Når Riksrevisjonen behandler personopplysninger som ledd i sin kontrollvirksom­het, er disse behandlingene unntatt fra personopplysningsloven §§ 18, 27, 31 og 33.

For Riksrevisjonens øvrige behandling gjelder personopplysningsloven i sin helhet.

Behandling av personopplysninger som er nødvendig av hensynet til rikets sikker­het eller de alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjo­nale sikkerhetsinteresser, er unntatt fra personopplysningsloven § 44 første til tredje ledd, samt fra loven §§ 31 og 33.

Uenighet mellom behandlingsansvarlig og Datatilsynet om utstrekningen av unn­taket avgjøres av Personvernnemnda.

Personopplysningsloven gjelder ikke for saker som behandles eller avgjøres i med­hold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfull­byrdelsesloven mv.).

Personopplysningsloven med forskrift gjelder for behandlingsansvarlige som er etablert på Svalbard.

Datatilsynet kan ved enkeltvedtak gi dispensasjon fra de enkelte bestemmelser i personopplysningsloven dersom stedlige forhold gjør det nødvendig.

Personopplysningsloven med forskrift gjelder for behandlingsansvarlige som er etablert på Jan Mayen.

Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene.

Der slik fare er til stede skal de planlagte og systematiske tiltakene som treffes i medhold av forskriften, stå i forhold til sannsynligheten for og konsekvens av sikker­hetsbrudd.

Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.

Den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver, har ansvar for at bestemmelsene i dette kapittelet følges.

Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål.

Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi.

Bruk av informasjonssystemet skal jevnlig gjennomgås for å klarlegge om den er hensiktsmessig i forhold til virksomhetens behov, og om sikkerhetsstrategien gir til­fredsstillende informasjonssikkerhet som resultat.

Resultatet fra gjennomgangen skal dokumenteres og benyttes som grunnlag for eventuell endring av sikkerhetsmål og strategi.

Det skal føres oversikt over hva slags personopplysninger som behandles.  Virk­somheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlin­gen av personopplysninger.

Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sann­synligheten for og konsekvenser av sikkerhetsbrudd.  Ny risikovurdering skal gjen­nomføres ved endringer som har betydning for informasjonssikkerheten.

Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandling av personopplysninger, jf. første ledd og § 2−2.

Resultatet av risikovurderingen skal dokumenteres.

Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig.

Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører.

Dersom sikkerhetsrevisjonen avdekker bruk av informasjonssystemet som ikke er forutsatt, skal dette behandles som avvik, jf. § 2−6.

Resultatet fra sikkerhetsrevisjon skal dokumenteres.

Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhets­brudd, skal behandles som avvik.

Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, fjerne år­saken til avviket og hindre gjentagelse.

Dersom avviket har medført uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet varsles.

Resultatet fra avviksbehandling skal dokumenteres.

Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjons­systemet.

Ansvars- og myndighetsforhold skal dokumenteres og ikke endres uten autorisa­sjon fra den behandlingsansvarliges daglige leder.

Informasjonssystemet skal konfigureres slik at tilfredsstillende informasjonssikker­het oppnås.

Konfigurasjonen skal dokumenteres og ikke endres uten autorisasjon fra den be­handlingsansvarliges daglige leder.

Bruk av informasjonssystemet som har betydning for informasjonssikkerheten, skal utføres i henhold til fastlagte rutiner.

Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssyste­met for å utføre pålagte oppgaver, og selv være autorisert for slik bruk.

Medarbeiderne skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med de rutiner som er fastlagt.

Autorisert bruk av informasjonssystemet skal registreres.

Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for per­sonopplysninger hvor konfidensialitet er nødvendig.  Taushetsplikten skal også omfatte annen informasjon med betydning for informasjonssikkerheten.

Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her.

Sikkerhetstiltakene skal også hindre uautorisert adgang til annet utstyr av betyd­ning for informasjonssikkerheten.

Utstyr skal installeres slik at ikke påvirkning fra driftsmiljøet får betydning for be­handlingen av personopplysninger.

Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensi­alitet er nødvendig.

Sikkerhetstiltakene skal også hindre uautorisert innsyn i annen informasjon med betydning for informasjonssikkerheten.

Personopplysninger som overføres elektronisk ved hjelp av overføringsmedium utenfor den behandlingsansvarliges fysiske kontroll, skal krypteres eller sikres på an­nen måte når konfidensialitet er nødvendig.

For lagringsmedium som inneholder personopplysninger hvor konfidensialitet er nødvendig, skal behovet for sikring av konfidensialitet fremgå ved hjelp av merking eller på annen måte.

Dersom lagringsmediet ikke lenger benyttes for behandling av slike opplysninger, skal opplysningene slettes fra lagringsmediet.

Det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig.

Sikkerhetstiltakene skal også sikre tilgang til annen informasjon med betydning for informasjonssikkerheten.

Alternativ behandling skal forberedes for de tilfeller informasjonssystemet er util­gjengelig for normal bruk.

Personopplysninger og annen informasjon som er nødvendig for gjenoppretting av normal bruk, skal kopieres.

Det skal treffes tiltak mot uautorisert endring av personopplysninger der integritet er nødvendig.

Sikkerhetstiltakene skal også hindre uautorisert endring av annen informasjon med betydning for informasjonssikkerheten.

Det skal treffes tiltak mot ødeleggende programvare.

Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk.

Forsøk på uautorisert bruk av informasjonssystemet skal registreres.

Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medar­beiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre.

Sikkerhetstiltak skal dokumenteres.

Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i forskriften her.

Den behandlingsansvarlige kan overføre personopplysninger til enhver dersom overføringen skjer i samsvar med reglene i personopplysningsloven §§ 29 og 30, eller når det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig regis­ter.

Leverandører som gjennomfører sikkerhetstiltak, eller gjør annen bruk av informa­sjonssystemet på den behandlingsansvarliges vegne, skal tilfredsstille kravene i dette kapittelet.

Den behandlingsansvarlige skal etablere klare ansvars- og myndighetsforhold overfor kommunikasjonspartnere og leverandører.  Ansvars- og myndighetsforhold skal beskrives i særskilt avtale.

Den behandlingsansvarlige skal ha kunnskap om sikkerhetsstrategien hos kom­munikasjonspartnere og leverandører, og jevnlig forsikre seg om at strategien gir til­fredsstillende informasjonssikkerhet.

Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres.

Dokumentasjon skal lagres i minst 5 år fra det tidspunkt dokumentet ble erstattet med ny gjeldende utgave.

Registrering av autorisert bruk av informasjonssystemet og av forsøk på uautori­sert bruk, skal lagres minst 3 måneder.  Det samme gjelder registreringer av alle andre hendelser med betydning for informasjonssikkerheten.

Den behandlingsansvarlige skal etablere internkontroll i samsvar med personopp­lysningsloven § 14.  De systematiske tiltakene skal tilpasses virksomhetens art, aktivi­teter og størrelse i det omfang det er nødvendig for å etterleve krav gitt i eller i med­hold av personopplysningsloven, med særlig vekt på bestemmelser gitt i medhold av personopplysningsloven § 13.

Internkontroll innebærer at den behandlingsansvarlige blant annet skal sørge for å ha kjennskap til gjeldende regler om behandling av personopplysninger, tilstrekkelig og oppdatert dokumentasjon for gjennomføring av de ovenstående rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå.

Den behandlingsansvarlige skal også ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverk, herun­der ha rutiner for

• innhenting og kontroll av de registrertes samtykke, jf. personopplysningloven §§ 8, 9 og 11,
• vurdering av formål med behandling av personopplysninger i samsvar med per­sonopplysningsloven § 11 bokstav a,
• vurdering av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av opplysningene, jf. personopplysningsloven §§ 11 bokstav d og e, 27 og 28, samt oppfølging av eventuelle avvik,
• oppfyllelse av begjæringer om innsyn og informasjon, jf. personopplysnings­loven §§ 16 til 24,
• oppfyllelse av krav fra den registrerte om reservasjon mot visse former for behandling av personopplysninger, jf. personopplysningsloven §§ 25 og 26,
• oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt, jf. personopplysningsloven §§ 31 til 33.

Databehandlere som behandler personopplysninger på oppdrag fra behandlingsan­svarlige, skal behandle opplysningene i samsvar med rutiner behandingsansvarlige har oppstilt.

Datatilsynet kan dispensere fra hele eller deler av dette kapittelet når særlige for­hold foreligger.

Bestemmelsene i personopplysningsloven gjelder for behandlingen av personopp­lysninger i kredittopplysningsvirksomhet dersom annet ikke følger av forskriften.

Personopplysningsloven gjelder også for behandling av kredittopplysninger om andre enn enkeltpersoner.

Med kredittopplysningsvirksomhet menes i kapittelet her virksomhet som består i å gi meddelelser som belyser kredittverdighet eller økonomisk vederheftighet (kreditt­opplysning).  Kapittelet gjelder ikke bruk av opplysninger innen et foretak, og heller ikke i forhold til foretak innen samme konsern med mindre opplysningene blir gitt av et foretak som driver kredittopplysningsvirksomhet.  Det gjelder heller ikke avgivelse av opplysninger til annet kredittopplysningsforetak som loven gjelder for, dersom opp­lysningene skal brukes i dette foretakets kredittopplysningsvirksomhet.

Følgende virksomheter regnes ikke som kredittopplysningsvirksomhet:

• meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre,
• meldinger fra banker, jf. sentralbankloven, husbankloven, sparebankloven og forretningsbankloven, og fra finansieringsselskaper, jf. finansieringsvirksom­hetsloven, i forbindelse med uttak fra konto og utføring av betalingstjenester. Det samme gjelder når slike meldinger formidles for bank eller finansierings­selskap av et utenforstående foretak,
• meldinger til den opplysningene gjelder,
• utgivelse av offentlig utlagt ligning i henhold til ligningsloven § 8−8,
• Brønnøysundregistrenes behandling av lovpålagte registre,
• meldinger fra Løsøreregisteret om registrerte utleggstrekk og forretninger om «intet til utlegg».

Kredittopplysning kan bare gis til den som har saklig behov for den.  Kredittopplys­ning skal gis på ikke-diskriminerende vilkår til kredittgivere fra EØS-stater.

Kredittopplysning skal gis skriftlig enten elektronisk eller papirbasert.  Kredittopp­lysningen kan likevel gis muntlig dersom den ikke inneholder noe som kan bli anført mot den opplysningen gjelder, eller kredittopplysningen av praktiske grunner må gis uten opphold.  Blir en kredittopplysning gitt muntlig, skal opplysningen og bestillerens navn og adresse noteres og oppbevares minst 6 måneder.  Inneholder opplysningen noe som kan bli anført mot den opplysningen gjelder, skal den bekreftes skriftlig.

Kredittopplysningen kan gis ved utsending av publikasjoner eller lister, dersom publikasjonen eller listen bare inneholder opplysninger om næringsdrivende, og opp­lysningene er gitt i summarisk form.  Slike publikasjoner kan bare gis til den som er medlem eller abonnent hos den som behandler kredittopplysningen.

Avtaler som går ut på at bestilleren skal få vite det kredittopplysningsforetaket blir kjent med i framtiden, kan bare omfatte opplysninger om næringsdrivende.

Dersom kredittopplysning om enkeltpersoner blir gitt eller bekreftet skriftlig, skal kredittopplysningsforetaket samtidig vederlagsfritt sende gjenpart, kopi eller annen melding om innholdet til den det er bestilt opplysninger om.  Den registrerte skal opp­fordres til å be om at eventuelle feil rettes.

Juridiske personers rett til innsyn følger av personopplysningsloven § 18.

Den registrerte kan også kreve å få opplyst hvilke kredittopplysninger som er gitt om vedkommende de siste seks måneder, hvem disse er gitt til og hvor de er innhen­tet fra.

Et foretak kan ikke behandle personopplysninger i kredittopplysningsvirksomhet før Datatilsynet har gitt konsesjon.  Det samme gjelder for kredittopplysninger for andre enn enkeltpersoner.

Ved avgjørelsen av om konsesjon skal gis, gjelder personopplysningsloven §§ 34 og 35.  For foretak som utenlandske interesser har bestemmende innflytelse over, kan det settes vilkår om etableringsformen og sammensetningen av selskapets ledelse.

Konsesjoner som er gitt for personregister til bruk i kredittopplysningsvirksomhet i medhold av lov av 9. juni 1978 nr. 48 om personregistre m.m. § 9, gjelder som kon­sesjon etter § 4−5 i forskriften her, så langt konsesjonen ikke er i strid med person­opplysningsloven.

Dersom særlige grunner taler for det, kan Datatilsynet ved enkeltvedtak frita den behandlingsansvarlige fra plikter som følger av bestemmelser i kapittelet her.

Kommisjonens beslutninger etter direktiv 95/46/EF artikkel 25 og 26, jf. 31 gjelder også for Norge i samsvar med EØS-komiteens beslutning nr. 83/1999 (av 25. juni 1999 om endring av EØS-avtalens protokoll 37 og vedlegg XI), med mindre reservasjons­adgangen er benyttet.

Datatilsynet skal sørge for at beslutningene etterleves.

Dersom Datatilsynet kommer til at et tredjeland ikke har et tilfredsstillende beskyt­telsesnivå ved behandling av personopplysninger, skal Datatilsynet gi melding til EU-kommisjonen og de øvrige medlemsstater om sin beslutning.

Dersom Datatilsynet, etter en konkret vurdering i henhold til direktiv 95/46/EF artikkel 26 nr. 2, allikevel tillater overføring av personopplysninger til et tredjeland som ikke sikrer et tilfredsstillende beskyttelsesnivå i henhold til direktiv 95/46/EF artik­kel 25 nr. 2, skal Datatilsynet gi melding til EU-kommisjonen og øvrige medlemsstater om sin beslutning.

Dersom Kommisjonen eller andre medlemsstater har innsigelser mot Datatilsynets beslutninger i henhold til andre ledd, og Kommisjonen treffer tiltak, skal Datatilsynet sørge for at beslutningen etterleves.

Overføring av personopplysninger til tredjeland som ikke har et tilfredsstillende beskyttelsesnivå kan skje uten forhåndsgodkjenning fra Datatilsynet etter personopp­lysningsloven § 30 annet ledd, forutsatt at mottaker av opplysningene er en databe­handler og grunnlaget for overføringen er EUs standardkontrakt inntatt i kommisjons­beslutning 2010/87/EU datert 5. februar 2010.  Den behandlingsansvarlige skal varsle Datatilsynet om overføringen ved innsending av utfylt og signert standardkontrakt. Overføringen kan finne sted når varsel er sendt.

Med tredjeland menes alle land som ikke har gjennomført direktiv 95/46/EF, og som heller ikke er godkjent ved EU-kommisjonsbeslutning, jf. § 6−1.

Kapittelet her gjelder for kameraovervåking, jf. personopplysningsloven § 36.

Personopplysningsloven § 11 første ledd bokstav c er ikke til hinder for at politiet bruker opptak det er i besittelse av, i forbindelse med forebygging av straffbare hand­linger, i forbindelse med oppklaring av ulykker eller i saker om ettersøking av for­svunne personer.

Innsynsrett etter personopplysningsloven kan ikke gjøres gjeldende i opptak som politiet er i besittelse av, eller opptak som kan være av betydning for rikets eller dets alliertes sikkerhet, andre vitale nasjonale sikkerhetsinteresser og forholdet til frem­mede makter.

Opptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf. person­opplysningsloven § 28.

Opptak skal senest slettes 7 dager etter at opptakene er gjort.  Sletteplikten etter forrige punktum gjelder likevel ikke dersom det er sannsynlig at opptaket vil bli ut­levert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan opptakene oppbevares inntil 30 dager.

Opptak gjort i post- og banklokaler skal slettes senest tre måneder etter at opp­takene er gjort.

Sletteplikten etter andre og tredje ledd gjelder ikke

• for opptak som politiet er i besittelse av,
• for opptak som kan være av betydning for rikets eller dets alliertes sikkerhet, forholdet til fremmede makter og andre vitale nasjonale sikkerhetsinteresser, eller
• hvor den som er avbildet samtykker i at opptakene oppbevares lenger.

Dersom sletteplikten etter første ledd oppstår for opptak som er utlevert til politiet fra andre, kan politiet tilbakelevere opptaket til vedkommende, som snarest skal slette det dersom fristen etter andre og tredje ledd er gått ut.

Dersom det foreligger et særlig behov for oppbevaring i lengre tid enn i andre og tredje ledd, kan Datatilsynet gjøre unntak fra disse bestemmelsene.

Dette kapittelet gjelder arbeidsgivers rett til innsyn i arbeidstakers e-postkasse mv.

Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeids­takers disposisjon til bruk i arbeidet ved virksomheten.  Reglene gjelder tilsvarende for arbeidsgivers adgang til gjennomsøking av og innsyn i arbeidstakers personlige område i virksomhetens datanettverk og i andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten.  Bestemmelsene gjelder også for arbeidsgivers innsyn i opplysninger som arbeidstaker har slettet fra de nevnte områdene, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til.

Reglene gjelder både overfor nåværende og tidligere arbeidstakere, samt andre som utfører, eller har utført, arbeid for arbeidsgiver.

Reglene gjelder tilsvarende der behandlingen skjer ved hjelp av databehandler.

Reglene gjelder så langt de passer for universiteters og høyskolers innsyn i studen­ters e-postkasse, og for organisasjoners og foreningers innsyn i frivilliges og tillits­valgtes e-postkasse.

Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse

• når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten,
• ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed.

Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, ut over det som følger av denne forskriften § 7−11.

Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn etter dette kapittelet.  I varselet skal arbeidsgiver begrunne hvorfor vilkårene i § 9−2 anses å være oppfylt og orientere om arbeids­takers rettigheter etter denne bestemmelsen.  Arbeidstaker skal så langt som mulig gis anledning til å være tilstede under gjennomføringen av innsynet, og har rett til å la seg bistå av tillitsvalgt eller annen representant.

Er innsyn foretatt uten forutgående varsel, skal arbeidstaker gis skriftlig underret­ning om dette så snart innsynet er gjennomført.  Underretningen skal, i tillegg til opp­lysningene nevnt i første ledd annet punktum, inneholde opplysninger om hvilken metode for innsyn som ble benyttet, hvilke e-poster eller andre dokumenter som ble åpnet samt resultatet av innsynet jf. § 2−16§ .

Unntakene fra rett til informasjon i personopplysningslovens § 23 gjelder tilsvar­ende.  Unntaket gjelder også etterfølgende varsel etter annet ledd.

Innsyn må gjennomføres på en slik måte at dataene så langt som mulig ikke end­res og at frembrakte opplysninger kan etterprøves.

Dersom innsyn i e-postkassen viser at det ikke foreligger dokumentasjon som arbeidsgiver har rett til innsyn i etter § 9−2 bokstav a og b, skal e-postkassen og dokumenter i denne straks lukkes.  Eventuelle kopier skal slettes.

Når arbeidsforholdet opphører, skal arbeidstakers e-postkasse mv. avsluttes og innhold som ikke er nødvendig for den daglige driften av virksomheten slettes innen rimelig tid.  Personopplysningsloven § 28 gjelder tilsvarende.

Det er ikke adgang til å fastsette instruks eller inngå avtale om arbeidsgivers inn­syn i arbeidstakers e-postkasse mv. som fraviker bestemmelsene i dette kapitlet til ugunst for arbeidstaker.

Personvernnemnda behandler klager over Datatilsynets avgjørelser som nevnt i personopplysningsloven § 42 fjerde ledd og klager over Datatilsynets enkeltvedtak etter forskriften her.

Kongen oppnevner personlige varamedlemmer for de fem medlemmene i nemnda som oppnevnes av Kongen etter personopplysningsloven § 43 annet ledd.  Varamed­lemmene oppnevnes for samme periode som medlemmene.

Personvernnemnda skal ha et sekretariat som skal tilrettelegge forholdene for Personvernnemndas arbeid og ellers forberede saker for behandling i nemnda.

Personvernnemnda treffer vedtak med alminnelig flertall.  Det skal fremgå av ved­takene om de er truffet ved enstemmighet.  Ved dissens skal også en begrunnelse for mindretallets standpunkt fremgå.  I den grad vedtakene ikke er unntatt fra offentlig­het, skal de samles i en protokoll som er offentlig.

Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten.  Tilsvarende gjelder sendinger som for­midles ved hjelp av telekommunikasjon.

Den som forsettlig eller grovt uaktsomt unnlater å følge reglene i kapitlene 2 til og med 7, samt §§ 8−2, 8−3, 8−4 andre til sjette ledd eller § 8−5 i forskriften her straf­fes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

Forskriften trer i kraft 1. januar 2001.

Fra samme tidspunkt oppheves

• Forskrift av 21. desember 1979 nr. 7 om personregistre m.m. og om delegasjon av myndighet
• Forskrift av 21. desember 1979 nr. 22 i medhold av lov om personregistre m.m.
• Delegering av 30. september 1988 nr. 758 av myndighet etter personregister­loven
• Forskrift av 12. desember 1988 nr. 1010 om årsavgift for foretak som er konse­sjonspliktige etter personregisterloven
• Forskrift av 1. juli 1994 nr. 536 om bruk av billedopptak gjort ved fjernsyns­overvåkning
• Forskrift av 23. mars 1995 nr. 267 om unntak fra konsesjonsplikt for finansinsti­tusjoners mv personregistre i saker om hvitvasking av penger
• Delegering av 22. mai 1995 nr. 486 av kompetanse til Datatilsynet.