personopplysningsloven

Personopplysningsloven er en norsk lov med formål å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

Loven gjennomfører EUs personvernforordning i norsk rett. Forordningen er dermed en del av personopplysningsloven og gjelder som norsk lov.

Lovens fulle navn er lov om behandling av personopplysninger (personopplysningsloven) av 15. juni 2018 nr. 38. Den erstatter med virkning fra ikrafttredelsen 20. juli 2018 den gamle loven av 14. april 2000, som hadde samme tittel. Loven av 2000 erstattet i sin tur den tidligere personregisterloven og gjennomførte den gangen EUs personopplysningsdirektiv (direktiv 95/46/EF) i norsk rett.

Bakgrunnen for personopplysningslovgivningen

Bakgrunnen for lovgivningen om personopplysninger er at den raske utviklingen innenfor informasjons- og kommunikasjonsteknologi har gjort det enklere å samle inn, benytte og utveksle personopplysninger, og dermed også å misbruke slike opplysninger. Det er en økende risiko for at personopplysninger brukes på en måte som krenker den enkeltes personlige integritet, eller som har andre uønskede konsekvenser, for eksempel uønskede markedsføringshenvendelser.

Noe av bakgrunnen for den nye loven og forordningen er også at det anses som ønskelig å gjøre det lettere å utveksle personopplysninger over landegrensene, men da på en måte som ivaretar den enkeltes personvern.

Lovens hovedregler

Ifølge § 1 i personopplysningsloven skal EUs personvernforordning gjelde som lov i Norge. Loven gjelder ifølge § 2 ved helt eller delvis automatisert behandling av personopplysninger, og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Den gjelder altså ikke bare for systematisk lagring og sammenstilling av personopplysninger, men for all behandling av slike opplysninger. Loven gjelder ikke for behandling som foretas for rent private formål. Den gjelder heller ikke for saker som blir behandlet eller avgjort i medhold av rettspleielovene, som for eksempel straffeprosessloven, tvisteloven og domstolloven.

Personopplysningsloven inneholder også en rekke bestemmelser utover det som følger av forordningen, og den medfører endringer i en rekke andre lover.

Sentralt i loven og forordningen står begrepet «behandling av personopplysninger». Artikkel 4 i forordningen definerer «behandling» som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring». Ordet «behandling» har altså en langt videre betydning i denne lovgivningen enn i dagligtalen.

«Personopplysning» defineres i forordningens artikkel 4 som enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar person er en person som kan identifiseres direkte eller indirekte.

Sterkere personvern med ny lov

Personopplysningsloven gir – i tilslutning til forordningen – regler om i hvilke tilfeller en behandlingsansvarlig har anledning til å behandle personopplysninger, og regler for hvordan denne behandlingen skal foregå, samt om den den enkeltes rettigheter ved behandlingen. Det overordnede formålet med reglene er å gi vanlige folk bedre kontroll over hvilke personopplysninger ulike aktører samler inn om dem på nettet.

Kravet til samtykke fra dem det behandles personopplysninger om, er strengere enn i den gamle loven, og den enkelte skal ha rett til å vite hvilke personopplysninger om henne eller ham som blir behandlet og lagret. Den nye loven inneholder også en regel om at den enkelte som hovedregel skal kunne kreve at personopplysninger blir slettet («retten til å bli glemt»).

Personopplysningsloven gjør også innsynsretten i forordningens artikkel 15 til gjeldende rett i Norge. Den enkelte kan spørre en virksomhet om hvordan opplysningene om vedkommende behandles, og be om å få vite hvilke opplysninger som er lagret. Innsynsretten kan medføre at den enkelte oppdager at det er lagret personopplysninger som er feil. Da kan feilene kreves rettet.

Det fins også regler om dataportabilitet, det vil si den rett den enkelte har til å motta personopplysninger om seg selv som han eller hun har gitt til en dataansvarlig, og overføre opplysningene til en annen dataansvarlig. Dette fremgår av forordningens artikkel 20.

Les mer i Store norske leksikon

Kommentarer

Kommentaren din publiseres her. Fagansvarlig eller redaktør svarer når de kan.

Du må være logget inn for å kommentere.

eller registrer deg