Personopplysningsloven er en norsk lov med formål å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

Personopplysningsloven, eller Lov om behandling av personopplysninger av 14. april 2000, med den tilhørende personopplysningsforskriften av 15. desember 2000, erstattet med virkning fra 1. januar 2001 den tidligere personregisterloven. Personopplysningsloven gjennomfører EUs personopplysningsdirektiv (direktiv 95/46/EF) i norsk rett.

Utviklingen innenfor moderne informasjons- og kommunikasjonsteknologi har gjort det enklere å samle inn, benytte og utveksle personopplysninger. Dette øker risikoen for at personopplysninger brukes på en måte som krenker den registrertes personlige integritet, eller som har andre uønskede konsekvenser, for eksempel uønskede markedsføringshenvendelser. Til forskjell fra den tidligere personregisterloven gjelder personopplysningsloven for enhver behandling av personopplysninger som skjer helt eller delvis med elektroniske hjelpemidler, ikke bare for systematisk lagring og sammenstilling av personopplysninger, som var personregisterlovens sentrale virkeområde. Loven gjelder ikke for behandling som foretas for rent private formål.

Personopplysninger defineres i loven som opplysninger og vurderinger som kan knyttes til en enkeltperson (fysisk person). Personopplysningsloven gir regler om i hvilke tilfeller en behandlingsansvarlig har anledning til å behandle personopplysninger, og regler for hvordan denne behandlingen skal foregå, samt om den registrertes rettigheter ved behandlingen. Personopplysninger kan bare behandles dersom

  • den opplysningene gjelder har gitt samtykke til behandlingen, eller
  • der det er fastsatt i lov at det er anledning til behandlingen, eller
  • behandlingen er nødvendig for å oppfylle andre nærmere angitte formål, herunder for å oppfylle en avtale med den opplysningene gjelder.

Behandling av personopplysninger forutsetter som hovedregel at den behandlingsansvarlige på forhånd har meldt fra om behandlingen til Datatilsynet. Personopplysningsforskriften inneholder en del praktisk viktige unntak fra meldeplikten, der blant annet behandling av kundeopplysninger kan skje uten at melding gis.

Ved behandling av sensitive personopplysninger krever loven som hovedregel at konsesjon fra Datatilsynet må være gitt. Konsesjon fra Datatilsynet kreves også i en del andre tilfeller der det antas å være ekstra stor risiko for krenkelse av personvernet, herunder for behandling av personopplysninger innenfor telesektoren, i forsikringsbransjen samt i banker og finansinstitusjoner.

Loven inneholder også bestemmelser om fjernsynsovervåkning.

EU vedtok en ny personvernforordning (GDPR) i 2016. Den trådte i kraft i alle EU-landene 25. mai 2018. I Norge er det vedtatt en ny personopplysningslov – lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) – som inkorporerer personvernforordningen i norsk rett. Loven kan imidlertid ikke tre i kraft umiddelbart. Grunnen til dette er at det er dialog mellom Norge, Island, Liechtenstein og EU med sikte på å innlemme forordningen i EØS-avtalen. I den forbindelse har Liechtenstein en frist på en måned for den som vil kreve folkeavstemning om forordningen.

Foreslå endringer i tekst

Foreslå bilder til artikkelen

Kommentarer

Har du spørsmål om eller kommentarer til artikkelen?

Kommentaren din vil bli publisert under artikkelen, og fagansvarlig eller redaktør vil svare når de har mulighet.

Du må være logget inn for å kommentere.