skaden skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.