3 Forskrifter i medhold av lov om personregistre m m
Gitt av Justisdep. 21. des. 1979 i medhold av kgl.res. av 21. des. 1979.
Kapittel 1 Om innsynsretten
(personregisterloven § 7 fjerde og femte ledd).
§ 1-1. Svar på henvendelser som nevnt i personregisterlovens § 7 første ledd skal gis snarest mulig og senest innen en måned.
Svaret skal gis skriftlig dersom ikke den som benytter innsynsretten samtykker i at svaret gis muntlig eller på annen måte.
§ 1-2. Svar på henvendelser som nevnt i personregisterloven § 7 annet ledd skal gis snarest mulig og senest innen en måned. Dersom innsynsretten kan motvirke muligheten for å få en sak som er under behandling avklart, kan institusjonen fastsette at vedkommende ikke skal ha adgang til opplysningene så lenge undersøkelser pågår, (jfr. forvaltningsloven § 20 første ledd).
Den registeransvarlige bestemmer ellers, ut fra hensynet til forsvarlig saksbehandling, hvordan dokumentene eller opplysningene skal gjøres tilgjengelige for vedkommende. På anmodning skal vedkommende gis skriftlig svar ved utskrift eller avskrift fra registeret.
§ 1-3. Svar på henvendelser som nevnt i personregisterlovens § 7 tredje ledd skal gis umiddelbart. Svaret skal gis skriftlig dersom ikke den som benytter innsynsretten samtykker i at svaret gis muntlig eller på annen måte.
§ 1-4. Datatilsynet gis myndighet som nevnt i personregisterlovens § 7 femte ledd til ved enkeltvedtak å fastsette unntak fra innsynsretten. Datatilsynet kan også ved enkeltvedtak fastsette nærmere regler eller vilkår for bruk av retten, herunder unntak fra reglene i dette kapittel.
§ 1-5. Innsynsrett etter lovens § 7 annet ledd i opplysninger som ikke lagres eller bearbeides ved elektroniske hjelpemidler, skal også gjelde for de registre over nåværende eller tidligere ansatte, personale eller representanter som finnes i privat næringsvirksomhet, foreninger eller stiftelser, jfr. lovens § 7 fjerde ledd.
Som interne dokumenter som etter § 7 annet ledd kan unntas fra innsyn, skal i denne sammenheng regnes alle dokumenter arbeidsgiver selv utarbeider for sin interne saksforberedelse samt dokumenter som er utarbeidet for den interne saksforberedelse av særskilte rådgivere eller sakkyndige, eller av annen sammenslutning eller stiftelse innenfor eget konsern eller organisasjon.
Også dokumenter om å innhente dokumenter nevnt i denne bestemmelse kan unntas fra innsyn.
Selv om dokument er unntatt etter annet og tredje ledd bør vedkommende ha rett til å gjøre seg kjent med de deler av dokumentet som inneholder faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum. Dette gjelder likevel ikke faktiske opplysninger som finnes i annet dokument som vedkommende har innsyn i.
Kapittel 2 Unntak fra konsesjonsplikt
(personregisterloven § 9 annet ledd).
§ 2-1. Unntak fra konsesjonsplikt
Personregistre som omfattes av dette kapitlet er unntatt fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Konsesjonsfrihet er betinget av at kravene til registerets innhold m.m. i kapitlet her følges, og at bestemmelsene i kapittel 3 overholdes.
§ 2-2. Foreningers medlemsregistre
Foreningers medlemsregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med et slikt register menes en oversikt over en forenings nåværende og tidligere medlemmer, og som ikke inneholder andre personopplysninger enn:
navn
adresseopplysninger (bosteds-, arbeids-, adviserings-, tilskriver-, elektronisk adresse m.v.)
anropsnummer for teletjenester
fødselsdato
fødselsnummer, dersom dette er pålagt i lov eller forskrift gitt med hjemmel i lov
utdannelse, stilling, arbeidsgiver
inntekt
sivil status
kjønn
statsborgerskap
spesielle interesser i tilknytning til foreningen etter samtykke fra den registrerte
medlemsnummer
medlemskoder (opplysninger om type medlemskap o.l.)
tillitsverv
data for distribusjon av trykksaker, publikasjoner o.l. (16) kurs, utdannelse o.l. innen foreningen eller i tilknytning til denne
kurs, utdannelse o.l. innen foreningen eller i tilknytning til denne
kontingentopplysninger
utlånte eiendeler
resultater fra idrettskonkurranser o.l.
foresattes navn, adresse og anropsnummer for teletjenester.
Registeret kan bare brukes som ledd i foreningens administrasjon eller interne virksomhet. Annen bruk kan fastsettes av foreningens høyeste organ eller i foreningens vedtekter.
§ 2-3. Kunde-, abonnent- og leverandørregistre
Kunde-, abonnent- og leverandørregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med et slikt register menes en oversikt over kunder, abonnenter eller leverandører, som ikke inneholder andre personopplysninger enn:
navn
adresseopplysninger
anropsnummer for teletjenester
fødselsdato
organisasjonsnummer
kontaktnummer og kontaktperson
konsernopplysninger
kontonummer bank/ post og andre opplysninger i den sammenheng
rubriseringsdata (så som kategori kunde/ leverandør, distrikt, type varer, kontonummer i regnskap, kunde-/ leverandørnummer, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning og andre opplysninger som ikke angår fysiske personer eller personlige forhold)
inkasso- og utbetalingsopplysninger
saldoinformasjon
kredittgrense
betalingsbetingelser
aldersfordeling av saldoposter
purringsstatus.
Registeret kan bare brukes til administrasjon og gjennomføring av kontraktsforpliktelser. Dette er ikke til hinder for at opplysninger benyttes i adressemekling av et adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 når dette skjer etter avtale med registerets eier.
§ 2-4. Kunderegistre i banker og finansinstitusjoner
Kunderegistre i banker som omfattes av
lov 1. mars 1946 nr. 3 om Den Norske Stats Husbank
lov 15. juli 1949 nr. 1 om Norges Kommunalbank
lov 24. mai 1961 nr. 1 om sparebanker
lov 24. mai 1961 nr. 2 om forretningsbanker
lov 5. februar 1965 nr. 2 om Statens Landbruksbank
lov 28. april 1972 nr. 22 om Statens Fiskarbank
lov 5. juni 1992 nr. 51 om Norges Postbank
og kunderegistre i finansinstitusjon, jf. lov 10. juni 1988 nr. 40 om finansieringsvirksomhet § 1-3, som etableres i forbindelse med institusjonens finansieringsvirksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
I det enkelte kunderegister kan det ikke registreres andre personopplysninger enn:
Kundeopplysninger
Med kundeopplysninger menes personopplysninger om bankens kunder, kausjonister og andre som banken har saklig behov for opplysninger om på grunn av deres forhold til kunden (jf. personregisterloven § 6 første ledd). Følgende kundeopplysninger kan registreres:
navn
adresseopplysninger
anropsnummer for teletjenester
fødselsnummer
organisasjonsnummer
kjønn
statsborgerskap
antall konti (egne, kausjonist, garantist o.l.)
sivilstand
stillingsbetegnelse
notatfelt med rent administrative opplysninger om kundeforholdet (disposisjonsforhold, sperringer o.l.). Personopplysninger som nevnt i personregisterloven § 6 annet ledd tillates ikke registrert i notatfeltet
kundetype og kundehode
formues- og inntektsforhold, og beløpsangivelse for beregnet kredittverdighet, samt kredittopplysninger
kundedataopplysninger (opprettelse, avslutning o.l.)
henvisninger til andre som banken har saklig behov for å registrere på grunn av deres forhold til kunden (kausjonister, garantister, konsern, datterselskap, arbeidsgiver e.l.)
firmaattest
andre opplysninger om kundens ektefelle/ samboer/ registrert partner enn de som kan registreres etter litra o) ovenfor, når denne har gitt samtykke til registreringen.
Konto- og oppdragsopplysninger
Med konto- og oppdragsopplysninger menes opplysninger om de enkelte konti eller oppdrag. Følgende konto- og oppdragsopplysninger kan registreres:
kontonummer og oppdragsnummer
andre numre i tilknytning til kontoen (depotnummer, disponentnummer, bankkortnummer, kausjonistnummer, betalingskontonummer, aksjenummer m.v.)
åpnings-, endrings-, avslutningsdato og andre datoopplysninger vedrørende kontoen eller oppdraget
rente-, dekort-, provisjonsbetingelser og gebyrer
saldi, gebyrbeløp, rentebeløp debet/ kredit, omkostninger, provisjoner, agio og andre statusopplysninger
avdrags-, termin- og forfallsopplysninger
opplysninger om purringer, overtrekk og inkasso
disposisjonsopplysninger, stikkord
innvilgede lån
opplysninger om stillet sikkerhet (prioritet, takst, utløpsdatoer o.l.)
henvisningsopplysninger av betydning for disponeringen av kontoen eller oppdraget
notatfelt med rent administrative opplysninger om kontoen eller oppdraget (disposisjonsforhold, sperringer o.l.). Personopplysninger som nevnt i personregisterloven § 6 annet ledd tillates ikke registrert i notatfeltet
kontoanalysedata
betalingsmottakeres/ kreditorers kontonummer, navn, adresse og fødselsnummer
opplysninger som er nødvendige for å hindre uttak på sperret konto.
Transaksjonsopplysninger
Med transaksjonsopplysninger menes opplysninger som registreres i forbindelse med bruk av kontoen, inklusive transaksjoner som tilføres automatisk slik som renter, provisjoner o.l.
Følgende transaksjonsopplysninger kan registreres:
transaksjonsbeløp og valutasort
arkivreferanse og terminalidentifikasjon
ID-nummer (ikke fødselsnummer), bilagsnummer, sjekknummer o.l.
tekstkode, tekst og annen beløpsidentifikasjon
bokføringsdato, valuteringsdato og andre tidsbestemmelser av transaksjonsforløpet
henvisninger til motpost
førings- og behandlingskoder.
Administrative opplysninger og interne referanser
I tilknytning til opplysninger som nevnt i punkt (1) til og med (3) ovenfor, kan det registreres administrative opplysninger som systemet må benytte for at det skal kunne arbeide i samsvar med de kunde-, konto-, oppdrags- og transaksjonsopplysninger som er nevnt. Dessuten kan det registreres interne referanser som bare benyttes for å vise til andre rutiner eller registre, og som ellers ikke har behandlingsmessige konsekvenser.
Statistikk
Felter for klassifikasjon og koding av opplysninger til å utarbeide offentlig og intern statistikk for personopplysninger som tillates registrert etter punkt (1) til og med (3) ovenfor. Statistikk må ikke utarbeides i en slik form at opplysningene direkte eller indirekte kan føres tilbake til den enkelte konto eller kunde.
Kunderegistre i banker og kunderegistre i andre finansinstitusjoner som etableres i forbindelse med institusjonens finansieringsvirksomhet, kan bare benyttes i forbindelse med innlån, utlån, betalingsformidling, inkasso, forvaltning og andre ordinære bank- og finanstjenester. Dette er ikke til hinder for at opplysninger benyttes i adressemekling av et adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 når dette skjer etter avtale med registerets eier.
§ 2-5. Katalogfirmaregistre
Registre som opprettes for utgivelse av katalog, bok e.l. unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, så framt det ikke registreres sensitive opplysninger, jf. personregisterloven § 6 annet ledd, og den registrerte har hatt anledning til å verifisere opplysningene.
Registeret kan bare brukes for utgivelse av katalog, bok e.l.
§ 2-6. Leietaker- og sameieregistre
Leietaker- og sameieregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med et slikt register menes en oversikt over registereierens leietakere eller sameiere i et boligsameie, som ikke inneholder andre personopplysninger enn:
navn
adresseopplysninger
anropsnummer for teletjenester
fødselsnummer, dersom dette er pålagt i lov eller i forskrift gitt med hjemmel i lov
medlemsnummer i borettslag
ansiennitetsopplysninger til bruk ved tildeling av leilighet
medlemskontingentbeløp
leilighetsnummer og adresse
leilighetstype og størrelse
leilighetens alder
leilighetens verdi (takst) ved omsetning
leilighetens omsetningsform
leiebeløp/ sameieavgift fordelt på art (husleie, garasje, fyring etc.)
medlemmets/ sameierens/ beboerens tilknytning til leilighet (eier, fremleier, leietaker etc.)
dato for innflytning
betaling/ restansedata for kontingentinnkreving
betaling/ restansedata for innkreving av leie, sameieavgift, fellesavgifter, m.v.
oversikt over tidligere leietakere til bruk ved fordeling av ligningsmessig underskudd/ overskudd i borettslag
gjeld/ formue
kontonummer for automatisk belastning av leie på konto
andre rent administrative opplysninger.
Registeret kan bare brukes til administrasjon og gjennomføring av leie-/sameieforholdet.
Paragrafen gjelder tilsvarende for boligaksjeselskaper.
§ 2-7. Registre for utsendelse av trykksaker o.l. (salgsstøtteregistre)
Registre over juridiske og fysiske personer, for utsendelse av publikasjoner/ trykksaker o.l. vedrørende egen virksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Et slikt register over fysiske personer kan bare inneholde følgende opplysninger:
navn
adresseopplysninger
anropsnummer for teletjenester
fødselsår.
Registeret kan bare brukes for utsendelse av egne publikasjoner/ trykksaker o.l.
§ 2-8. Katalog-, låner- og utlånsregistre
Katalog-, låner- og utlånsregistre i bibliotek og liknende registre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med et katalogregister menes et register over titler som brukes som et hjelpemiddel og som kun inneholder bibliografiske personopplysninger.
Med et låneregister menes en oversikt over samtlige lånere som ikke inneholder andre personopplysninger enn:
lånenummer
navn
adresseopplysninger
anropsnummer for teletjenester
fødselsdato
arbeidssted
dato for utsendelse av lånekortet
opplysninger om utlånte (ikke tilbakeleverte) gjenstander og uoppgjorte tjenester.
Med et utlånsregister menes en fortegnelse over hver enkelt utlånt gjenstand (så som bok, film, video e.l.) og som kun inneholder personopplysninger som er nødvendige for utleien.
Katalog-, låner- og utlånsregister kan bare brukes for adminstrasjon av virksomheten og kundeforholdet og for å sikre at utlånte gjenstander blir tilbakelevert.
§ 2-9. Advokaters, revisorers og fonds- og eiendomsmegleres klientregistre
Personregistre som opprettes i forbindelse med virksomhet som nevnt i lov 13. august 1915 nr. 5 kapittel 11 om advokater, lov 14. mars 1964 nr. 2 om revisorer, lov 14. juni 1985 nr. 61 om fondsmeglere og lov 16. juni 1988 nr. 53 om eiendomsmegling unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med et slikt register menes en fortegnelse over tidligere og nåværende klienter og motparter, samt andre med tilknytning til disse.
Registeret kan bare brukes innenfor rammene av lovgivning som nevnt i første ledd.
§ 2-10. Legers, tannlegers, psykologers og annet godkjent helsepersonells registre
Godkjent helsepersonells pasientregistre som ikke gjør bruk av elektroniske hjelpemidler unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Registeret kan bare brukes i behandlingen og oppfølgningen av den enkelte pasient samt til utarbeidelse av statistikk.
§ 2-11. Aksjeeierregistre
Aksjeeierregistre opprettet i medhold av lov 4. juni 1976 nr. 59 om aksjeselskaper § 3-8 unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, dersom det ikke inneholder slike opplysninger som nevnt i § 6 annet ledd.
Registeret kan bare brukes for å ivareta de forpliktelser aksjelovgivningen pålegger det enkelte selskap.
§ 2-12. Personalregistre
Register over arbeidsgivers nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling, unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd dersom
registeret ikke gjør bruk av elektroniske hjelpemidler, og ikke inneholder personopplysninger som nevnt i personregisterloven § 6 annet ledd, med mindre opplysningene er knyttet til arbeidsforholdet.
registeret gjør bruk av elektroniske hjelpemidler og ikke inneholder andre opplysninger enn:
navn
adresseopplysninger
statsborgerskap/ bostedland
anropsnummer for teletjenester
fødselsnummer og annet nummer knyttet til person (rullenummer/arbeidstakernummer)
rubriseringsdata, (såsom kategori, type ansatt/ representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning)
kjønn
nærmeste pårørende
sivilstand
antall barn og barnas fødselsår
stillingsbetegnelse
yrkesopplysninger som etter overenskomst eller tariffavtale som har betydning for lønns- og arbeidsvilkår
opplysninger om utdannelse og praksis
lønns- og provisjonsopplysninger
kontonummer
pensjonsopplysninger
trekk- og skatteopplysninger
ansettelses- og sluttdato (permisjoner e.l.)
sluttårsak
fraværsdato, type fravær og varighet. Angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr. 4 om arbeidervern og arbeidsmiljø m.v. § 20
dødsdato
firmabil e.l.
utlånte eiendeler
lån til ansatte eller garanti for lån
opplysning om den ansatte er mobiliseringsdisponert (ja/ nei), evt. militært løpenummer, grad og rulleførende avdeling.
Andre opplysninger kan registreres dersom det er pålagt i lov eller gjennom avtale mellom partene i arbeidslivet.
Personalregisteret kan bare brukes til personaladministrasjon, for eksempel administrering av lønn, utvikling og opplæring, stillingsevaluering, erstatningsplanlegging, karriereplanlegging, budsjettmessige formål, velferdstiltak og til behandling av disiplinærsaker.
§ 2-13. Forlagenes personregistre for utgivelse av leksika
Forlagenes personarkiver/ registre til bruk ved utgivelse av biografiske leksika, konversasjonsleksika og fagleksika unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
§ 2-14. Dags- og ukepressens personregistre
Dags- og ukepressens personregister til bruk i journalistisk virksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
§ 2-15. Registre over offentlige representanter
Registre over valgte eller oppnevnte representanter i organ opprettet i medhold av lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner eller lov 19. desember 1952 nr. 7 om Den norske kirkes ordning unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Det samme gjelder for registre over Stortingets representanter eller medlemmer av Stortingets komiteer.
§ 2-16. Protokollføring av mekling
Registre ved føring av meklingsprotokoll pålagt etter lov 8. april 1981 nr. 7 (barneloven) og lov 4. juli 1991 nr. 47 (ekteskapsloven) unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Med slike registre menes manuelle eller elektronisk førte meklingsprotokoller, som ikke inneholder andre opplysninger enn:
navn/ eventuelt tidligere navn
fødselsnummer
adresseopplysninger
meklingsinstansens navn
meklers navn
dato for innkommet begjæring om mekling
dato for innkalling
hvem har begjært mekling
hjemmel for innkalling
dato for møter
dato for fremmøte, sammen/ hver for seg
fremgangsmåte for innkalling
dato for utstedt meklingsattest
dato for avsluttet mekling uten meklingsattest.
Registeret kan bare brukes til kontroll av at mekling har funnet sted, evaluering og planlegging av meklingsordningen og som grunnlag for statistiske analyser.
§ 2-17. Forskningsregistre
Registre som opprettes i forbindelse med et forskningsprosjekt unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, så framt
prosjektet baserer seg på frivillig deltagelse fra de registrerte, og
førstegangskontakt opprettes gjennom faglig ansvarlig person ved den institusjon respondenten er registrert, og
respondenten har gitt skriftlig samtykke til alle deler av undersøkelsen, og
det innsamlede materialet anonymiseres eller slettes ved prosjektavslutning, og
prosjektet har en fastsatt prosjektavslutning innen 5 år fra prosjektstart.
Registeret kan bare brukes i samsvar med prosjektets formål og den registrertes samtykke. Dersom prosjektet innebærer kobling av registre kreves særskilt tillatelse fra Datatilsynet for dette.
§ 2-18. Domstolenes registre
Personregistre som opprettes i forbindelse med domstolenes virksomhet (herunder registrerings- og notarialforretninger og lignende som utføres ved et dommerkontor) unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Registrene må bare brukes innenfor rammene av domstolenes virksomhet.
§ 2-19. Elektroniske arkiv
Elektroniske arkiv ført i lukket edb-system unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Elektronisk arkiv i delt edb-system unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd dersom det ikke inneholder opplysninger som nevnt i personregisterloven § 6 annet ledd. Med delt edb-system menes et edb-system som er tilgjengelig, eller kan være tilgjengelig for uvedkommende.
Elektronisk arkiv omfatter i denne sammenheng elektronisk ført postjournal, arkivkatalog, korrespondansearkiv og dokumentasjonsarkiv i den grad disse utgjør et personregister i henhold til personregisterloven § 1 annet ledd. Med elektronisk postjournal menes en oversikt over inn- og utgående post, og annen dokumentasjon som det anses formålstjenlig å arkivere. Med elektroniske dokumentasjonsarkiv og korrespondansearkiv menes elektroniske arkiv over dokumentasjon som ligger lagret i fulltekst. Med elektroniske arkivkataloger menes en oversikt over arkivert materiale og tilhørende opplysninger om arkivskapere.
Elektronisk postjournal og arkivkatalog som inneholder sensitive opplysninger og som benyttes av flere instanser (delt edb-system) unntas likevel fra konsesjonsplikten så fremt det enkelte organ kun får tilgang til opplysninger i egne saker.
Arkivet kan bare brukes til å ivareta de oppgaver foretaket/ institusjonen har, herunder å sikre bevaring av arkiver i tråd med lov 4. desember 1992 nr. 126 (arkivloven).
§ 2-20. Aktivitetslogg i et edb-system eller datanett
Register over aktiviteter (hendelser) internt i et edb-system eller datanett, samt register over disposisjoner til ressurser internt i systemet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Registeret kan bare brukes til administrasjon av systemet, og til å avdekke/ oppklare brudd på sikkerheten i edb-systemet.
§ 2-21. Personregistre som utleveres elektronisk
Dersom det i konsesjonen til et personregister er gitt tillatelse til å utlevere personregisteret elektronisk, unntas det utleverte registeret fra konsesjonsplikten etter personregisterloven § 9 første ledd.
Kapittel 3 Nærmere om personregistre unntatt fra konsesjonsplikt
(personregisterloven §§ 9 annet ledd og 8b)
§ 3-1. Formål
Personregistre som er unntatt fra konsesjonsplikt kan bare benyttes til de formål som følger av § 2-2, § 2-3, § 2-4, § 2-5, § 2-6 § 2-7, § 2-8, § 2-9, § 2-10, § 2-11, § 2-12, § 2-13 § 2-14, § 2-15, § 2-16, § 2-17, § 2-18, § 2-19, § 2-20, § 2-21.
§ 3-2. Registeransvarlig
Virksomhetens ledelse er ansvarlig for at bestemmelsene i personregisterloven og denne forskrift blir fulgt (registeransvar).
Den registeransvarlige plikter å føre oversikt over hvilke personregister som vedkommende har registeransvaret for. Oversikten skal vise hvilke typer opplysninger registeret kan inneholde og hva det kan brukes til, og være offentlig tilgjengelig.
§ 3-3. Sikring
Den registeransvarlige må sørge for nødvendig sikring av konfidensialitet, kvalitet og tilgjengelighet for personopplysninger og registre.
Den registeransvarlige skal godkjenne alle brukere av registeret, samt drifts- og vedlikeholdspersonale. Enhver bruker av et elektronisk register skal entydig identifiseres og autentiseres av registersystemet før tilgang til registeret.
Datatilsynet kan gi pålegg som ansees nødvendige for å oppnå forsvarlig sikring.
For organ i staten vises for øvrig til Beskyttelsesinstruksen, Sikkerhetsinstruksen med utfyllende bestemmelser og Datasikkerhetsdirektivet.
Denne paragrafen gjelder ikke for registre som nevnt i § 2-15.
§ 3-4. Utlevering
Personopplysninger må ikke utleveres fra registeret til utenforstående, unntatt når utleveringen skjer
med samtykke fra den opplysningen gjelder,
med hjemmel i lov, eller i forskrift gitt med hjemmel i lov,
som ledd i betalingsinnkreving,
som ledd i regnskap- og revisjonsbehandling,
med hjemmel i avtale mellom partene i arbeidslivet,
til annen sammenslutning eller stiftelse innenfor eget konsern (jf. lov 4. juni 1976 nr. 59 om aksjeselskaper § 1-2 og lov 21. juni 1985 nr. 83 om ansvarlige selskaper og kommandittselskaper § 1-2 (2)) når utleveringen ikke strider mot registerets formål eller lovbestemt taushetsplikt,
fra registre som nevnt i § 2-4 til annen bank eller finansinstitusjon, etter beslutning fra styret eller noen som har fullmakt fra styret til å avgjøre spørsmål om utlevering,
fra registre som nevnt i § 2-2 og § 2-12 som nødvendig ledd i opprettelse og administrasjon av kollektive forsikringsordninger,
fra registre som nevnt i § 2-12 til registre for utarbeidelse av lønnsstatistikk som har konsesjon etter personregisterloven § 9, dersom ikke annet er bestemt i avtale mellom partene i arbeidslivet,
fra registre som nevnt i § 2-12 til utarbeidelse av kataloger eller lister over arbeidstakers interne telefonnummer, besøksadresse og stillingsbenevnelse,
fra medlemsregistre som nevnt i § 2-2 dersom dette er tillatt i henhold til vedtak fra foreningens høyeste organ eller fastsatt i foreningens vedtekter.
Fødselsnummer må ikke benyttes utenpå postsendinger.
Oppbevaring eller behandling av personopplysninger i databehandlingsforetak som har konsesjon etter loven § 22, i adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 eller foretak som har konsesjon til å drive opinions- og markedsundersøkelsesvirksomhet etter loven § 31, regnes ikke som utlevering når dette skjer etter oppdrag fra registerets eier.
Denne paragrafen gjelder ikke for personregistre som nevnt i § 2-11, § 2-13, § 2-14 og § 2-15.
§ 3-5. Kobling
Selv om personregistre er unntatt fra konsesjon etter kapittel 2, kreves det likevel konsesjon (tillatelse) fra Datatilsynet når slike registre kobles, unntatt når:
koblingen skjer med hjemmel i lov, eller
koblingen har hjemmel i avtale mellom partene i arbeidslivet, eller
utlevering er tillatt i henhold til forskriften § 3-4, og resultatet av koblingen ikke skal benyttes til kontrollformål eller til å treffe beslutninger rettet mot enkeltpersoner. Koblingen kan ikke skje i strid med registrenes formål.
Med kobling menes i forskriften her elektronisk samkjøring av to eller flere personregistre slik at det opprettes et nytt register eller at et eksisterende register tilføres nye opplysninger. Enkeltvise oppslag regnes ikke som kobling.
§ 3-6. Sletting
Med mindre annen lovgivning er til hinder for det, kan enhver som ber om det kreve seg slettet fra registre som nevnt i § 2-2, § 2-3, § 2-4, § 2-5, § 2-6, § 2-7 og § 2-17. Dette gjelder ikke for § 2-2, § 2-3, § 2-4 og § 2-6 dersom registreringen er en forutsetning for medlemskap, leie- eller kundeforhold.
Opplysninger om forbindelsen mellom låntaker/ bruker, som nevnt i § 2-8 (katalog-, låner- og utlånsregistre), og den tjenesten som har vært benyttet, skal av eget tiltak slettes straks den utlånte gjenstanden er tilbakelevert eller tjenesten er opphørt/ oppgjort.
Kapittel 4 Konsesjon for kreditt- og personopplysningsvirksomhet
(Personregisterloven § 13 annet ledd og § 17 annet ledd.)
§ 4-1. Følgende virksomheter regnes ikke som kredittopplysningsvirksomhet:
meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre.
meldinger fra banker (jfr. lov av 23. april 1892 om Norges Bank, lov av 1. mars 1946 nr. 3 om Den Norske Stats Husbank, lov av 10. desember 1948 nr. 2 om Norges Postsparebank, lov av 15. juli 1949 nr. 1 om Norges Kommunalbank, lov av 24. mai 1961 nr. 1 om sparebanker, lov av 24. mai 1961 nr. 2 om forretningsbanker, lov av 5. februar 1965 nr. 2 om Statens Landbruksbank, lov av 28. april 1972 nr. 22 om Statens Fiskarbank og lov av 25. mars 1977 nr. 14 om Den Norske Industribank A/ S) og fra finansieringsselskaper (jfr. lov av 4. juni 1976 nr. 71 om finansieringsvirksomhet) som gjelder dekningskontroll for sjekk eller annet uttak fra konto, diskontering av veksler og avbetalingskontrakter. Det samme gjelder når slike meldinger formidles for bank eller finansieringsselskap av et utenforstående foretak.
meldinger til den opplysningene gjelder.
utgivelse av ligningsdata.
§ 4-2. Følgende virksomheter unntas fra konsesjonsplikten etter personregisterlovens § 14:
banker, jfr. lov av 24. mai 1961 nr. 2 om forretningsbanker og lov av 24. mai 1961 nr. 1 om sparebanker
finansieringsvirksomhet i medhold av lov av 4. juni 1976 nr. 71 om finansieringsvirksomhet
statsbanker opprettet ved egen lov.
§ 4-3. Fødselsnummer må ikke benyttes utenpå postsendinger.
§ 4-4. Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak som nevnt i personregisterloven § 13 annet ledd annet punktum.
§ 4-5. Datatilsynet gis myndighet til ved enkeltvedtak å gi slike regler som nevnt i personregisterloven § 17 annet ledd.
Kapittel 5 Konsesjon for databehandlingsforetak
(Personregisterloven § 22 tredje ledd og § 24 annet ledd.)
§ 5-1. Et forvaltningsorgan (jfr. forvaltningsloven § 1) som bare bearbeider personopplysninger for andre over-, under- eller sideordnede organer i samme etat, regnes ikke som databehandlingsforetak etter personregisterloven § 22 første ledd.
Det samme gjelder når et forvaltningsorgan bearbeider opplysninger for kollegiale organer, sakkyndige eller tilsynsførere m.v. som er tilknyttet etaten, eller for private som er engasjert for å løse oppgaver for etaten.
§ 5-2. Et forvaltningsorgan som bearbeider personopplysninger som det har mottatt fra andre forvaltningsorganer, regnes ikke som databehandlingsforetak etter personregisterloven § 22 første ledd dersom bearbeidingen hovedsakelig skjer ut fra organets eget behov, eller for slike organer som nevnt ovenfor i § 5-1. Dette gjelder selv om bearbeidede opplysninger sendes tilbake til det organ som forvaltningsorganet mottok opplysningene fra.
§ 5-3. Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak fra de enkelte bestemmelser i personregisterlovens kap. 6, jfr. lovens § 22 tredje ledd.
§ 5-4. Datatilsynet gis myndighet til ved enkeltvedtak å gi bestemmelser som nevnt i personregisterloven § 24 annet ledd. Kap. 6. Konsesjon for adresserings- og distribusjonsvirksomhet. (Personregisterloven §§ 25, 26 og 29.)
Kapittel 6 Konsesjon for adresserings- og distribusjonsvirksomhet
(Personregisterloven § 25, 26 og 29.)
§ 6-1. Reglene i kap. 7 i personregisterloven gjelder ikke for virksomhet drevet av forvaltningsorganet (jfr. forvaltningsloven § 1).
§ 6-2. Datatilsynet gis myndighet til ved enkeltvedtak å gjøre slike unntak som nevnt i personregisterloven § 25 annet ledd.
§ 6-3. Datatilsynet gis myndighet til ved enkeltvedtak å gi regler som nevnt i personregisterloven § 26 annet ledd.
§ 6-4. For å gjennomføre reglene i personregisterloven § 28 må foretaket opprette et eget register over eller på annen måte anmerke de personer som etter lovens § 28 krever seg slettet blant de adresser foretaket tilbyr eller benytter, slik at de som har krevd seg slettet ikke lenger står som adressat på de utskrifter som foretaket tilbyr eller benytter til distribusjon.
Når foretaket har mottatt krav om sletting, skal det bare oppbevare de opplysninger om vedkommende som er nødvendige for å hindre at vedkommende kommer med i en adresseutskrift.
Tiltak etter første og annet ledd skal foretas innen en frist som fastsettes ved den enkelte konsesjon.
§ 6-5. Datatilsynet gis myndighet til ved enkeltvedtak å gi slike regler som nevnt i personregisterloven § 29.
§ 6-6. I medhold av personregisterloven § 30 nr. 1 bestemmes at lovens § 28 skal gjelde også for foretak som i enkeltstående tilfeller påtar seg oppdrag som nevnt i lovens § 25 første ledd.
I medhold av personregisterloven § 30 nr. 2 bestemmes at lovens § 28 skal gjelde også for adresselister til bruk for utsending av et foretaks egne varer og tjenester o.l.
Kapittel 7 Konsesjon for opinions- og markedsundersøkelser
(Personregisterloven §§ 31 og 35.)
§ 7-1. Et forvaltningsorgan (jfr. forvaltningslovens § 1) som utfører opinions- eller markedsundersøkelser for andre over-, under- eller sideordnede organer i samme etat, trenger ikke konsesjon etter personregisterloven § 31 første ledd.
Det samme gjelder når et forvaltningsorgan utfører opinions- eller markedsundersøkelser for kollegiale organer, sakkyndige eller tilsynsførere m.m. som er tilknyttet etaten, eller for private som er engasjert for å løse oppgave for etaten.
§ 7-2. Et forvaltningsorgan som utfører opinions- eller markedsundersøkelser ved hjelp av opplysninger det har mottatt fra andre forvaltningsorganer, trenger ikke konsesjon etter personregisterloven § 31 første ledd dersom undersøkelsen hovedsakelig skjer ut fra organets egne behov, eller for slike organer som nevnt ovenfor i § 7-1. Dette gjelder selv om bearbeidede opplysninger sendes tilbake til det organ som forvaltningsorganet mottok opplysningene fra.
§ 7-3. Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak fra de enkelte bestemmelser i personregisterloven kap. 8, jfr. lovens § 31 annet ledd.
§ 7-4. I henhold til personregisterloven § 35 bestemmes at lovens § 32, § 33, § 34 også skal gjelde for foretak som i enkeltstående tilfeller påtar seg slike oppdrag som nevnt i lovens § 31 første ledd, og for foretak som setter i verk slike undersøkelser for sin egen administrasjon og virksomhet.
Kapittel 8 Samtykke til overføring til utlandet
(Personregisterloven § 36 tredje ledd.)
§ 8-1. Dersom register eller opplysning som nevnt i lovens § 36 første og annet ledd overføres til utlandet, behøves ikke slikt samtykke som nevnt i § 36. Overføringen må meldes til Datatilsynet på fastsatt skjema i god tid før overføringen finner sted. Datatilsynet kan nekte overføring eller sette vilkår for overføringen.
Overføring behøves ikke meldes når Norge har plikt til å foreta slik overføring etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon.
Kapittel 9 Straffebestemmelser
(personregisterloven § 38 tredje ledd)
§ 9-1. Den som forsettlig eller aktløst unnlater å følge reglene i denne forskrift § 1-1, § 1-2, § 1-3, kapittel 3, § 4-3 eller § 8-1, straffes med bøter eller fengsel inntil ett år eller begge deler.
Medvirkning straffes på samme måte.