38 Merknader til de enkelte bestemmelsene
38.1 Ny personopplysningslov
Til § 1 Gjennomføring av personvernforordningen
Det følger av bestemmelsen at personvernforordningen, slik den er inntatt i EØS-avtalen og med de tilpasninger som følger av EØS-komiteens beslutning om innlemmelse og EØS-avtalen for øvrig, gjelder som norsk lov. Forordningen er foreløpig ikke innlemmet i EØS-avtalen, og det er derfor ikke formelt besluttet i hvilket nummer rettsakten skal tas inn. Forslaget her bygger på at rettsakten tas inn i samme nummer som 95-direktivet. Dette er også løsningen som er valgt i utkastet til beslutning fra EØS-komiteen om innlemmelse av forordningen i EØS-avtalen.
Henvisninger i loven til personvernforordningen skal forstås som henvisninger til personvernforordningen slik den er innlemmet i EØS-avtalen og gjennomført i § 1.
Til § 2 Saklig virkeområde
Første ledd bestemmer at loven og forordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register, dersom ikke annet er bestemt i eller i medhold av lov. Loven og forordningen gjelder ikke for behandling av personopplysninger om avdøde personer, se nærmere om dette i punkt 4.5.3.
Ordlyden i første punktum tilsvarer forordningen artikkel 2 nr. 1, og skal tolkes likt som denne. Bestemmelsen går imidlertid foran unntakene i forordningen artikkel 2 nr. 2, som dermed ikke får selvstendig betydning. Dersom det skal gjelde unntak fra virkeområdet i tråd med artikkel 2 nr. 2, må dette fastsettes i eller med hjemmel i lov, jf. annet punktum. Første ledd innebærer dermed at loven og forordningen også gjelder utenfor EØS-avtalens saklige virkeområde, i motsetning til det som ellers ville fulgt av forordningen artikkel 2 nr. 2 bokstav a At loven gjelder både innenfor og utenfor EØS-avtalens virkeområde, er en videreføring av gjeldende rett etter gjeldende personopplysningslov. Det foreslås likevel en bestemmelse i tredje ledd om at forordningen artikkel 56 og kapittel VII bare skal gjelde innenfor EØS-avtalens virkeområde. Det vises til spesialmerknadene om dette under.
Første ledd innebærer videre at heller ikke forordningen artikkel 2 nr. 2 bokstav b c og d får noen selvstendig betydning. Etter artikkel 2 nr. 2 bokstav b, c og d gjelder forordningen ikke for henholdsvis aktiviteter i forbindelse med EUs felles utenriks- og sikkerhetspolitikk, i forbindelse med rent personlige eller familiemessige aktiviteter og på området for direktiv (EU) 2016/680. Behandlinger som ellers ville vært unntatt etter artikkel 2 nr. 2 bokstav b, c og d, er omfattet av loven og forordningens regler med mindre noe annet er bestemt i eller i medhold av lov. Når det gjelder unntaket i bokstav c for rent personlige eller familiemessige aktiviteter, er det fastsatt i § 2 annet ledd bokstav a at loven eller forordningen ikke gjelder, se merknadene til denne bestemmelsen under. Det er ikke fastsatt generelle unntak tilsvarende artikkel 2 nr. 2 bokstav a, b og d.
At forordningen og loven gjelder med mindre annet er bestemt i eller med hjemmel i lov, innebærer at det må sees hen til eventuell særlovgivning som helt eller delvis gjør unntak fra forordningen og loven på nærmere bestemte områder. Det understrekes at forordningen kun kan fravikes i den utstrekning den åpner for det. I tilfelle konflikt vil forordningen gå foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2 og merknaden til fjerde ledd under.
Annet ledd lister opp tilfeller hvor det gjøres nærmere avgrensede unntak fra hovedregelen i første ledd.
Bokstav a bestemmer at loven og forordningen ikke gjelder ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter. Unntaket tilsvarer forordningen artikkel 2 nr. 2 bokstav c.
Bokstav b bestemmer at loven og forordningen ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.). Bestemmelsen viderefører gjeldende rett etter gjeldende personopplysningsforskrift § 1-3.
Tredje ledd bestemmer at forordningen artikkel 56 og kapittel VII bare gjelder innenfor EØS-avtalens virkeområde. Forordningen kapittel VII inneholder bestemmelser om blant annet nasjonale tilsynsmyndigheters rett og plikt til å samarbeide med hverandre og Personvernrådets rett og plikt til å avsi bindende beslutninger i tilfeller av uenighet mellom nasjonale tilsynsmyndigheter, og det vil ikke være adgang til å gi disse bestemmelsene anvendelse utenfor EØS-avtalens virkeområde.
Fjerde ledd bestemmer at bestemmelsene i forordningen i tilfelle konflikt skal gå foran bestemmelser i annen lov som regulerer samme forhold. Bestemmelsen har kun pedagogisk betydning, da det samme følger av EØS-loven § 2. Bestemmelsen innebærer et unntak fra bestemmelsen i første ledd om at loven og forordningen bare gjelder så langt ikke annet er bestemt i lov, ved at slik lov likevel må vike hvis den er i strid med forordningen.
Femte ledd inneholder en forskriftshjemmel hvoretter Kongen kan fastsette at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.
Til § 3 Forholdet til ytrings- og informasjonsfriheten
Bestemmelsen gjør av hensyn til ytrings- og informasjonsfriheten unntak fra de fleste av forordningens regler ved behandling utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer, jf. forordningen artikkel 85. Anvendelsesområdet for journalistiske, kunstneriske og litterære formål er det samme som etter gjeldende rett, herunder at bestemmelsen kun kommer til anvendelse for behandling som skjer utelukkende for disse formålene, se Ot.prp. nr. 92 (1998–99) side 107–108 og Prop. 47 L (2011–2012) side 41. I tråd med forordningen artikkel 85 omfatter bestemmelsen også behandling utelukkende med henblikk på akademiske ytringer. Akademiske ytringer skal forstås på samme måte som i forordningen artikkel 85, jf. punkt 14.2 over.
De materielle pliktbestemmelsene i forordningen som gis anvendelse, er artikkel 24 (den behandlingsansvarliges ansvar), artikkel 26 (felles behandlingsansvarlige), artikkel 28 (databehandler), artikkel 29 (behandling som utføres for den behandlingsansvarlige eller databehandleren) og artikkel 32 (sikkerhet ved behandlingen). I tillegg gjelder forordningens bestemmelser om atferdsnormer og sertifisering. Slike ordninger er frivillige, men kan lette oppfyllelsen av de forpliktelsene som er gjort gjeldende.
Endelig gjelder forordningens og lovens regler om tilsynsmyndigheten og sanksjoner mv., jf. forordningen kapittel VI og VIII og lovens kapittel 6 og 7, men bare i samme utstrekning som de materielle bestemmelsene. Det understrekes at Datatilsynets tilsynskompetanse, herunder adgangen til å få tilgang til opplysninger og lokaler mv., må utøves i tråd med de alminnelige skrankene for inngrep ytrings- og informasjonsfriheten, jf. Grunnloven § 100 og EMK artikkel 10.
Til § 4 Geografisk virkeområde
Bestemmelsen fastsetter lovens geografiske virkeområde. Bestemmelsen konsumerer reglene om geografisk virkeområde i forordningen artikkel 3. Artikkel 3 får dermed ingen selvstendig betydning for fastleggelse av lovens geografiske virkeområde, men som det fremgår under må det likevel sees hen til artikkel 3 ved tolkningen av bestemmelsen.
Første ledd er hovedregelen om lovens geografiske anvendelsesområde og bygger på etableringslandsprinsippet, jf. forordningen artikkel 3 nr. 1. Første ledd tilsvarer forordningen artikkel 3 nr. 1 og bestemmer at loven gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om hvor behandlingen finner sted i EØS eller ikke. Bestemmelsen skal forstås på samme måte som forordningen artikkel 3 nr. 1, jf. også fortalepunkt 22 som gir anvisning på den nærmere forståelsen av bestemmelsens nedslagsfelt.
Annet ledd tilsvarer forordningen artikkel 3 nr. 2 og bestemmer at loven på nærmere vilkår også gjelder for behandling av personopplysninger i tilfeller hvor den behandlingsansvarlige eller databehandleren ikke er etablert i EØS. Vilkårene for at loven skal gjelde i disse tilfellene, er at den registrerte befinner seg i Norge, og at behandlingen er knyttet til a) tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller b) monitorering av deres atferd, i den grad deres atferd finner sted i Norge. Bestemmelsen skal forstås på samme måte som forordningen artikkel 3 nr. 2, jf. også fortalepunkt 24. I fortalepunkt 24 er det gitt en anvisning på momenter som skal vektlegges ved vurderingen av om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd.
Tredje ledd bestemmer at loven og personvernforordningen også gjelder for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten. Bestemmelsen skal forstås på samme måte som forordningen artikkel 3 nr. 3, jf. også fortalepunkt 25.
Fjerde ledd gir hjemmel for forskrift om anvendelse av loven på Svalbard og Jan Mayen. Kongen kan i forskrift fastsette særlige regler om behandling av personopplysninger for disse områdene.
Til § 5 Barns samtykke i forbindelse med informasjonssamfunnstjenester
I forordningen artikkel 8 nr. 1 fastsettes det en særskilt aldersgrense på 16 år for barns samtykke i forbindelse med informasjonssamfunnstjenester. Det åpnes for at aldersgrensen i nasjonal rett kan settes lavere enn grensen på 16 år som følger av artikkel 8. Etter forslaget her settes aldersgrensen i norsk rett til 13 år. Aldersgrensen representerer dermed et lovbestemt unntak fra utgangspunktet om mindreåriges rettslige handleevne, jf. vergemålsloven § 9, som gjelder innenfor virkeområdet til forordningen artikkel 8. Artikkel 8 gjelder ved barns samtykke i forbindelse med informasjonssamfunnstjenester. I forordningen artikkel 4 nr. 25 er «informasjonssamfunnstjeneste» definert som «en tjeneste som definert i artikkel 1 nr.1 bokstav b i europaparlaments- og rådsdirektiv (EU) 2015/1535». Direktiv (EU) 2015/1535 artikkel 1 nr. 1 bokstav b lyder i dansk språkversjon slik:
««tjeneste»: enhver tjeneste i informationssamfundet, dvs. enhver tjeneste, der normalt ydes mod betaling, og som teleformidles ad elektronisk vej på individuel anmodning fra en tjenestemodtager.
Med henblik på denne definition forstås ved:
i) «teleformidling»: at en tjeneste ydes, uden at parterne er til stede samtidig
ii) «ad elektronisk vej»: at en tjeneste fra afsendelsesstedet sendes og på bestemmelsesstedet modtages ved hjælp af elektronisk databehandlingsudstyr (herunder digital komprimering) og datalagringsudstyr, og som udelukkende sendes, rutes og modtages via tråd, radio, optiske midler eller andre elektromagnetiske midler
iii) «på individuel anmodning fra en tjenestemodtager»: at en tjeneste ydes ved transmission af data på individuel anmodning.»
Til § 6 Behandling av særlige kategorier av personopplysninger i arbeidsforhold
Bestemmelsen åpner på grunnlag av forordningen artikkel 9 nr. 2 bokstav b for behandling av særlige kategorier personopplysninger, jf. artikkel 9 nr. 1. Bestemmelsen gjelder kun behandling av opplysninger på arbeidsrettens område, ikke for trygderettslige eller sosialrettslige formål, som også reguleres i artikkel 9 nr. 2 bokstav b. Bestemmelsen viderefører gjeldende rett etter personopplysningsloven § 9 første ledd bokstav f, se Ot.prp. nr. 92 (1998–99) side 110–111.
Det understrekes at bestemmelsen bare gjør unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i artikkel 9 nr. 1. Det er altså på vanlig måte nødvendig å påvise et behandlingsgrunnlag etter artikkel 6 nr. 1. Bestemmelsen vil ikke utgjøre supplerende rettsgrunnlag etter artikkel 6 nr. 3.
Til § 7 Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift
Bestemmelsen er fastsatt på grunnlag av forordningen artikkel 9 nr. 2 bokstav g og åpner for unntak fra forbudet mot behandling av særlige kategorier av opplysninger av hensyn til viktige allmenne interesser.
Første ledd åpner for at Datatilsynet i særlige tilfeller kan tillate behandlinger av særlige kategorier av personopplysninger dersom behandlingen er nødvendig av hensyn til viktige allmenne interesser. Bestemmelsen er en sikkerhetsventil som åpner for at Datatilsynet etter en konkret vurdering kan tillate én eller flere spesifikke behandlinger av særlige kategorier av personopplysninger der det ikke foreligger andre lov- eller forskriftsbestemmelser som åpner for behandling av slike personopplysninger.
Vilkåret «særlige tilfeller» innebærer at det må foretas en helhetsvurdering av hvorvidt tillatelse skal gis. I denne vurderingen må særlig vekten av den aktuelle allmenne interessen tas i betraktning, samt muligheten for å lov- eller forskriftsregulere behandlingen. Tillatelse skal som den klare hovedregel bare gis i tilfeller der det ikke er tilstrekkelig tid til å forberede og vedta lov eller forskrift som regulerer behandlingen, eller der behandlingssituasjonen er så unik at det ikke vil være naturlig å regulere den gjennom generelle regler i lov eller forskrift.
Tillatelsen kan gjøres tidsbegrenset. Dersom tillatelsen gis på bakgrunn av at det på vedtakstidspunktet ikke er tilstrekkelig tid til å forberede og vedta lov eller forskrift om behandlingen, bør tillatelsen være tidsbegrenset.
Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. første ledd annet punktum.
Annet ledd gir hjemmel for forskrifter om unntak fra forbudet i forordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser, jf. forordningen artikkel 9 nr. 2 bokstav g. Det skal i forskriften fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
Departementet understreker at tillatelser og forskrifter etter § 7 kun gjelder unntak fra forbudet i artikkel 9 nr. 1. Det vil si at det på vanlig måte er nødvendig å påvise et behandlingsgrunnlag etter artikkel 6 nr. 1. En tillatelse eller forskrift vil ikke kunne utgjøre supplerende rettsgrunnlag for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e.
Til § 8 Behandling av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål
Første punktum gir supplerende rettsgrunnlag for behandling av personopplysninger som er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål på grunnlag av artikkel 6 nr. 1 bokstav e, jf. nr. 3. At behandlingen kan skje på grunnlag av artikkel 6 nr. 1 bokstav e, innebærer at det ikke er nødvendig med den registrertes samtykke. Bestemmelsen tar sikte på å videreføre adgangen etter gjeldende rett til å behandle personopplysninger for arkiv-, forsknings- og statistikkformål i allmennhetens interesse, jf. personopplysningsloven § 8 bokstav d. Bestemmelsen gjelder ved siden av andre supplerende rettsgrunnlag for arkiv, forsknings- og statistikkformål, og begrenser heller ikke adgangen til å behandle personopplysninger for disse formålene på grunnlag av de andre alternativene i artikkel 6 nr. 1.
Arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning og statistiske formål skal forstås på samme måte som i forordningen, jf. blant annet forordningen artikkel 5 nr. 1 bokstav b og artikkel 89 nr. 1, jf. fortalepunkt 158 til 162.
Annet punktum viser av pedagogiske grunner til at behandlingen må oppfylle kravene i forordningen artikkel 89 nr. 1.
Til § 9 Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål
Bestemmelsen åpner på nærmere vilkår for behandling av særlige kategorier av personopplysninger, uten at den registrerte samtykker, for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål, jf. forordningen artikkel 9 nr. 2 bokstav j.
Første ledd første punktum angir som grunnvilkår for behandlingen at samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Dette vilkåret viderefører gjeldende rett etter personopplysningsloven § 9 første ledd bokstav h. Første ledd annet punktum henviser av pedagogiske årsaker til den behandlingsansvarliges forpliktelser etter forordningen artikkel 89 nr. 1.
Annet ledd pålegger den behandlingsansvarlige en plikt til å rådføre seg med personvernombudet etter forordningen artikkel 37 eller en annen som oppfyller vilkårene i forordningen artikkel 37 nr. 5 og 6 og 38 nr. 3 første og annet punktum før behandling av særlige kategorier av personopplysninger etter første ledd. Plikten til å rådføring innebærer at den behandlingsansvarlige må innhente personvernombudets eller rådgiverens konkrete vurdering av den planlagte behandlingen og om denne etter ombudets eller rådgiverens synspunkt vil være i tråd med forordningens eller lovens krav, jf. annet punktum. Ombudet eller rådgiveren trenger imidlertid ikke å gi noen formell godkjennelse eller tilrådning.
Det vil fortsatt være den behandlingsansvarliges ansvar å sørge for at behandlingen er lovlig. Personvernombudets eller rådgiverens vurdering er ikke bindende for den behandlingsansvarlige. Den behandlingsansvarlige kan dermed la være å følge anbefalingene uten at det i seg selv er i strid med loven. Tilsvarende kan Datatilsynet komme til at behandlingen er ulovlig, og eventuelt ilegge sanksjoner, selv om den behandlingsansvarlige har fulgt ombudets eller rådgiverens anbefalinger.
Bestemmelsen oppstiller ingen formelle krav til innholdet i ombudets ellers rådgiverens vurdering utover at ombudet eller rådgiveren skal vurdere om behandlingen oppfyller kravene i forordningen og personopplysningsloven for øvrig, samt eventuelle forskrifter fastsatt i medhold av personopplysningsloven. Rådføringen må gjelde alle kravene som regulerer behandlingen, og er altså ikke begrenset til vilkårene for behandling av særlige kategorier av personopplysninger uten samtykke. Bestemmelsen pålegger derimot ikke den behandlingsansvarlige å rådføre seg om kravene i annen lovgivning.
Personvernombudets eller rådgiverens vurdering må være en reell og konkret vurdering av om en planlagt behandling oppfyller kravene i forordningen og loven med forskrifter. Kravet om en reell og konkret vurdering innebærer at det ikke er tilstrekkelig med generell veiledning om regelverket. Videre kan den endelige vurderingen ikke skje på et så tidlig stadium av planleggingen at ombudet eller rådgiveren ikke har mulighet til å gjøre en konkret vurdering av om behandlingen vil tilfredsstille forordningens og lovens krav.
Bestemmelsen oppstiller ingen nærmere formkrav til vurderingen. Den pålegger heller ingen særlig dokumentasjonsplikt. Den behandlingsansvarlige har imidlertid et generelt ansvar for å kunne påvise av lovens regler er fulgt, jf. forordningen artikkel 5 nr. 2. Den behandlingsansvarlige må derfor på vanlig måte kunne påvise at vilkåret om rådføring er oppfylt.
Den behandlingsansvarlige står fritt til å velge mellom å rådføre seg med noen som er utpekt som personvernombud i henhold til artikkel 37, eller en annen tilsvarende kvalifisert og uavhengig rådgiver. For andre rådgivere gjelder det tilsvarende krav til faglige kvalifikasjoner som for personvernombud, jf. artikkel 37 nr. 5. Det er videre et krav at vedkommende enten er ansatt hos den behandlingsansvarlige eller utfører oppgaven på grunnlag av en tjenesteavtale, jf. artikkel 37 nr. 6. Endelig skal vedkommende ikke kunne motta instrukser om oppgaven eller straffes eller avsettes for å utføre den, jf. artikkel 38 nr. 3 første og annet punktum.
Det følger av annet ledd tredje punktum at plikten til rådføring etter første punktum ikke gjelder dersom det er utført en vurdering av personvernkonsekvenser etter forordningen artikkel 35.
Formålet med første og annet ledd er å tillate og sikre nødvendige garantier for behandling av særlige kategorier av personopplysninger for arkiv-, forsknings- og statistikkformål uten samtykke i de tilfellene der det ikke finnes annen lovgivning som åpner for behandlingen. Bestemmelsen begrenser følgelig ikke adgangen til behandling som er tillatt etter annen lov, jf. også lovens § 2 første ledd. Dersom det finnes bestemmelser i annen lovgivning som regulerer behandling av særlige kategorier av personopplysninger for disse formålene uten samtykke, beror det på en konkret tolkning av disse om de gjelder i stedet for eller i tillegg til personopplysningslovens bestemmelse.
Tredje ledd gir hjemmel for forskrifter med nærmere bestemmelser om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål.
Til § 10 Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke
Det følger av bestemmelsen at § 9 annet ledd om rådføringsplikt gjelder tilsvarende når særlige kategorier av personopplysninger behandles for forskningsformål på grunnlag av den registrertes samtykke, jf. forordningen artikkel 9 nr. 2 bokstav a. Dette innebærer at rådføringsplikten også gjelder for samtykkebasert forskning som innebærer bruk av særlige kategorier av personopplysninger. Rådføringen skal skje på den måten som er fastsatt i § 9 annet ledd. Unntaket for tilfellene der det er utført vurdering av personvernkonsekvenser etter forordningen artikkel 35, gjelder på samme måte.
Bestemmelsen gjelder bare så langt ikke annet er bestemt i lov, jf. lovforslaget § 2 første ledd om forholdet til særlovgivningen.
Til § 11 Behandling av personopplysninger om straffedommer og lovovertredelser mv.
Bestemmelsen åpner for behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak som ikke utføres under en offentlig myndighets kontroll, jf. forordningen artikkel 10. Etter forordningen artikkel 10 er hovedregelen at personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak bare kan behandles under en offentlig myndighets kontroll, se omtalen i punkt 8.2 over. Behandling av slike opplysninger som ikke skjer under en offentlig myndighets kontroll, er altså som utgangspunkt forbudt. Behandling utenfor en offentlig myndighets kontroll kan likevel skje i den utstrekning det er tillatt i unionsretten eller nasjonal rett som sikrer nødvendige garantier for de registrertes rettigheter og friheter, jf. artikkel 10 første punktum.
Forslaget til § 11 første ledd første punktum åpner for behandling av personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak også utenfor en offentlig myndighets kontroll, ved å gi forordningen artikkel 9 nr. 2 bokstav a og c til f og lovens §§ 6, 7 og 9 tilsvarende anvendelse. Dette innebærer at opplysningene kan behandles utenfor en offentlig myndighets kontroll på samme vilkår og i samme utstrekning som de nevnte bestemmelsene åpner for behandling av særlige kategorier av personopplysninger. For eksempel kan opplysningene behandles utenfor en offentlig myndighets kontroll dersom den registrerte samtykker til dette, jf. artikkel 9 nr. 2 bokstav a, dersom behandlingen er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter, jf. § 6, eller dersom Datatilsynet gir tillatelse til behandlingen etter § 7 første ledd.
Bestemmelsen begrenser ikke adgangen til å behandle slike opplysninger i medhold av annen lovgivning som oppfyller kravene i artikkel 10 første punktum, det vil si at det sikres nødvendige garantier for de registrertes rettigheter og friheter.
Bestemmelsen fastsetter kun unntak fra hovedregelen om at opplysningene bare kan behandles under en offentlig myndighets kontroll. Det er altså på vanlig måte nødvendig å påvise et behandlingsgrunnlag etter artikkel 6 nr. 1. På samme som bestemmelsene om unntak fra forbudet mot behandling av særlige kategorier av personopplysninger som det vises til, utgjør bestemmelsen altså ikke et supplerende rettsgrunnlag for behandling på grunnlag av artikkel 6 nr. 1 bokstav c og e.
Første ledd annet punktum klargjør at første punktum ikke åpner for å føre omfattende registre over straffedommer, jf. forbudet i forordningen artikkel 10 annet punktum.
Annet ledd fastsetter rådføringsplikt for behandling for forskningsformål av personopplysninger nevnt i artikkel 10, gjennom å gi § 9 annet ledd tilsvarende anvendelse. Etter bokstav a gjelder det plikt til rådføring også for samtykkebasert behandling for forskningsformål av personopplysninger som omfattes av artikkel 10, på samme måte som etter § 10 om samtykkebasert forskning på personopplysninger som omfattes av artikkel 9 nr. 1. Plikten gjelder uavhengig av om behandlingen skjer under en offentlig myndighets kontroll eller ikke. Bokstav b fastsetter rådføringsplikt for eventuelle tilfeller der behandling for forskningsformål skjer etter § 8 i loven og under en offentlig myndighets kontroll. Bakgrunnen for dette er at behandling av opplysninger som nevnt i artikkel 10 bare trenger grunnlag i artikkel 6 nr. 1 når den utføres under en offentlig myndighets kontroll. I slike tilfeller vil dermed lovens § 8, som gir supplerende rettsgrunnlag for forskning uten samtykke på grunnlag av artikkel 6 nr. 1 bokstav e, være tilstrekkelig for behandling uten samtykke, og det vil ikke være nødvendig å benytte § 9 i tillegg. Dermed vil det som utgangspunkt heller ikke være noen rådføringsplikt, i motsetning til ved behandling utenfor en offentlig myndighets kontroll, der det er nødvendig å benytte § 9, jf. § 11 første ledd. For å likestille tilfellene fastsetter § 11 annet ledd bokstav b at det er rådføringsplikt også når behandling skjer etter § 8 og under en offentlig myndighets kontroll.
Rådføringen skal skje på den måten som er fastsatt i § 9 annet ledd. Unntaket for tilfellene der det er utført vurdering av personvernkonsekvenser etter forordningen artikkel 35, gjelder på samme måte.
Til § 12 Bruk av fødselsnummer og andre entydige identifikasjonsmidler
Bestemmelsens første ledd oppstiller særlige vilkår for bruk av fødselsnummer og andre entydige identifikasjonsmidler, herunder biometriske identifikasjonsmidler, jf. forordningen artikkel 87 og artikkel 9 nr. 4. Vilkårene viderefører gjeldende rett etter personopplysningsloven § 12 første ledd, se Ot.prp. nr. 92 (1998–99) side 114 om bakgrunnen for bestemmelsen.
Bestemmelsen gir ikke i seg selv grunnlag for behandling av fødselsnummer og andre entydige identifikasjonsmidler, men oppstiller vilkår som gjelder i tillegg til de alminnelige vilkårene for lovlig behandling. Det må dermed på vanlig måte foreligge et behandlingsgrunnlag, jf. forordningen artikkel 6 nr. 1. For behandling av biometriske identifikasjonsmidler kreves det også at et av unntakene for behandling av særlige kategorier av opplysninger kommer til anvendelse, jf. artikkel 9 nr. 2.
Etter annet ledd kan Kongen gi forskrift med nærmere bestemmelser om bruk av fødselsnummer og andre entydige identifikasjonsmidler.
Til § 13 Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner
Bestemmelsen gir hjemmel for Kongen til å gi forskrift med nærmere bestemmelser om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner i den utstrekning forordningen åpner for dette. Det gis hjemmel for forskrifter om når Kommisjonens beslutninger om tilstrekkelig vernenivå og standard personvernbestemmelser skal gjelde i Norge, se punkt 36.2.3 over for en nærmere omtale av reguleringen av disse spørsmålene i forordningen og utkastet til EØS-komiteens beslutning med tilpasningstekst.
Bestemmelsen gir også hjemmel for å fastsette grenser for overføring av nærmere bestemte kategorier av personopplysninger når det ikke er truffet en beslutning om tilstrekkelig beskyttelsesnivå, jf. forordningen artikkel 49 nr. 5.
Til § 14 Forskrifter om forhåndsdrøfting og forhåndsgodkjenning
Bestemmelsen åpner for å gi forskrift om forhåndsdrøfting med tilsynsmyndigheten på grunnlag av forordningen artikkel 36 nr. 5. Det kan blant annet fastsettes bestemmelser om plikt til forhåndsdrøfting i andre tilfeller enn det som følger av forordningen artikkel 36 nr. 1.
Det åpnes for at Kongen i forskrift kan innføres en ordning med forhåndsgodkjenning (konsesjonsplikt) på nærmere bestemte livsområder. Bestemmelsen er fastsatt på grunnlag av artikkel 36 nr. 5. Det bør ved innføringen av en plikt til forhåndsgodkjenning etter departementets syn også forskriftfestes hva som skal vurderes som ledd i forhåndskontrollen hos Datatilsynet. Forordningen regulerer så langt departementet kan se ikke dette spørsmålet. Det foreslås derfor at Kongen også kan gi forskrift om hva forhåndsgodkjenningen nærmere skal bestå i. Etter departementets syn bør forhåndsgodkjenningen legges opp etter mønster av gjeldende rett, som en bred interesseavveining.
Til § 15 Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter
Bestemmelsen gir hjemmel for forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter som vedtas av Kommisjonen i medhold av forordningen. Dette gjelder blant annet rettsakter om standardvilkår for databehandleravtaler, jf. artikkel 28 nr. 7, godkjente atferdsnormer som gis allmenn gyldighet i EØS, jf. artikkel 40 nr. 9, tekniske standarder for sertifiseringsmekanismer og personvernsegl og -merker mv., jf. forordningen artikkel 43 nr. 9, og formatet og fremgangsmåtene for utveksling av informasjon mellom behandlingsansvarlige, databehandlere og tilsynsmyndigheter om bindende virksomhetsregler, jf. artikkel 47 nr. 3. Før slike rettsakter gjelder i Norge, må de inntas i EØS-avtalen og gjennomføres særskilt i norsk rett, jf. punkt 36.2.4 over. Gjennomføring i norsk rett kan skje i forskrift i medhold av denne bestemmelsen.
Om Kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå og standard personvernbestemmelser i forbindelse med overføring til tredjestater og internasjonale organisasjoner vises det til punkt 36.2.3 og merknaden til § 13.
Til § 16 Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten
Bestemmelsen fastsetter unntak fra retten til informasjon og innsyn etter forordningen artikkel 13 til 15 samt plikten til underretning om brudd på personopplysningssikkerheten etter artikkel 34.
Første ledd gjør unntak fra retten til informasjon og innsyn etter forordningen artikkel 13 til 15, og supplerer unntakene som følger direkte av forordningen, jf. artikkel 13 nr. 4, artikkel 14 nr. 5 og 15 artikkel nr. 4.
Første ledd bokstav a gjør unntak for opplysninger som er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser og som den behandlingsansvarlige kan unnta fra innsyn etter offentleglova §§ 20 eller 21. Unntaket tilsvarer forvaltningsloven § 19 første ledd bokstav a, og har til formål å unngå at forordningens innsynsregler uthuler unntakene i forvaltningsloven og offentleglova. Vilkåret om at den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21, innebærer at unntaket bare kan benyttes av behandlingsansvarlige som er omfattet av offentleglova.
Første ledd bokstav b gjør unntak for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger, og viderefører gjeldende lov § 23 første ledd bokstav b, jf. Ot.prp. nr. 92 (1998–99) side 121.
Første ledd bokstav c gjør unntak for opplysninger som det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær, og viderefører gjeldende lov § 23 første ledd bokstav c. Opplysningene kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det, jf. annet ledd. Bestemmelsen svarer til forvaltningsloven § 19 første ledd bokstav d, jf. Ot.prp. nr. 92 (1998–99) side 121.
Første ledd bokstav d gjør unntak for opplysninger som i lov eller i med hjemmel i lov er underlagt taushetsplikt, og svarer til gjeldende lov § 23 første ledd bokstav d, jf. Ot.prp. nr. 92 (1998–99) side 121. For informasjonsplikten etter artikkel 14 følger det samme av direkte av forordningen artikkel 14 nr. 5 bokstav d.
Første ledd bokstav e gjør unntak for opplysninger som utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser. Unntaket viderefører § 23 første ledd bokstav e i gjeldende lov, men oppstiller et ytterligere krav om at det bare kan gjøres unntak så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser. Dette vilkåret svarer til vilkåret i offentleglova § 15 første ledd, og denne bestemmelsen kan gi veiledning for vurderingen. På samme måte som etter offentleglova § 15 første ledd er det ikke bare hensynet til den interne saksforberedelse i den enkelte saken som kan vektlegges, men også hensynet til avgjørelsesprosessene i fremtidige saker.
Første ledd bokstav f gjør unntak for opplysninger som det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om. Bestemmelsen viderefører gjeldende rett etter personopplysningsloven § 23 første ledd bokstav f, jf. Ot.prp. nr. 92 (1998–99) side 122. I motsetning til etter gjeldende lov er det imidlertid ikke understreket i bestemmelsen at det også kan legges vekt på hensynet til den registrerte selv. Dette medfører ingen realitetsendring.
Det følger av tredje ledd første punktum at den som nekter å gi innsyn i medhold av unntakene i første ledd, må begrunne dette skriftlig og gi presis henvisning til unntakshjemmelen. Dette er en videreføring av gjeldende rett. Av annet punktum følger det at en begrunnelse for nektelse av innsyn på grunnlag av første ledd bokstav f også må angi hvilke hensyn som begrunner hemmelighold. Dette kravet er nytt sammenlignet med gjeldende rett.
Det følger av fjerde ledd at plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter forordningen artikkel 34 ikke gjelder i den utstrekning slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d. At bestemmelsen kun gjør unntak i den utstrekning underretningen vil røpe slike opplysninger, innebærer at det foreligger underretningsplikt så langt det er mulig å gi underretning uten å røpe de nevnte opplysningene. Dette kan etter omstendighetene medføre en plikt til begrenset underretning, for eksempel slik at visse detaljer om arten og konsekvensen av sikkerhetsbruddet holdes hemmelig fordi det er påkrevd for å forebygge straffbare handlinger.
Endelig følger det av femte ledd at Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.
Til § 17 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål
Bestemmelsen gjør unntak fra visse av den registrertes rettigheter i forbindelse med behandling av personopplysninger for arkivformål i allmennhetens interesse, for formål knyttet til vitenskapelig eller historisk forskning eller for statistiske formål. Avgrensningen av arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning og statistiske formål er den samme etter forordningen, jf. for eksempel artikkel 5 nr. 1 bokstav b og artikkel 89 nr. 1. Når behandlingen har andre formål i tillegg, gjelder unntakene bare for arkiv-, forsknings- og statistikkformålene, jf. også forordningen artikkel 89 nr. 4.
Første ledd gjør unntak fra innsynsretten etter forordningen artikkel 15, og oppstiller to alternative vilkår.
Etter bokstav a kan det gjøres unntak dersom det vil kreve en uforholdsmessig stor innsats å gi innsyn. Det kan bare gjøres unntak i den utstrekning innsyn er uforholdsmessig. Det må derfor foretas en konkret vurdering av de ulike typene informasjon som omfattes av artikkel 15. Det kan for eksempel kreve en uforholdsmessig innsats å gi en kopi av personopplysningene som behandles, jf. artikkel 15 nr. 3, men ikke å gi slik generell informasjon som er nevnt i artikkel 15 nr. 1 og 2. Da vil det foreligge innsynsrett etter artikkel 15 nr. 1 og 2, men ikke etter nr. 3. I forholdsmessighetsvurderingen inngår ikke bare den enkelte innsynsbegjæringen; også den samlede mengden av innsynsbegjæringer og potensielle innsynsbegjæringer kan tas i betraktning. Unntaket er fastsatt med grunnlag i forordningen artikkel 23 nr. 1.
Etter bokstav b kan det gjøres unntak så langt innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås. Bestemmelsen tar sikte på tilfeller der innsynsrett av andre grunner enn ressursårsaker vil være til hinder for at behandlingsformålet nås.
Unntakene i første ledd gjelder ved siden av unntakene i § 16.
Annet ledd gjør unntak fra retten til retting og begrensning av behandling etter forordningen artikkel 16 og 18 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås. Bestemmelsen må tolkes i tråd med artikkel 17 nr. 3 bokstav d og artikkel 89 nr. 2 og 3.
Det følger av tredje ledd at unntakene i første og annet ledd ikke gjelder dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte. Unntaket tar sikte på tilfeller der behandlingen får virkninger for den registrerte utover opplevelsen av inngrep i personvernet.
Til § 18 Personvernombudets taushetsplikt
Bestemmelsen regulerer taushetsplikt for personvernombud.
Første ledd bokstav a til d fastsetter hovedregelen om at personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om noens personlige forhold, tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet, sikkerhetstiltak etter forordningen artikkel 32 eller enkeltpersoners varsling om overtredelser av loven her, herunder overtredelser av personvernforordningen, jf. § 1.
Annet ledd fastsetter unntak fra taushetsplikten. Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.
Tredje ledd første punktum fastsetter taushetspliktens virkning i tid. Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. I tredje ledd annet punktum er det bestemt at opplysninger som er underlagt taushetsplikt etter bestemmelsen heller ikke kan utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.
Til § 19 Forskrifter om plikt til å utpeke personvernombud
Bestemmelsen inneholder en forskriftshjemmel hvoretter Kongen kan gi nærmere bestemmelser om plikt til å utpeke personvernombud.
Til § 20 Datatilsynet
Bestemmelsen gjennomfører deler av forpliktelsene etter forordningen artikkel 54 nr. 1 der det fremgår av det ved nasjonal lov skal fastsettes regler om opprettelse av tilsynsmyndigheten. Det følger av første ledd første punktum at Datatilsynet skal være tilsynsmyndighet, jf. artikkel 54 nr. 1 bokstav a. I første ledd annet og tredje punktum følger regler for å sikre tilsynsmyndighetens uavhengige stilling. Disse kravene er en nærmere spesifisering av uavhengighetskravene som følger av forordningen artikkel 52.
I annet ledd første punktum gis det regler om utnevnelse av medlemmet til tilsynsmyndigheten, jf. artikkel 54 nr. 1 bokstav c. I annet ledd annet punktum gis Kongen kompetanse til i forskrift å fastsette at direktøren skal ansettes på åremål, og varigheten på åremålet og om det er adgang til gjenutnevning, jf. artikkel 54 nr. 1 bokstav d og e. Dersom det ikke fastsettes slike regler i forskrift vil direktører som utnevnes etter at loven trer i kraft være fast ansatte, jf. statsansatteloven § 9 første ledd. Øvrig nasjonal regulering i henhold til artikkel 54 nr. 1 følger av generelle arbeidsrettslige og forvaltningsrettslige regler som gjelder for ansatte i staten, se omtale i punkt 25.5 over.
Det fremgår i tredje ledd at Datatilsynet har kompetanse til å føre tilsyn med overholdelse av nasjonale bestemmelser som utfyller forordningen, herunder regler som spesifiserer og supplerer forordningens regler. Dette gjelder både regler som følger av loven her og av særlovgivningen om behandling av personopplysninger. Det gjøres med denne bestemmelsen klart at det ikke er avgjørende for utøvelse av tilsynsmyndighetens kompetanse om en regel om behandling av opplysninger i det enkelte tilfelle følger av nasjonal lovgivning eller direkte av forordningen. Det er presisert i ordlyden at kompetansen kun gjelder behandling som omfattes av virkeområdet forordningen gis i norsk rett, jf. § 2, altså for «helt eller delvis automatisert behandling av personopplysninger og på ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register», som ikke omfattes av unntakene som oppstilles i § 2. Regelen om tilsynsmyndighets kompetanse kan, som i andre tilfeller, fravikes i særlovgivningen, så lenge reglene er innenfor rammene av forordningen der det gjelder behandling innenfor EØS-avtalens virkeområde.
Tredje ledd utvider ikke adgangen til å ilegge overtredelsesgebyr etter artikkel 83. Det følger imidlertid av artikkel 83 nr. 5 bokstav e og nr. 6 at manglende etterlevelse av pålegg fra tilsynsmyndigheten kan gi grunnlag for å ilegge overtredelsesgebyr. Dette vil også gjelde ved pålegg som omfattes av bestemmelsen her.
Fjerde ledd er en videreføring av gjeldende forskriftshjemmel til å fastsette forskrifter om dekning av Datatilsynets kostnader ved kontroll, herunder at et slikt krav er tvangsgrunnlag for utlegg.
Til § 21 Årsrapport fra Datatilsynet
Bestemmelsen gir en nærmere regulering av tilsynsmyndighetens plikt til å utforme årsrapport etter artikkel 59. Det følger av bestemmelsen her at Datatilsynet må sende rapporten direkte til Kongen, som sørger for overleveringen til Stortinget. Dette er en videreføring av gjeldende rett.
Til § 22 Personvernnemnda
Bestemmelsen gir regler om Personvernnemnda. Bestemmelsen viderefører i hovedsak gjeldende rett etter personopplysningsloven.
I første ledd gis det regler om nemndas organisasjon og uavhengighet.
I annet ledd følger regler om nemndas oppgaver og kompetanse. Nemnda kan etter annet ledd første punktum avgjøre klager over Datatilsynets vedtak. Begrepet «vedtak» skal forstås på samme måte som etter forvaltningsloven, jf. forvaltningsloven § 2 første ledd bokstav a. Det følger av annet ledd annet punktum at vedtak som omfattes av den såkalte «konsistensmekanismen» ikke kan påklages til nemnda. Unntaket er foreslått på grunn av at forordningen gir detaljerte regler om behandling av saker etter konsistensmekanismen som ikke kan forenes med klage til Personvernnemnda.
Det følger av tredje ledd at samtlige av nemndas medlemmer utnevnes av Kongen. Dette er nytt sammenlignet med gjeldende rett. Gjeldende regler om antall medlemmer i nemnda og krav om at leder og nestleder skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap, videreføres. Fjerde til sjette ledd innebærer også videreføringer av gjeldende rett, men det er foretatt enkelte språklige endringer. Se nærmere om bestemmelsene i Ot.prp. nr. 92 (1998–99) side 132. En beslutning fra Personvernnemnda etter fjerde ledd skal kunne være generell, slik at det fastsettes en ordning som følges for behandling av alle hastesaker. I de tilfellene der lederen eller nestlederen og to nemndsmedlemmer skal kunne avgjøre klager som må behandles raskt, skal de også kunne ta stilling om den aktuelle klagen er å anse som en hastesak.
Til § 23 Tilgang til opplysninger
Det følger av første ledd at undersøkelsesmyndigheten gjelder uten hinder av taushetsplikt. Dette er en presisering av forordningens regler, da dette ikke fremgår klart av forordningen. Bestemmelsen er ment å videreføre gjeldende rett etter personopplysningsloven § 44 første og tredje ledd.
Da Personvernnemnda ikke omfattes av forordningens regler om tilsynsmyndigheten, er det i annet ledd fastsatt at reglene om å pålegge den behandlingsansvarlige eller databehandleren å fremlegge informasjon gjelder tilsvarende for nemnda. Bestemmelsen er ment å videreføre gjeldende rett etter personopplysningsloven § 44 første og tredje ledd.
Tredje ledd fastsetter at behandling av personopplysninger som er nødvendig av hensyn til rikets eller alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, er unntatt fra tilsynsmyndighetens undersøkelsesmyndighet etter forordningen artikkel 58. nr. 1. Dette innebærer en videreføring av gjeldende rett etter någjeldende personopplysningsforskrift § 1-2 første ledd. Videre fastsetter tredje ledd at uenighet mellom behandlingsansvarlig og Datatilsynet om utstrekningen av unntaket skal avgjøres av Personvernnemnda. Også dette er en videreføring av gjeldende rett etter personopplysningsforskriften § 1-2 annet ledd.
Til § 24 Taushetsplikt
Bestemmelsens første ledd er gitt på bakgrunn av artikkel 54 nr. 2, som fastsetter at taushetsplikt for medlemmer av tilsynsmyndigheten og personell hos tilsynsmyndigheten skal følge av nasjonal rett. Bestemmelsen viderefører i hovedsak gjeldende rett etter personopplysningsloven § 45 første ledd, men det er føyd til at taushetsplikten omfatter enkeltpersoners varsling av overtredelser av loven, herunder overtredelser av personvernforordningen, jf. § 1, på bakgrunn av kravene i artikkel 54 nr. 2.
I annet ledd videreføres reglene i personopplysningsloven § 45 annet ledd for så vidt gjelder Datatilsynet. Bestemmelsen muliggjør blant annet samarbeid innenfor den såkalte konsistensmekanismen. Den tilsvarende reguleringen av Personvernnemnda, som følger av gjeldende rett, er tatt ut da det fremstår som lite praktisk at nemnda skal gi opplysninger til utenlandske tilsynsmyndigheter. Det er videre foretatt en redaksjonell endring i bestemmelsen for å tydeliggjøre at opplysninger kan deles der det er nødvendig for at enten den norske eller utenlandske tilsynsmyndigheten skal kunne treffe vedtak. Se nærmere om bestemmelsen i Ot.prp. nr. 92 (1998–99) side 133.
Til § 25 Partsstilling
Første ledd regulerer utøvelsen av statens partsstilling etter tvisteloven § 2-1 første ledd bokstav b i forbindelse med saker knyttet til Datatilsynets virksomhet. Bestemmelsen innebærer at tilsynet kan opptre selvstendig i saker for domstolene. Reglene gjelder kun saker som er knyttet til tilsynsvirksomheten. Dette vil imidlertid også kunne omfatte saker som ikke gjelder gyldigheten av et vedtak fra Datatilsynet, for eksempel vil tilsynet selvstendig kunne erklære partshjelp etter tvisteloven § 15-7 i en tvist som er saklig knyttet til Datatilsynets virksomhetsområde. Den nærmere adgangen til å ta ut søksmål eller opptre i saker for domstolene på andre måter vil måtte vurderes på bakgrunn av tvistelovens regler i det enkelte tilfelle. I en eventuell sak mellom Datatilsynet og et annet offentlig organ, vil ikke begge parter kunne opptre på vegne av staten. Partsstillingen i en slik situasjon vil etter departementets syn måtte løses i praksis i det enkelte tilfellet.
Annet ledd viderefører gjeldende rett om partsstillingen ved søksmål om gyldigheten av Personvernnemndas vedtak. Se nærmere om bakgrunnen for bestemmelsen i Ot.prp. nr. 92 (1998–99) side 132.
Til § 26 Overtredelsesgebyr
Første ledd bestemmer at forordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av artikkel 10 og artikkel 24. Dette innebærer at også overtredelser av artikkel 10 og artikkel 24 vil kunne sanksjoneres med overtredelsesgebyr, og at det i disse tilfellene er de beløpsmessige grensene i artikkel 83 nr. 4 som vil komme til anvendelse.
Annet ledd bestemmer at Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr. Bestemmelsen er gitt i medhold av forordningen artikkel 83 nr. 7. Ved dette vil de samme reglene om ileggelse av administrative gebyrer gjelde for offentlige myndigheter og organer som for private, herunder reglene om maksimalsatser for administrative gebyrer.
Til § 27 Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr
Første ledd bestemmer at oppfyllelsesfristen for overtredelsesgebyr er fire uker fra vedtaket er endelig og er en videreføring av gjeldende rett. Vedtaket er endelig når klagefristen er utløpt eller når den administrative klagemuligheten, det vil si klage til Personvernnemnda, er uttømt. I tilfeller hvor vedtaket ikke kan påklages blir Datatilsynets vedtak endelig. Bestemmelsen innebærer en noe annen regulering enn det som følger av forvaltningsloven § 44 femte ledd som knytter oppfyllelsesfristen til når vedtaket ble truffet.
Annet ledd bestemmer at retten kan prøve alle sider av saker om overtredelsesgebyr. Videre kan retten avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig. Det følger også av forvaltningsloven § 50 at retten ved prøving av vedtak om administrative sanksjoner kan prøve alle sider av saken. Bestemmelsen presiserer at retten også kan avsi dom for realiteten i saken.
Til § 28 Foreldelse
Bestemmelsen fastsetter at adgangen til å ilegge overtredelsesgebyr foreldes 5 år etter en overtredelse er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.
Til § 29 Tvangsmulkt
Første ledd fastsetter at Datatilsynet ved pålegg etter loven, herunder personvernforordningen, jf. § 1, kan fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt. Reglene om tvangsmulkt i forvaltningsloven § 51 vil komme supplerende til anvendelse. Forordningen åpner i en rekke situasjoner for at Datatilsynet kan gi pålegg. Et pålegg kan for eksempel gå ut på at den behandlingsansvarlige skal rette eller slette personopplysninger eller begrense behandlingen i henhold til artikkel 16, 17 og 18, jf. forordningen artikkel 58 nr. 2 bokstav g.
Annet ledd bestemmer at Kongen i forskrift kan gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.
Til § 30 Erstatning for ikke-økonomisk skade (oppreisning)
Bestemmelsen fastsetter at den som er erstatningsansvarlig etter reglene i forordningen artikkel 82 kan pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig. Bestemmelsen viderefører adgangen etter gjeldende personopplysningslov til å pålegge erstatningansvar for ikke-økonomisk tap, jf. personopplysningsloven § 49 tredje ledd annet punktum. Som etter gjeldende rett vil det ved vurderingen blant annet være naturlig å legge vekt på krenkelsens grovhet, utvist skyld, den behandlingsansvarliges økonomi og hvilke andre sanksjoner som rettes mot den behandlingsansvarlige eller databehandleren. Det vil også være naturlig å legge vekt på i hvilken utstrekning krenkingen har ført til en berikelse for den behandlingsansvarlige eller databehandleren. For personopplysninger som behandles for næringsformål vil det oftere være slik at den krenkelsen som den skadelidte er påført korresponderer med en berikelse for den behandlingsansvarlige eller databehandleren, jf. spesialmerknadene til § 49 tredje ledd i Ot.prp. nr. 92 (1998–99) på side 135.
§ 31 Uekte kameraovervåkingsutsyr
Første ledd første punktum oppstiller et forbud mot å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking likevel finner sted, dersom reell kameraovervåking ville vært i strid med forordningen eller loven for øvrig. Formålet med bestemmelsen er å unngå at begrensningene som gjelder for kameraovervåking, omgås ved hjelp av uekte overvåkingsutstyr og skilting eller lignende som gir inntrykk av at det likevel overvåkes.
Bestemmelsen er ment å videreføre gjeldende rett om at utstyr som lett kan forveksles med en ekte kameraløsning, bare kan benyttes i samme utstrekning som ekte løsninger. Bestemmelsen er imidlertid formulert som et uttrykkelig forbud, i stedet for at den gir vilkårene for ekte kameraovervåking tilsvarende anvendelse. Samtidig utvides anvendelsesområdet for begrensningene til også å gjelde skilting, oppslag og lignende som er egnet til å gi inntrykk av at kameraovervåking finner sted.
Kameraovervåking og uekte kameraovervåkingsutstyr er definert i annet ledd. Bestemmelsen viderefører definisjonene etter gjeldende rett av kameraovervåking og utstyr som lett kan forveksles med en ekte kameraløsning i personopplysningsloven § 36 første ledd, jf. Prop. 47 L (2011–2012) side 42. Presiseringen av at overvåking både med og uten opptaksmuligheter regnes som kameraovervåking, er unødvendig i denne sammenhengen og derfor utelatt.
Når det gjelder skilting, oppslag eller lignende som gir inntrykk av at kameraovervåking finner sted, må det på samme vis som ved uekte overvåkingsutstyr foretas en vurdering av hvordan skiltet eller oppslaget mv. oppfattes, eller må antas å bli oppfattet.
Etter første ledd annet punktum gjelder reglene om tilsyn, overtredelsesgebyr og tvangsmulkt tilsvarende, jf. forordningen artikkel 83 nr. 4 og kapittel VI samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her.
Til § 32 Ikrafttredelse
Det følger av første ledd at loven gjelder fra den tid Kongen bestemmer og at lov 14. april 2000 nr. 31 om behandling av personopplysninger oppheves fra samme tidspunkt. Gjeldende personopplysningslov vil trolig bli gitt anvendelse på enkelte nærmere bestemte saksområder i en overgangsperiode etter opphevelsen, se nærmere om dette i merknaden til § 33 om overgangsregler.
Annet ledd fastsetter at de ulike bestemmelsene i loven og forordningen kan settes i kraft til ulik tid. Det følger også av annet ledd at opphevelsen av lov 14. april 2000 nr. 31 om behandling av personopplysninger kan knyttes til et av tidspunktene for ikraftsetting eller at ulike bestemmelser kan oppheves til ulik tid.
Til § 33 Overgangsregler
Det foreslås i første ledd en særlig regel om at det er de materielle reglene på handlingstidspunktet som skal legges til grunn ved ileggelse av overtredelsesgebyr, med mindre de nyere reglene vil føre til et gunstigere resultat for den ansvarlige. Bestemmelsen vil etter departementets syn oppfylle kravene etter EMK artikkel 7 slik de er fortolket i EMDs avgjørelse Scoppola mot Italia, 17. september 2009.
Etter annet ledd gis Kongen kompetanse til å fastsette nærmere overgangsregler. Det blir trolig behov for å fastsette overgangsregler om at reglene i gjeldende personopplysningslov skal gjelde for personopplysninger som behandles etter straffegjennomføringsloven, konfliktrådsloven § 1 annet ledd og etterretningstjenesteloven, i en periode etter at loven er opphevet. Det arbeides med utvikling av nye lovregler om behandling av personopplysninger på disse områdene og gjeldende personopplysningslov vil gjelde inntil nye regler er vedtatte og satt i kraft. Etter departementets syn kan det også bli aktuelt å fastsettes overgangsregler i tilfeller som gjelder ilagt tvangsmulkt som fortsatt løper. Det vil trolig bli aktuelt å fastsette overgangsregler som går ut på at vedtak om tvangsmulkt og pålegg om behandlingen, som er fattet før ikrafttredelsen og ikke etterkommet, vil fortsette å gjelde etter ikrafttredelsen. Ut over dette vil trolig alminnelige forvaltningsrettslige regler, for eksempel om omgjøring av vedtak, løse de eventuelle overgangsspørsmål som vil oppstå. Omgjøring kan for eksempel være aktuelt der en sak som er avgjort etter gammel lov blir påklaget til nemnda etter ikraftsettingen av ny lov eller der et pålegg som er gitt etter gammel lov ikke er i tråd med forordningens regler. Ordningen med klage til Personvernnemnda videreføres uendret og det blir derfor ikke behov for noen særskilte overgangsbestemmelser knyttet til klagebehandlingen.
Når det gjelder opphevelse av ordningen med konsesjoner og bortfall av tillatelser etter personopplysningsloven § 9 tredje ledd reiser dette enkelte særskilte spørsmål som det kan bli aktuelt å fastsette overgangsregler om, se nærmere i punkt 12.6 over.
38.2 Endringer i annen lovgivning
Til endringen i lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v
Åndsverkloven § 56a oppheves, da konsesjonsplikten i någjeldende personopplysningslov ikke videreføres i den nye personopplysningsloven. Bestemmelsen er derfor uten betydning.
Til endringene i lov 21. juni 1963 nr. 23 om vegar
Til § 11 f
Nytt kapittel II B og ny § 11 f i veglova gir vegstyresmaktene etter kapittel II og tilsynsmyndigheten etter kapittel II A hjemmel til å behandle personopplysninger når det er nødvendig for å utføre oppgaver gitt i eller i medhold av veglova, eller for å oppfylle internasjonale forpliktelser under lovens virkeområde. Den tilsvarende hjemmelen er gitt til det statlige vegutbyggingsselskapet som er tildelt oppgaver av departementet med hjemmel i § 9 første ledd. Dette er selskapet Nye Veier AS, som iht. avtale med departementet utfører oppgaver med planlegging, utbygging, drift og vedlikehold av særskilte utvalgte riksvegstrekninger.
Kapittel II B og § 11 f er tatt inn i veglova for å klargjøre at slik behandling finner sted av vegstyresmaktene, Vegtilsynet og selskapet Nye Veier AS og i hvilken sammenheng disse aktørene faktisk foretar behandling av personopplysninger.
Første ledd gir hjemmel for behandling av personopplysninger når det er nødvendig for å utføre oppgavene etter veglova eller for å oppfylle internasjonale forpliktelser under lovens virkeområde. Dette omfatter all form for utføring av oppgaver og myndighetsutøvelse som er regulert i veglova eller forskrift gitt med hjemmel i veglova. Nærmere angitt er dette vegstyresmaktenes oppgaver knyttet til planlegging, utbygging, drift, vedlikehold og forvaltning av de offentlige vegene, selskapet Nye Veier AS' oppgaver slik det til enhver tid er tildelt av departementet iht. § 9 første ledd og Vegtilsynets oppgaver etter kapittel II A. Det gjelder også oppgaver som hører under Statens vegvesens særskilte sektoransvar for det offentlige vegnettet, herunder ansvaret for overvåking av tilstanden på de offentlige vegene og trafikksituasjonen. Når det gjelder utstrekningen av behandlingen som foregår på dette området, viser departementet omtalen i punkt 33.2.
Annet ledd gir departementet hjemmel til å gi nærmere bestemmelser om behandlingen av personopplysninger i forskrift. Sentralt i denne typen forskrifter vil være bestemmelser om formålet med behandlingen, hvilke opplysninger som kan behandles, hvordan opplysningene skal behandles, vilkår for eventuell utlevering av personopplysninger, bruk av databehandler, krav til sletting og krav til eventuell sammenstilling av personopplysninger til bruk i forskning og til statistiske formål. Dette er derfor nevnt som spesifikke områder som kan reguleres nærmere i medhold av forskriftshjemmelen.
Til § 27
De nye femte og sjette leddene i veglova § 27 gir hjemler til behandling av personopplysninger innenfor bompengeordningen som gjelder på det offentlige vegnettet og hjemmel til at departementet kan gi nærmere bestemmelser om slik behandling i forskrift.
Femte ledd gir to typer aktører og en statlig myndighet hjemmel til å behandle personopplysninger når det er nødvendig for å kreve inn bompenger på de offentlige vegene. I første punktum gis hjemmelen til selskaper eller andre juridiske personer som er gitt fullmakt fra departementet til å kreve inn bompenger. I annet punktum gis hjemmelen til selskaper eller andre juridiske personer som utfører tjenester på bompengeområdet i medhold av forskrift til veglova. Vilkåret for at disse aktørene gis hjemmel for å behandle personopplysninger, er at det er nødvendig for å utføre oppgavene. Selskapene som gis fullmakt fra departementet, er i dag bompengeselskapene. Disse selskapene inngår i dag avtale med Samferdselsdepartementet, eller med Vegdirektoratet etter fullmakt fra departementet. Avtalene gir bompengeselskapene rett til å kreve inn bompenger på vegen eller vegnettet avtalen gjelder, jf. § 27 første og annet ledd. Den andre typen aktører som gis hjemmel til å behandle personopplysninger er utstederselskapene, det vil si selskapene som tilbyr avtalepasseringer til trafikantene, se nærmere omtalen i punkt 33.3. Slike selskaper opererer på bompengeområdet i dag som en del av eller etter avtale med bompengeselskapene. Det er besluttet at denne tjenesten skal skilles ut fra bompengeselskapene og at utstedernes virksomhet skal reguleres av en egen forskrift. Forskriften er ventet å bli fastsatt i 2018. Oppgavene både bompengeselskapene og utstederne utfører på området er knyttet til betaling av bompenger fra trafikantene. Som en følge av at nær all bompengeinnkreving på det offentlige vegnettet i dag er elektronisk, er det i denne oppgaven nødvendig å behandle personopplysninger i forbindelse med registreringen av opplysninger knyttet til kjøretøyene når de passerer bomsnitt på vegene og i forbindelse med fakturering, jf. den nærmere omtalen i punkt 33.3. Opplysningene behandles for å ivareta en berettiget interesse.
Nærmere informasjon om aktørene på bompengeområdet er gitt i Meld. St. 25 (2014–2015) På rett vei og Prop. 1 S Tillegg 2 (2015–2016). Det er denne organiseringen som danner grunnlaget for formuleringen av hjemler i § 27 femte ledd. Lovbestemmelsen er likevel generelt utformet og angir ikke bestemte navngitte aktører. Ved eventuelle fremtidige endringer i organiseringen av aktørene på bompengeområdet, må det vurderes om organiseringen objektivt faller under ordlyden slik den er formulert eller om det er behov for lovendring.
I tillegg til aktørene etter første og annet punktum, gis også Statens vegvesen i annet punktum hjemmel til å behandle personopplysninger når etaten utfører oppgaver på bompengeområdet. Det er også her et vilkår at behandlingen av personopplysninger er nødvendig for å utføre oppgaven, jf. første punktum. Oppgavene Statens vegvesen utfører på dette området er en del av den pågående bompengereformen. Statens vegvesen er først og fremst et myndighetsorgan innenfor bompengeforvaltningen og har ansvaret for å påse en enhetlig, effektiv og velfungerende bompengeinnkreving i hele landet. Etaten har også operative oppgaver for å ivareta denne oppgaven, og har på det gjeldende tidspunktet ansvaret for baksystemet for den elektroniske bompengeinnkrevingen. Statens vegvesen har også hjemmel til å behandle personopplysninger etter § 11 f. Statens vegvesen er spesifikt gitt hjemmel i § 27 femte ledd annet punktum for at det skal være klart at etaten som en del av sitt arbeid behandler personopplysninger også på dette området.
I femte ledd tredje punktum er det tatt inn et krav om at behandling av sensitive opplysninger bare skal finne sted når det er nødvendig ut fra formålet med behandlingen. Per i dag blir det behandlet sensitive personopplysninger knyttet til fritak for å betale bompenger for forflytningshemmede, og i den forbindelse blir det behandlet helseopplysninger. Kravet i tredje punktum er generelt utformet og hjemler bare behandling av sensitive opplysninger når det er nødvendig ut fra oppgaven. Den behandlingsansvarlige har ansvar for å vurdere om vilkåret er oppfylt.
Femte ledd fjerde punktum regulerer utlevering av personopplysninger når dette følger av internasjonale rettsakter eller avtaler som Norge er bundet av. Det følger av bestemmelsen at personopplysninger kan utleveres når dette følger av internasjonale rettsakter eller avtaler som Norge er bundet av. Norge er på det gjeldende tidspunktet forpliktet til å utlevere passeringsopplysninger iht. EasyGo-avtalen. Partene i denne avtalen som mottar slike opplysninger fra det norske systemet i dag er Sverige og Danmark. Det er ventet at direktiv 2004/52/EF, som regulerer samvirkningsevnen mellom de elektroniske bompengesystemene i EU, i fremtiden vil regulere utveksling av passeringsopplysninger i bompengesystemene i Europa. «Rettsakter» er tatt inn i fjerde punktum for at eventuelle forordninger og direktiver som faller innenfor EØS-avtalens virkeområde skal være dekket av bestemmelsen, i likhet med «internasjonale avtaler» ellers.
Sjette ledd gir departementet hjemmel til å gi nærmere bestemmelser om behandlingen av personopplysninger i forskrift. Sentralt i denne typen forskrifter vil være bestemmelser om formålet med behandlingen, hvilke opplysninger som kan behandles, hvordan opplysningene skal behandles, vilkår for eventuell utlevering av personopplysninger, bruk av databehandler, krav til sletting og bestemmelser om eventuell sammenstilling av personopplysninger til bruk i forskning og til statistiske formål. Dette er derfor nevnt som spesifikke områder som kan reguleres nærmere i medhold av forskriftshjemmelen.
Til endringen i lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs
I konkursloven § 156 oppheves femte ledd annet punktum, da konsesjonsplikten i någjeldende personopplysningslov § 33 det der er vist til, ikke videreføres i den nye personopplysningsloven. Bestemmelsen er derfor uten betydning.
Til endringene i lov 16. juni 1989 nr. 69 om forsikringsavtaler
Henvisningen i forsikringsavtaleloven § 8-1 annet ledd til personopplysningsloven § 2 nr. 7 erstattes med en generell henvisning til personopplysningsloven. Definisjonen av samtykke følger av personvernforordningen artikkel 4 nr. 11. Der behandlingen gjelder særlige kategorier personopplysninger, skal samtykket være uttrykkelig, jf. artikkel 9 nr. 2 bokstav a.
Henvisningen i forsikringsavtaleloven § 18-1 annet ledd til personopplysningsloven § 2 nr. 7 erstattes med en generell henvisning til personopplysningsloven. Definisjonen av samtykke følger av personvernforordningen artikkel 4 nr. 11. Der behandlingen gjelder særlige kategorier personopplysninger, skal samtykket være uttrykkelig, jf. artikkel 9 nr. 2 bokstav a.
Til endringene i lov 4. desember 1992 nr. 126 om arkiv
Henvisningene til personopplysningslovens regler om sletting tas ut av lovens §§ 9 og 18. I motsetning til gjeldende personopplysningslov inneholder forordningen ikke regler om sletting som vil gå foran bevaringsplikten etter arkivlova. Det følger av forordningen artikkel 17 nr. 3 bokstav b at retten til sletting ikke gjelder dersom det foreligger en rettslig forpliktelse i nasjonal rett som krever behandling. En lovfestet bevaringsplikt etter arkivlovgivningen vil dermed gå foran den registrertes rett til sletting etter personvernforordningen. Det vises også til unntaket i artikkel 17 nr. 3 bokstav d, hvor det følger at retten til sletting ikke gjelder for behandling for arkivformål i allmennhetens interesse i den grad rettigheten sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med behandlingen nås.
Til endringene i lov 11. juni 1993 nr. 101 om luftfart
§ 12-14 oppheves som følge av at konsesjonsplikten i gjeldende personopplysningslov ikke videreføres.
Til endringen i lov 3. juni 1994 nr. 15 om Enhetsregisteret
I den nye personopplysningsloven videreføres ikke vilkåret om konsesjon fra Datatilsynet for å behandle personopplysninger i kredittopplysningsvirksomhet, jf. den någjeldende personopplysningsforskriften § 4-5. På denne bakgrunn bør vilkåret i enhetsregisterloven § 22 annet ledd tredje punktum om at kredittopplysningsforetaket må ha konsesjon fra Datatilsynet, oppheves. Vilkåret om at avtalen om tilgang til fødselsnummer og D-nummer må være godkjent av Datatilsynet videreføres.
Til endringen i lov 4. august 1995 nr. 53 om politiet
Til ny § 6 a
Første ledd første punktum gir hjemmel for politiet til å iverksette kameraovervåking. Kameraovervåking kan bare iverksettes dersom det er nødvendig for oppgaver som nevnt i § 2 nr. 1 til 4. Bestemmelsen tar sikte på å videreføre adgangen som politiet etter gjeldende rett har til å benytte kameraovervåking for disse formålene. Annet punktum viderefører definisjonen av kameraovervåking i gjeldende personopplysningslov § 36 første ledd, som også er inntatt i ny personopplysningslov § 31 annet ledd.
Annet ledd første punktum gir anvisning på at det skal foretas en avveining mellom hensynene som begrunner overvåkingen, for eksempel forebygging og oppklaring av straffbare handlinger, og hensynet til den registrertes personvern. Annet ledd annet punktum angir at det særlig skal legges vekt på hvordan overvåkingen skal skje, samt hva slags område som skal overvåkes. Det må i den forbindelse legges vesentlig vekt på om overvåkingen vil omfatte steder der en begrenset krets av personer ferdes jevnlig, eller om overvåkingen gjelder parker, strender og lignende rekreasjonsområder som er tilgjengelig for allmennheten, jf. gjeldende personopplysningslov §§ 38 og 38 a. Selv om den foreslåtte bestemmelsen ikke inneholder uttrykkelige tilleggsvilkår tilsvarende gjeldende personopplysningslov §§ 38 og 38 a, er bestemmelsen er ikke ment å utvide adgangen til overvåking av slike områder.
Tredje ledd viderefører gjeldende personopplysningslov § 40 om krav om varsling om at overvåking finner sted.
Fjerde ledd åpner for å gi forskrift med nærmere bestemmelser om behandling av opplysninger innhentet ved kameraovervåking. Eventuelle forskriftsbestemmelser vil plasseres i politiregisterforskriften.
Til endringene i lov 28. februar 1997 nr. 19 om folketrygd
Til § 21-4 d
Henvisningen i første ledd bokstav b annet punktum til definisjonen av sensitive personopplysninger i gjeldende personopplysningslov endres slik at det henvises til personvernforordningen artikkel 9 og 10, som er de tilsvarende bestemmelsene i personvernforordningen. Se kapittel 7 og 8 om disse bestemmelsene.
Til § 21-11 a
I syvende ledd første punktum endres henvisningen til personopplysningslovens definisjon av behandlingsansvarlig slik at det vises til den tilsvarende definisjonen i personvernforordningen. Videre presiseres det at behandlingsansvaret knytter seg til behandlingen av personopplysninger. Denne endringen er av rent språklig karakter. Passusen om Helsedirektoratets ansvar for informasjonssikkerhet og internkontroll tas ut av bestemmelsen, fordi dette uansett følger av at Helsedirektoratet tillegges behandlingsansvaret.
Åttende ledd oppheves første punktum oppheves, fordi dette punktumet er overflødig ved siden av første punktum i syvende ledd.
Til endringene i lov 19. juni 1997 nr. 62 om familievernkontorer
Lov om familievernkontorer § 11 tredje ledd oppheves, da konsesjonsplikten i någjeldende personopplysningslov § 33 det der er vist til, ikke videreføres i den nye personopplysningsloven.
Til endringene i lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter
Til § 3-6 Rett til vern mot spredning av opplysninger
I tredje ledd er uttrykket «utlevering» endret til «tilgjengeliggjøring». Med tilgjengeliggjøring menes at opplysningene gjøres tilgjengelige ved utlevering eller ved å gi tilgang til opplysningene, for eksempel i et analysemiljø. Dette uttrykket er mer i samsvar med forordningens ordlyd, jf. definisjonen av «behandling» i artikkel 4 nr. 2 som blant annet omfatter «utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring». Med denne ordlyden blir loven også mer teknologinøytral, ved at den uttrykkelig åpner for at mottakeren også kan få opplysninger ved at det gis tilgang, i stedet for ved distribusjon av data på minnepinne, utskrift, CD-rom, muntlig, på faks eller liknende. Tilsvarende endring foreslås i de andre helselovene.
Til § 5-1 Rett til innsyn i journal
Det er tatt inn en henvisning til forordningen artikkel 15 om innsyn.
Innsyn kan nektes dersom dette er påtrengende nødvendig for å hindre fare for liv eller alvorlig helseskade, jf. annet ledd. I særlige tilfeller vil også et av de generelle unntakene i personopplysningsloven § 16 eventuelt kunne gi grunnlag for å nekte innsyn. Bestemmelsen tilsvarer innsynsretten etter pasientjournalloven § 18.
Til § 5-3 Overføring og tilgjengeliggjøring av journal
Bestemmelsen omfatter både tilgjengeliggjøring av opplysninger fra journaler og overføring av journaler. Uttrykket «utlevering» i gjeldende bestemmelse endres til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6.
Til endringene i lov 2. juli 1999 nr. 64 om helsepersonell m.v.
Til § 29 Opplysninger til forskning mv.
Bestemmelsen gir departementet myndighet til å dispensere fra taushetsplikten ved bruk av opplysninger til forskning mv. Myndigheten er delegert til den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK). Vedtak med hjemmel i denne bestemmelsen vil utgjøre supplerende rettsgrunnlag for behandling av personopplysninger etter forordningen artikkel 6 nr. 3 og gjøre unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i tråd med artikkel 9 nr. 2 bokstav j, se punkt 32.3 om disse spørsmålene. Det er presisert at det kan fastsettes vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav j.
Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6. I siste punktum er det gjort en språklig endring for å få samme ordlyd som i andre tilsvarende bestemmelser.
Til § 29 b Opplysninger til helseanalyser, kvalitetssikring, administrasjon mv.
Bestemmelsen gir departementet myndighet til å dispensere fra taushetsplikten ved bruk av opplysninger til helseanalyser, kvalitetssikring, administrasjon mv. Myndigheten er delegert til Helsedirektoratet. Vedtak vil gi supplerende rettsgrunnlag for behandling av opplysningene i samsvar med forordningen artikkel 6 nr. 3 og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger, se punkt 32.3 om disse spørsmålene. Det er presisert at det kan fastsettes vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav g og i.
Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6. Det er gjort noen språklige endringer for å få ensartet terminologi i loven.
Til § 29 c Opplysninger til bruk i læringsarbeid og kvalitetssikring
Bestemmelsen gjør unntak fra taushetsplikten ved helsepersonells bruk av opplysninger til læringsarbeid og kvalitetssikring knyttet til helsehjelpen helsepersonellet selv har ytt. Tilgjengeliggjøring vil gi supplerende rettsgrunnlag for behandling av opplysningene i samsvar med forordningen artikkel 6 nr. 3 og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i artikkel 9 nr. 1, se punkt 32.3 om disse spørsmålene.
Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6.
Til § 42 Retting av journal
Bestemmelsen regulerer helsepersonells rett og plikt til å rette feil i pasientjournaler. Gjeldende regler er erstattet med en henvisning til forordningen artikkel 16 om den registrertes rett til å få rettet uriktige eller ufullstendige opplysninger om seg selv. Regelen om at opplysningene skal rettes dersom de er utilbørlige, er en videreføring av gjeldende rett. Det er gjort en språklig endring i forskriftshjemmelen. Dette innebærer ingen realitetsendring.
Til § 45 Utlevering av og tilgang til journal og journalopplysninger
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se merknadene til pasientjournalloven § 2.
Til endringene i lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap
Til § 2-4 Beredskapsregistre
Reglene om melding til Datatilsynet ved etablering av beredskapsregistre, er opphevet fordi meldekravet ikke videreføres i den nye personopplysningsloven.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2. Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6.
Til endringene i lov 21. februar 2003 nr. 12 om behandlingsbiobanker
Til § 3 Virkeområde
Henvisningen i annet ledd til kravene i relevant lovgivning, er supplert med en henvisning til forordningen. Behandlingsbiobankene brukes til diagnostikk og behandling av pasienter. Fra 2014 har behandling av helseopplysninger i pasientjournaler og andre behandlingsrettede helseregistre blitt regulert i pasientjournalloven. Henvisningen til helseregisterloven er derfor erstattet med en henvisning til pasientjournalloven.
Til § 5 Melding om opprettelse av diagnostiske biobanker og behandlingsbiobanker
I første ledd nr. 7 er uttrykkene «databehandlingsansvarlig» og «behandlingsansvarlig» endret til «dataansvarlig», se punkt 32.2. Henvisningen til helseregisterloven er erstattet med en henvisning til pasientjournalloven, se merknaden til § 3.
Til § 7 Ansvarshavende
I første ledd er uttrykket «behandlingsansvarlig» endret til «dataansvarlig», se punkt 32.2. Henvisningen til helseregisterloven er erstattet med en henvisning til pasientjournalloven, se merknaden til § 3.
Til § 15 Andres tilgang til materiale i en biobank
I tredje ledd er det tatt inn en henvisning til forordningen. Det gjøres også en språklig justering, ved at «tillatelse» endres til «adgang».
Henvisningen til helseregisterloven er erstattet med en henvisning til pasientjournalloven, se merknaden til § 3.
Til § 17 Tilsyn
I annet ledd er det tatt inn en henvisning til forordningen. I tillegg er henvisningen til helseregisterloven endret til en henvisning til pasientjournalloven, se merknaden til § 3.
Til endringene i lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv.
Til § 29 Etablering av dataregistre
I første ledd er henvisningen til personopplysningsloven § 2 nr. 8 om sensitive personopplysninger, erstattet med en henvisning til forordningen artikkel 9 nr. 1 om særlige kategorier av personopplysninger.
Til endringene i lov 10. desember 2004 nr. 76 om arbeidsmarkedstjenester
En henvisning til personopplysningsloven inntas i § 14.
Til endringene i lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv.
Til § 9-5
Bestemmelsen viderefører personopplysningsloven § 3 for så vidt gjelder adgangen til å gi forskrift om arbeidsgivers adgang til innsyn i arbeidstakers e-postkasse og annet elektronisk lagret materiale.
Til § 9-6
Bestemmelsen gir adgang til å gi forskrift om kameraovervåking i virksomheten og gir således hjemmel for å videreføre dagens regulering i personopplysningsloven kapittel VII og personopplysningsforskriften kapittel 8, innenfor arbeidsmiljølovens rammer.
Til endringene i lov 17. juni 2005 nr. 101 om eigedomsregistrering
Til § 22
Henvisningene til personopplysningslovens regler om informasjon erstattes med henvisninger til de tilsvarende bestemmelsene i forordningen. Henvisningen til reglene om melde- og konsesjonsplikt tas ut av bestemmelsen som følge av at melde- og konsesjonsplikten ikke videreføres.
Til § 26
Henvisningen til personopplysningslovens regler om retting av mangelfulle opplysninger erstattes av en henvisning til personvernforordningen artikkel 16 om retting av uriktige opplysninger.
Til § 30
I syvende ledd utgår den delen av bestemmelsen som åpner for å gjøre unntak fra meldeplikten, som følge av at meldeplikten ikke videreføres i ny personopplysningslov.
Til endringen i lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd
Henvisningen til personopplysningslovens definisjon av personopplysning tas ut av lovens § 10. Endringen har ingen realitetsbetydning.
Til endringen i lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen
I § 3 tredje ledd første punktum erstattes henvisningen til personopplysningslovens definisjon av behandlingsansvarlig erstattes med en henvisning til den tilsvarende bestemmelsen i personvernforordningen. Passusen om direktoratets ansvar for informasjonssikkerhet og internkontroll tas ut av bestemmelsen, fordi dette uansett følger av at direktoratet tillegges behandlingsansvaret. Det gjøres i tillegg visse språklige endringer.
Til endringene i lov 29. juni 2007 nr. 75 om verdipapirhandel
Henvisningen i verdipapirhandelloven § 9-17 annet ledd nr. 2 til den gamle personopplysningsloven erstattes med en henvisning til personopplysningsloven.
Henvisningen i verdipapirhandelloven § 9-28 til någjeldende personopplysningslov § 2 nr. 8 bokstav b, som gjelder opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, erstattes med henvisning til personvernforordningen artikkel 10.
Til endringen i lov 21. desember 2007 nr. 119 om toll og vareførsel
Henvisningene i tolloven § 13-12 første ledd til opplysninger om straffbare forhold og helseopplysninger i henholdsvis personopplysningsloven § 2 nr. 8 bokstav b og c, erstattes med tilsvarende henvisninger til den nye personopplysningsloven og personvernforordningen. Henvisningen til någjeldende personopplysingslov § 2 nr. 8 bokstav b erstattes med en henvisning til personvernforordningen artikkel 10 og henvisningen til någjeldende personopplysningslov § 2 nr. 8 bokstav c erstattes med en henvisning til personvernforordningen artikkel 9 nr. 1. Selve definisjonen av helseopplysninger fremgår av personvernforordningen artikkel 4 nr. 15, men departementet mener henvisningen bør være til artikkel 9, da dette fremhever at tolloven § 13-12 utgjør et unntak fra forbudet i artikkel 9 nr. 1.
Til endringene i lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning
Til § 2 Lovens saklige virkeområde
Henvisningen til personopplysningsloven er i annet ledd supplert med en henvisning til personvernforordningen. Når det gjelder lovens anvendelse for avdøde og andre taushetsbelagte opplysninger, se merknadene til § 4. I siste ledd er det rettet opp et par trykkfeil.
Til § 3 Lovens geografiske virkeområde
Annet ledd om dataansvarlige utenfor Norge, oppheves. Dette leddet gjennomførte personverndirektivet, som ikke lenger vil være gjeldende. Det vises til at forordningen gjelder likt for behandling i Norge og i andre land i EØS, og har egne bestemmelser om overføring av opplysninger til tredjestater.
Til § 4 Definisjoner
Definisjonen av begrepet «helseopplysninger» i bokstav d er erstattet med definisjonen i forordningen artikkel 4 nr. 15. Definisjonen omfatter ikke avdøde og alle opplysninger som omfattes av taushetsplikten, slik som gjeldende definisjon. Gjeldende rett videreføres ved at lovens saklige virkeområde etter § 2 utvides.
Til § 10 Søknad om forhåndsgodkjenning
I annet ledd er det tatt inn en presisering om at den regionale komiteen for medisinsk og helsefaglig forskningsetikk (REK) kan fastsette vilkår for å verne de registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav j. REK kan også sette andre vilkår, for eksempel krav om bestemte prosedyrer for å verne deltakerens helse. Dette er en videreføring av gjeldende rett.
Til § 13 Hovedregel om samtykke
Kravene til gyldig samtykke, det vil si at samtykket må være informert, frivillig, uttrykkelig og dokumenterbart, er erstattet av en definisjon som samsvarer med forordningen artikkel 4 nr. 11. Det følger av denne definisjonen at med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende. Dette betyr at kravene til samtykke fortsatt vil være de samme for behandling av helseopplysninger som for humant biologisk materiale. Selv om den nye ordlyden ikke er helt lik, innebærer dette i praksis ingen endring i gjeldende samtykkekrav.
Til § 32 Hovedregel for behandling av helseopplysninger
I bestemmelsen er det tatt inn en henvisning til forordningen artikkel 5 om prinsippene som gjelder ved all behandling av helseopplysninger. Dette er grunnleggende prinsipper som skal gjelde også i forskning.
Til § 33 Krav om forhåndsgodkjenning
Den personopplysningsrettslige betydningen av forhåndsgodkjenningen endres, ved at den forskningsetiske forhåndsgodkjenningen ikke lenger vil utgjøre et rettslig grunnlag for behandling av personopplysninger. I stedet er det på vanlig måte nødvendig med et behandlingsgrunnlag etter forordningen artikkel 6 nr. 1 og et unntak fra forbudet mot behandling av særlige kategorier av personopplysninger etter artikkel 9 nr. 2. Det vises til punkt 6.3 til 6.4 og 7.1 over for en generell omtale av disse kravene i forordningen, samt punkt 32.3 over om hvilke bestemmelser som åpner for behandling av helseopplysninger i medisinsk og helsefaglig forskning.
Dersom forskningen er basert på samtykke, gir forordningen artikkel 6 nr. 1 bokstav a behandlingsgrunnlag, og artikkel 9 nr. 2 bokstav a gjør unntak fra forbudet mot behandling av særlige kategorier av personopplysninger. Det er derfor ikke nødvendig med supplerende lovgivning.
For forskning som ikke er basert på samtykke, vil det derimot være nødvendig med supplerende nasjonale bestemmelser. Den nye personopplysningsloven inneholder to bestemmelser som åpner for forskning uten samtykke, som supplerer forordningen artikkel 6 nr. 1 bokstav e og artikkel 9 nr. 2 bokstav j, jf. forslaget til ny personopplysningslov §§ 8 og 9. Det vises til punkt 11.1 og 11.2 om disse forslagene. Bestemmelsene om forskning i personopplysningsloven §§ 8 og 9 omfatter blant annet medisinsk og helsefaglig forskning. Personopplysningsloven begrenser ikke adgangen til forskning i medhold av særlovgivning, og det vil ikke være nødvendig å se hen til bestemmelsene i personopplysningsloven §§ 8 og 9 dersom det finnes annen lovgivning som åpner for forskning uten samtykke. Helselovgivningen vil åpne for behandling av helseopplysninger uten samtykke i medisinsk og helsefaglig forskning. Bestemmelsene og dispensasjonsvedtak som gjør unntak fra taushetsplikten, vil utgjøre supplerende rettsgrunnlag for behandling av personopplysninger uten samtykke i tråd med forordningen artikkel 6 nr. 1 bokstav e og åpne for behandling av særlige kategorier av personopplysninger etter artikkel 9 nr. 2 bokstav j, se punkt 32.3 over om dette.
Helselovgivningens bestemmelser innebærer samtidig ikke at man er avskåret fra å basere behandlingen på personopplysningsloven §§ 8 og 9. Dersom det skulle oppstå tilfeller der helselovgivningen ikke gir tilstrekkelig supplerende rettsgrunnlag eller unntak fra forbudet mot behandling av særlige kategorier av personopplysninger, kan den dataansvarlige falle tilbake på de generelle bestemmelsene i personopplysningsloven dersom vilkårene der er oppfylt.
I et nytt tredje ledd er det gjort unntak fra personopplysningsloven § 10 og § 11 annet ledd, som stiller krav om rådføring med personvernombud eller annen rådgiver ved all samtykkebasert forskning på særlige kategorier av personopplysninger eller personopplysninger om straffedommer og lovovertredelser mv., jf. forordningen artikkel 9 og 10. Den dataansvarlige vil likevel måtte vurdere personvernkonsekvensene og drøfte behandlingen med personvernombudet så langt dette følger av de generelle reglene i forordningen artikkel 35.
Helseforskningslovens krav vil også gjelde uansett. Det vil fremdeles være et krav om REKs forhåndsgodkjenning ved bruk av helseopplysninger i medisinsk og helsefaglig forskning. Forhåndsgodkjenningen skal sikre at forskningsetikken ved nye prosjekter er ivaretatt, jf. helseforskningsloven § 9 og § 10. REK skal gjøre en helhetlig forskningsetisk vurdering av alle prosjektets sider og påse at det totalt sett er forsvarlig. REKs vurdering av de personvernmessige sidene av behandlingen, skal ikke være bindende for Datatilsynet ved et eventuelt tilsyn. Datatilsynet vil på selvstendig grunnlag kunne ta stilling til om behandlingen er i samsvar med forordningen, for eksempel om det er avgitt gyldig samtykke, om informasjonen til de registrerte er tilstrekkelig og om prinsippet om dataminimering er ivaretatt. Datatilsynet vil kunne fastsette tvangsmulkt eller overtredelsesgebyr dersom kravene i forordningen ikke er overholdt.
Til § 34 Behandling av helseopplysninger
Første og tredje ledd er justert i lys av at kravet om behandlingsgrunnlag i § 33 oppheves. I tredje ledd presiseres det at mottakeren må ha adgang til å behandle personopplysningene etter forordningen. Mottakeren vil ha adgang til å behandle opplysningene for eksempel dersom det er innhentet samtykke eller dersom det er fattet et vedtak om dispensasjon fra taushetsplikten.
Uttrykket «databehandlingsansvarlig» er i bestemmelsen endret til «dataansvarlig», se punkt 32.2. Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6.
Til § 35 Adgang til bruk av helseopplysninger som er innsamlet i helse- og omsorgstjenesten til forskning
I første ledd er det tatt inn en presisering om at REK kan fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2 bokstav j.
Til § 36 Retting av helseopplysninger mv.
Det er tatt inn et nytt første ledd som henviser til forordningen artikkel 16 og 17 og til personopplysningsloven § 17 annet og tredje ledd.
Til § 40 Rett til innsyn for forskningsdeltakeren
Bestemmelsen regulerer forskningsdeltakerens (den registrertes), rett til innsyn i helseopplysninger om seg selv. Presiseringen av at dette gjelder personidentifiserbare og pseudonyme opplysninger, oppheves. Dette følger av definisjonen av helseopplysninger, og trenger ikke presiseres. Begrepet pseudonyme helseopplysninger ble tatt ut i helseregisterloven fra 2014.
Det er tatt inn en henvisning til forordningen artikkel 15, som regulerer innsyn. Retten til innsyn i sikkerhetstiltakene er en videreføring av gjeldende rett, og følger ikke av forordningen.
Til § 42 Unntak fra innsyn
Bestemmelsen henviser til personopplysningslovens regler om unntak fra innsynsretten, og fastsetter at disse bestemmelsene gjelder tilsvarende for unntak fra innsynsretten etter helseforskningsloven § 41. Det er gjort en språklig endring i siste ledd, ved at uttrykket «påklages» er endret til «overprøves».
Til § 47 Datatilsynets myndighet
Det er tatt inn en henvisning til personvernforordningen og den nye personopplysningslovens regler om Datatilsynet. Datatilsynet har etter forordningen artikkel 58, myndighet til blant annet å utføre undersøkelser og beslutte korrigerende tiltak, for eksempel ved å gi pålegg til dataansvarlige om å endre behandlingen slik at den blir i samsvar med forordningen. Det er tatt inn et krav om at Statens helsetilsyn skal informeres om eventuelle pålegg («korrigerende tiltak», jf. forordningen artikkel 58 nr. 2). Dette er en videreføring av gjeldende § 52 om at Datatilsynet skal varsle Statens helsetilsyn om pålegg om retting, stansing mv.
Til § 50 Erstatning
Bestemmelsen er redigert slik at erstatningsansvar ved behandling av humant biologisk materiale nå reguleres i annet ledd, mens erstatningsansvar ved behandling av helseopplysninger reguleres i tredje ledd. Reglene om erstatningsansvar ved behandling av helseopplysninger er endret tilsvarende helseregisterloven § 31. I samsvar med forordningen kan også databehandleren trekkes til ansvar.
Til § 52 Datatilsynets adgang til å fatte vedtak om overtredelsesgebyr mv.
Det er i bestemmelsen tatt inn en henvisning til forordningen og den nye personopplysningslovens regler om overtredelsesgebyr. Vedtakene kan påklages til Personvernnemnda etter reglene i personopplysningsloven § 22.
Til § 53 Tvangsmulkt
Bestemmelsen er endret slik at reglene om tvangsmulkt fastsatt av Statens helsetilsyn er regulert i første ledd, mens tvangsmulkt fastsatt av Datatilsynet er regulert i annet ledd ved en henvisning til personopplysningsloven § 29.
Til endringen i lov 17. oktober 2008 nr. 79 om utvalget for gjennomgang av stortingspensjoner
Lovens § 3 oppheves, da konsesjonsplikten i den någjeldende personopplysningsloven det der gjøres unntak fra, ikke videreføres i den nye personopplysningsloven. Bestemmelsen er dermed overflødig.
Til endringene i lov 19. juni 2009 nr. 97 om dyrevelferd
I § 36 første ledd annet punktum erstattes henvisningen til personopplysningslovens definisjon av sensitive personopplysninger med en henvisning til personvernforordningen artikkel 9 og 10.
Til endringene i lov 25. november 2011 nr. 44 om verdipapirfond
Henvisningen i § 1-6 til någjeldende personopplysningslov § 2 nr. 8 bokstav b, som gjelder opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, erstattes med henvisning til personvernforordningen artikkel 10.
Til endringene i lov 24. august 2012 nr. 64 om bustøtte
Til § 8
I første ledd er henvisningen til personopplysningslovens regler om informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte, erstattet med en henvisning til den tilsvarende bestemmelsen i forordningen. Det er i tillegg foretatt visse språklige endringer for å klargjøre at informasjonsplikten gjelder selv om det som et utgangspunkt ikke gjelder informasjonsplikt når innhentingen er uttrykkelig fastsatt i lov, jf. personvernforordningen artikkel 14 nr. 5 bokstav c. Endringen har ingen realitetsbetydning.
Til § 8 a
I tredje ledd er henvisningen til personopplysningslovens definisjon av sensitive personopplysninger erstattet med henvisninger til personvernforordningen artikkel 9 og 10.
Til § 8 b
I syvende ledd er henvisningen til personopplysningslovens regler om informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte, erstattet med en henvisning til den tilsvarende bestemmelsen i forordningen. Det er i tillegg foretatt visse språklige endringer for å klargjøre at informasjonsplikten gjelder selv om det som et utgangspunkt ikke gjelder informasjonsplikt når innhentingen er uttrykkelig fastsatt i lov, jf. personvernforordningen artikkel 14 nr. 5 bokstav c. Endringen har ingen realitetsbetydning.
Til § 8 c
I annet ledd første punktum er henvisningen til personopplysningslovens regler om informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte, erstattet med en henvisning til den tilsvarende bestemmelsen i forordningen. Det er i tillegg foretatt visse språklige endringer, for å klargjøre at informasjonsplikten gjelder selv om det som et utgangspunkt ikke gjelder informasjonsplikt når innhentingen er uttrykkelig fastsatt i lov, jf. personvernforordningen artikkel 14 nr. 5 bokstav c. Endringen har ingen realitetsbetydning.
Til endringene i lov 11. januar 2013 nr. 3 om Statens innkrevingssentral
I § 6 oppheves annet og tredje ledd om unntak fra konsesjons- og meldeplikt, som følge av at melde- og konsesjonsplikten ikke videreføres.
Til endringene i lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond
Henvisningen i § 1-6 til någjeldende personopplysningslov § 2 nr. 8 bokstav b, som gjelder opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, erstattes med henvisning til personvernforordningen artikkel 10.
Til endringene i lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp
Til § 2 Definisjoner
Det er gjort endringer i definisjonene av helseopplysninger og behandling av helseopplysninger slik at disse korresponderer med definisjonen av disse begrepene i forordningen artikkel 4 nr. 2 og 15. Definisjonen av begrepet «helseopplysninger» omfatter ikke avdøde eller alle opplysninger som omfatter av taushetsplikten, slik som gjeldende definisjon. Gjeldende rett videreføres ved at lovens saklige virkeområde i stedet utvides, se § 3.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», og definert i bestemmelsen, se punkt 32.2.
Til § 3 Saklig virkeområde
Bestemmelsen får et tillegg som sier at lovens bestemmelser om behandling av helseopplysninger også skal gjelde så langt de passer for opplysninger om avdøde personer og for andre opplysninger som er taushetsbelagte etter helsepersonelloven § 21. Dette betyr at det ikke blir innholdsmessige endringer i lovens saklige virkeområde, selv om definisjonen av helseopplysninger i forordningen er noe snevrere enn gjeldende definisjon i pasientjournalloven. Verken forordningen, jf. fortalen punkt 27, eller den nye personopplysningsloven omfatter opplysninger om avdøde personer. Vi kan likevel ha nasjonale (sær)regler om dette.
Til § 5 Forholdet til personvernforordningen og personopplysningsloven
Presiseringen av at personopplysningsloven gjelder så langt ikke annet følger av pasientjournalloven, videreføres. Det er tatt inn et tillegg som viser at dette også gjelder med hensyn til forordningen.
Til § 4 Geografisk virkeområde
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2. Annet ledd om dataansvarlige i andre land, oppheves. Disse reglene gjennomførte regler i personverndirektivet som ikke er videreført i forordningen. Forordningen gjelder tilsvarende for alle EØS-stater, jf. artikkel 3. Videre har forordningen regler om dataansvarlige utenfor EU og overføring av opplysninger til tredjestater, jf. artikkel 27 og artikkel 44 flg. Utenfor virkeområdet til loven vil ikke særreglene i loven gjelde, men de generelle reglene i forordningen, jf. artikkel 3.
Til § 6 Rett til å behandle personopplysninger
Unntaket fra konsesjonsplikten etter personopplysningsloven oppheves som følge av at konsesjonsplikten ikke videreføres.
Til § 9 Samarbeid mellom virksomheter om behandlingsrettede helseregistre
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 10 Etablering av nasjonale behandlingsrettede helseregistre
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 11 Systemer for saksbehandling, administrasjon mv. av helsehjelp
Uttrykket «databehandlingsansvar» er endret til «dataansvar», se punkt 32.2.
Til § 12 Reseptformidleren
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 13 Nasjonal kjernejournal
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 18 Informasjon og innsyn
Det er tatt inn en henvisning til forordningen artikkel 13 og 15 om informasjon og innsyn. Første ledd annet punktum om rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til pasientens eller brukerens navn eller fødselsnummer, er opphevet. Denne retten til innsyn følger av forordningen 15 nr. 1 bokstav c. Henvisningen til pasient- og brukerrettighetsloven § 5-1 om rett til innsyn i journal er videreført. Det er i tillegg tatt inn en henvisning til pasient- og brukerrettighetsloven § 3-6 tredje ledd om rett til å bli informert når helseopplysninger utleveres til andre.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 19 Helseopplysninger ved helsehjelp
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 20 Helseopplysninger til andre formål enn helsehjelp
Kravene til gyldig samtykke er erstattet med definisjonen i forordningen artikkel 2 nr. 11 som gjelder ved behandling av helseopplysninger. Samtykkekravet etter forordningen og denne bestemmelsen, fraviker fra kravene i pasient- og brukerrettighetsloven kapittel 4 som gjelder samtykke til helsehjelp. Se pasient- og brukerrettighetsloven § 4-2 om samtykke til behandling av helseopplysninger.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 21 Personopplysninger fra folkeregisteret
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 22 Informasjonssikkerhet
Bestemmelsen erstatter bestemmelsen om sikring av konfidensialitet, integritet og tilgjengelighet, som korresponderte med personopplysningsloven § 13 om informasjonssikkerhet. Denne bestemmelse er foreslått opphevet i den nye personopplysningsloven.
Det er i stedet tatt inn en henvisning til forordningen artikkel 32 som krever at den dataansvarlige gjennomfører tekniske og organisatoriske tiltak som ivaretar informasjonssikkerheten. Forordningen har krav om konfidensialitet, integritet, tilgjengelighet og robusthet, som langt på vei tilsvarer helseregisterlovens krav om konfidensialitet, integritet og tilgjengelighet. Forordningen har også krav om protokoll over sikkerhetstiltakene og at protokollen skal gjøres tilgjengelig for tilsynsmyndighetene. Det skal også føres protokoll over kategoriene av mottakere dersom opplysningene utleveres, men ikke konkret hvem som opplysningen utleveres til (artikkel 30).
Kravet om tilgangsstyring, logging og etterfølgende kontroll er presiseringer som videreføres i loven. Se også forordningen artikkel 25 nr. 2 som stiller krav om innebygd personvern og tilgangsstyring.
Til § 23 Internkontroll
Bestemmelsen erstatter bestemmelsen om internkontroll som korresponderte med den tidligere personopplysningsloven § 14. Det er tatt inn en henvisning til forordningen artikkel 24 om plikten til å gjennomføre «egnede tekniske og organisatoriske tiltak». Kravet om dokumentasjon følger av forordningens krav i artikkel 30 om protokoll over sikkerhetstiltakene og at protokollen skal gjøres tilgjengelig for tilsynsmyndighetene.
Til § 26 Tilsynsmyndighetene
Denne bestemmelsen erstatter pasientjournalloven § 26 om tilsynsmyndigheter, § 27 om pålegg og § 28 om tvangsmulkt. Datatilsynet vil kunne pålegge tvangsmulkt etter personopplysningsloven § 29.
§ 29 Overtredelsesgebyr
Bestemmelsen gir Datatilsynet hjemmel til å fastsette overtredelsesgebyr ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven. Det er tatt inn en henvisning til forordningen artikkel 83 og personopplysningsloven § 26 og § 27 om overtredelsesgebyr.
Til § 30 Straff
Straffansvaret i annet ledd oppheves. Dette er i tråd med innretningen i den nye personopplysningsloven som ikke viderefører straffansvar. Det vil fremdeles gjelde straffansvar for forsettlig eller grovt uaktsomt overtredelse av § 15 om taushetsplikt eller § 16 om forbud mot urettmessig tilegnelse av helseopplysninger, jf. § 30 første ledd. Også fjerde ledd, som åpner for å fastsette straffebestemmelser i forskrift, oppheves.
Til § 31 Erstatning
Bestemmelsen regulerer den dataansvarliges og databehandlerens erstatningsansvar. Bestemmelsen erstatter pasientjournalloven § 31. Artikkel 82 har detaljerte regler om erstatningsansvar for dataansvarlige og databehandlere ved brudd på forordningen. Forordningen åpner ikke for generelle nasjonale tilpasninger. Det foreslås ingen regler om erstatning i den nye personopplysningsloven. Det vises også til oppreisningsansvaret etter personopplysningsloven § 30. Siden artikkel 82 kun gjelder brudd på reglene i forordningen, presiseres det at erstatningsansvaret også gjelder ved brudd på loven eller forskrifter gitt i medhold av den. Nytt er at ansvaret for brudd på reglene ikke bare gjelder for den dataansvarlige, men også databehandleren. Dette er en lovfesting av det som gjelder etter forordningen.
Til endringene i lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger
Til § 2 Definisjoner
Det er gjort endringer i definisjonene av helseopplysninger, behandling av helseopplysninger, helseregister, dataansvar og samtykke slik at disse korresponderer med definisjonen av disse begrepene i forordningen artikkel 4 nr. 2, 6, 11 og 15. «Behandling» er definert i forordningen artikkel 4 nr. 2. Se ellers merknadene til pasientjournalloven § 2. Endringene innebærer ingen realitetsendring. Dette gjelder i utgangspunktet også kravene til samtykke, men dette vil avhenge av hvordan forordningen med tiden vil bli fortolket.
Til § 3 Saklig virkeområde
Bestemmelsen får et tillegg som sier at lovens bestemmelser om behandling av helseopplysninger også skal gjelde for tilsvarende opplysninger om avdøde personer og for andre opplysninger som er taushetsbelagte etter helsepersonelloven § 21. Se merknadene til pasientjournalloven § 3.
Til § 4 Geografisk virkeområde
Uttrykket «databehandlingsansvarlige» er endret til «dataansvarlige», se punkt 32.2.
Annet ledd om dataansvarlige i andre land, oppheves. Se merknadene til pasientjournalloven § 4.
Til § 5 Forholdet til personvernforordningen og personopplysningsloven
Presiseringen av at personopplysningsloven gjelder så langt ikke annet følger av helseregisterloven, videreføres. Det er også tatt inn et tillegg som viser at dette også gjelder med hensyn til forordningen.
Til § 6 Alminnelige vilkår for å behandle helseopplysninger
Gjeldende første, annet og tredje ledd erstattes av en henvisning til forordningen artikkel 5 som angir grunnvilkårene for all behandling av personopplysninger. Artikkel 5 stiller krav om lovlighet, rettferdighet og åpenhet, samt formålsbegrensning, dataminimering, nøyaktighet, lagringsbegrensning, integritet, konfidensialitet og ansvar.
Uttrykket «databehandlingsansvarlige» er endret til «dataansvarlige», se punkt 32.2.
Til § 8 Vilkår for etablering av helseregistre ved forskrift
Bestemmelsen gir hjemmel til å fastsette bestemmelser om behandling av opplysninger i registrene. Forskrifter gitt med hjemmel i § 8, jf. § 9 til § 11 vil gi supplerende rettsgrunnlag for å behandle helseopplysninger, jf. forordningen artikkel 6 nr. 3, og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i artikkel 9 nr. 1. Se nærmere i punkt 32.3 om disse spørsmålene.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 9 Registre som er samtykkebaserte eller uten direkte personidentifiserende kjennetegn
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 12 Helsearkivregisteret
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 14 Opplysninger fra Folkeregisteret
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 19 Sammenstilling av helseopplysninger
Bestemmelsen gir hjemmel til å fastsette forskrifter om sammenstilling av registre. Slike forskriftsbestemmelser vil gi adgang til sammenstilling. Siste ledd om at sammenstillingen må være tillatt etter personopplysningsloven, oppheves. Adgangen til å sammenstille vil ikke være uttømmende oppregnet i forskriftene. Det kan også være adgang til å sammenstille med hjemmel i de generelle reglene om behandling av personopplysninger i forordningen artikkel 5, jf. artikkel 6 og 9. Dette presiseres i annet ledd.
Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6. Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 20 Unntak fra taushetsplikten for indirekte identifiserbare helseopplysninger
Uttrykket «utlevering» er endret til «tilgjengeliggjøring», se merknadene til pasient- og brukerrettighetsloven § 3-6. Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Den dataansvarliges vedtak om tilgjengeliggjøring av indirekte identifiserbare helseopplysninger fra lovbestemte registre, vil gi supplerende rettsgrunnlag for behandling av opplysningene i samsvar med forordningen artikkel 6 nr. 3 og unntak fra forbudet mot behandling av særlige kategorier av personopplysninger i artikkel 9 nr. 1. Se nærmere i punkt 32.3 om disse spørsmålene. Det er presisert i bestemmelsen at den dataansvarlige kan fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser, jf. forordningen artikkel 9 nr. 2.
Til § 21 Informasjonssikkerhet
Se merknadene til den tilsvarende bestemmelsen i pasientjournalloven § 22.
Til § 22 Internkontroll
Se merknadene til den tilsvarende bestemmelsen i pasientjournalloven § 23.
Til § 23 Informasjon til allmennheten om behandling av helseopplysninger
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 24 Rett til informasjon og innsyn
Reglene om informasjon og innsyn i første ledd erstattes av en henvisning til de generelle reglene om dette i forordningen artikkel 13 til 15. Det følger av § 5 at unntaksbestemmelsene i personopplysningsloven kommer til anvendelse, men det er av pedagogiske hensyn tatt inn en henvisning til unntakene i personopplysningsloven § 16 og 17. Retten til innsyn i hvem som har fått tilgang til eller utlevert opplysningene, er videreført.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 25 Retting, sperring eller sletting
Det er tatt inn en henvisning til forordningen artikkel 16 og 17 og til unntakene i personopplysningsloven § 17 annet og tredje ledd. Gjeldende § 25 om sletting eller sperring er for øvrig videreført. Siden det er tatt inn en henvisning til artikkel 16 om retting, er overskriften endret.
Uttrykket «databehandlingsansvarlig» er endret til «dataansvarlig», se punkt 32.2.
Til § 26 Tilsynsmyndighetene
Denne bestemmelsen erstatter någjeldende helseregisterloven § 26 om tilsynsmyndigheter, § 27 om pålegg og § 28 om tvangsmulkt. Datatilsynet vil kunne ilegge tvangsmulkt etter personopplysningsloven § 29.
Til § 29 Overtredelsesgebyr
Se merknadene til den tilsvarende bestemmelsen i pasientjournalloven § 29
Til § 30 Straff
Straffansvaret i annet ledd oppheves. Dette er i tråd med innretningen i den nye personopplysningsloven som ikke viderefører straffansvar. Det vil fremdeles gjelde straffansvar for forsettlig eller grovt uaktsom overtredelse av § 17 om taushetsplikt eller § 18 om forbud mot urettmessig tilegnelse av helseopplysninger, jf. § 30 første ledd. Også fjerde ledd, som åpner for å fastsette straffebestemmelser i forskrift, oppheves.
Til § 31 Erstatning
Se merknadene til den tilsvarende bestemmelsen i pasientjournalloven § 31.
Til endringen i lov 10. april 2015 nr. 17 om finansforetak og finanskonsern
Henvisningen i § 9-8 første ledd til någjeldende personopplysningslov § 2 nr. 8 bokstav b, som gjelder opplysninger om at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, erstattes med henvisning til personvernforordningen artikkel 10.
Til endringene i lov 4. september 2015 nr. 85 om gjennomføring av konvensjon 19. oktober 1996 om jurisdiksjon, lovvalg, anerkjennelse, fullbyrdelse og samarbeid vedrørende foreldremyndighet og tiltak for beskyttelse av barn
Någjeldende § 3 første ledd, som fastslår at det er adgang til å overføre personopplysninger til utlandet etter nærmere bestemte regler i personopplysningsloven, oppheves.
Forordningen begrenser ikke adgangen til å overføre personopplysninger til EU/EØS-land, jf. artikkel 1 nr. 3. Så langt forordningen stiller krav til overføringer til stater utenfor EU/EØS og internasjonale organisasjoner, må overføring vurderes etter disse bestemmelsene, jf. forordningen kapittel V.
Når det gjelder overføring til stater utenfor EU/EØS og internasjonale organisasjoner, viser departementet til artikkel 96, som fastsetter at tidligere inngåtte internasjonale avtaler om overføring av personopplysninger fortsetter å gjelde. Departementet legger på denne bakgrunn til grunn at personvernforordningen ikke er til hinder for å overføre personopplysninger til utlandet så langt Haagkonvensjonen 1996 pålegger eller åpner for dette.
Til endringene i lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner
Til § 2
Kravet om konsesjon for behandling av personopplysninger i kredittopplysningsvirksomhet videreføres ikke i ny personopplysningslov. Definisjonen av kredittopplysningsforetak i bestemmelsens bokstav c endres derfor slik at den i stedet for å vise til foretak som har tillatelse til å drive kredittvirksomhet etter personopplysningsloven, viser til foretak som driver kredittopplysningsvirksomhet i samsvar med personopplysningsloven.
Til § 12
Henvisningen til personopplysningsloven § 3 fjerde ledd tas ut av bestemmelsen. Personvernforordningen og forslaget til ny personopplysningslov inneholder ikke særregler om kredittopplysningsvirksomhet.
Til § 13
Henvisningen til personopplysningsloven § 3 fjerde ledd tas ut av bestemmelsen. Personvernforordningen og forslaget til ny personopplysningslov inneholder ikke særregler om kredittopplysningsvirksomhet.
Til lov 16. juni 2017 nr. 53 om endringar i pasient- og brukarrettslova, helsepersonellova m.m. (styrking av rettsstillinga til barn ved yting av helse- og omsorgstenester m.m.)
Til pasientjournalloven § 30 om straff
I tråd med at straffansvaret etter någjeldende § 30 annet ledd i pasientjournalloven oppheves, oppheves også straffansvaret etter § 30 annet ledd bokstav a til d i endringsloven. Straffansvaret for overtredelse av forbudet mot urettmessig tilegnelse av helseopplysninger i pasientjournalloven § 16, jf. § 30 annet ledd bokstav e i endringsloven, står i den någjeldende pasientjournalloven i første ledd. Bestemmelsen foreslås videreført, se merknadene til endringer i pasientjournalloven § 30. Straffansvaret for overtredelser av § 16 videreføres som § 30 annet ledd i endringsloven.
Til helseregisterloven § 30 om straff
I tråd med at straffansvaret etter någjeldende § 30 annet ledd i helseregisterloven oppheves, oppheves også straffansvaret etter § 30 annet ledd bokstav a til e i endringsloven. Straffansvaret for overtredelse av forbudet mot urettmessig tilegnelse av helseopplysninger i helseregisterloven § 18, jf. § 30 annet ledd bokstav f i endringsloven, står i den någjeldende helseregisterloven i første ledd. Bestemmelsen foreslås videreført, se merknadene til endringer i helseregisterloven § 30. Straffansvaret for overtredelser av § 18 videreføres som § 30 annet ledd i endringsloven.
Til endringene i lov 15. desember 2017 nr. 112 om utprøving av selvkjørende kjøretøy
Lovhenvisningene i § 3 første ledd endres slik at de aktuelle lovene refereres til med sine korttitler.