Personopplysningsloven er en norsk lov med formål å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

Loven gjennomfører EUs personvernforordning i norsk rett. Forordningen er dermed en del av personopplysningsloven og gjelder som norsk lov.

Lovens fulle navn er lov om behandling av personopplysninger (personopplysningsloven) av 15. juni 2018 nr. 38. Den erstatter med virkning fra 20. juli 2018 den gamle loven av 14. april 2000, som hadde samme tittel. Loven av 2000 erstattet i sin tur den tidligere personregisterloven og gjennomførte den gangen EUs personopplysningsdirektiv (direktiv 95/46/EF) i norsk rett.

Bakgrunnen for lovgivningen om personopplysninger er at den raske utviklingen innenfor informasjons- og kommunikasjonsteknologi har gjort det enklere å samle inn, benytte og utveksle personopplysninger, og dermed også å misbruke slike opplysninger. Det er en økende risiko for at personopplysninger brukes på en måte som krenker den enkeltes personlige integritet, eller som har andre uønskede konsekvenser, for eksempel uønskede markedsføringshenvendelser.

Noe av bakgrunnen for den nye loven og forordningen er også at det anses som ønskelig å gjøre det lettere å utveksle personopplysninger over landegrensene, men da på en måte som ivaretar den enkeltes personvern.

Ifølge § 1 i personopplysningsloven skal EUs personvernforordning gjelde som lov i Norge. Loven gjelder ifølge § 2 ved helt eller delvis automatisert behandling av personopplysninger, og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Den gjelder altså ikke bare for systematisk lagring og sammenstilling av personopplysninger, men for all behandling av slike opplysninger. Loven gjelder ikke for behandling som foretas for rent private formål.

Personopplysningsloven inneholder også en rekke bestemmelser utover det som følger av forordningen, og den medfører endringer i en rekke andre lover.

Sentralt i loven og forordningen står begrepet «behandling av personopplysninger». Artikkel 4 i forordningen definerer «behandling» som «enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring». Ordet «behandling» har altså en langt videre betydning i denne lovgivningen enn i dagligtalen.

«Personopplysning» defineres i forordningens artikkel 4 som enhver opplysning om en identifisert eller identifiserbar fysisk person. En identifiserbar person er en person som kan identifiseres direkte eller indirekte.

Personopplysningsloven gir – i tilslutning til forordningen – regler om i hvilke tilfeller en behandlingsansvarlig har anledning til å behandle personopplysninger, og regler for hvordan denne behandlingen skal foregå, samt om den den enkeltes rettigheter ved behandlingen. Det overordnede formålet med reglene er å gi vanlige folk bedre kontroll over hvilke personopplysninger ulike aktører samler inn om dem på nettet.

Kravet til samtykke fra dem det behandles personopplysninger om, er strengere enn i den gamle loven, og den enkelte skal ha rett til å vite hvilke personopplysninger om henne eller ham som blir behandlet og lagret. Den nye loven inneholder også en regel om at den enkelte som hovedregel skal kunne kreve at personopplysninger blir slettet («retten til å bli glemt»).

Personopplysningsloven gjør også innsynsretten i forordningens artikkel 15 til gjeldende rett i Norge. Den enkelte kan spørre en virksomhet om hvordan opplysningene om vedkommende behandles, og be om å få vite hvilke opplysninger som er lagret. Innsynsretten kan medføre at den enkelte oppdager at det er lagret personopplysninger som er feil. Da kan feilene kreves rettet.

Det fins også regler om dataportabilitet, det vil si den rett den enkelte har til å motta personopplysninger om seg selv som han eller hun har gitt til en dataansvarlig, og overføre opplysningene til en annen dataansvarlig. Dette fremgår av forordningens artikkel 20.

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

Har du spørsmål om eller kommentarer til artikkelen?

Kommentaren din vil bli publisert under artikkelen, og fagansvarlig eller redaktør vil svare når de har mulighet.

Du må være logget inn for å kommentere.