Formålet med denne loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger.

Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleg­gende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger.

I denne loven forstås med:

• personopplysning: opplysninger og vurderinger som kan knyttes til en en­keltperson,
• behandling av personopplysninger: enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter,
• personregister: registre, fortegnelser m.v. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte kan finnes igjen,
• behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes,
• databehandler: den som behandler personopplysninger på vegne av den be­handlingsansvarlige,
• registrert: den som en personopplysning kan knyttes til,
• samtykke: en frivillig, uttrykkelig og informert erklæring fra den registrerte om at han eller hun godtar behandling av opplysninger om seg selv,
• sensitive personopplysninger: opplysninger om
  • rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
  • at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
  • helseforhold,
  • seksuelle forhold,
  • medlemskap i fagforeninger.

Loven gjelder for

• behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler,
• annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister og
• alle former for kameraovervåking, slik dette er definert i § 36 første ledd.

Loven gjelder ikke behandling av personopplysninger som den enkelte foretar for rent personlige eller andre private formål.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og sakområder.

Kongen kan gi forskrift om særskilte former for behandling av personopplysninger, og om behandling av personopplysninger i særskilte virksomheter eller bransjer.  For behandling av personopplysninger som ledd i kredittopplysningsvirksomhet kan det i forskrift gis bestemmelser bl.a. om hvilke typer opplysninger som kan behandles, hvil­ke kilder personopplysninger kan hentes fra, hvem kredittopplysninger kan utleveres til og hvordan utleveringen kan skje, sletting av kredittanmerkninger og taushetsplikt for de ansatte i kredittopplysningsbyrået.  Det kan også gis regler om at loven eller enkelte bestemmelser gitt i eller i medhold av den skal gjelde for behandling av kre­dittopplysninger om andre enn enkeltpersoner.

Loven gjelder for behandlingsansvarlige som er etablert i Norge.  Kongen kan i for­skrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Loven gjelder også for behandlingsansvarlige som er etablert i stater utenfor EØS–området dersom den behandlingsansvarlige benytter hjelpemidler i Norge.  Dette gjelder likevel ikke dersom hjelpemidlene bare brukes til å overføre personopplysnin­ger via Norge.

Behandlingsansvarlige som nevnt i annet ledd skal ha en representant som er eta­blert i Norge.  Bestemmelsene som gjelder for den behandlingsansvarlige gjelder også for representanten.

Bestemmelsene i loven gjelder for behandling av personopplysninger om ikke annet følger av en særskilt lov som regulerer behandlingsmåten.

Loven her begrenser ikke innsynsrett etter offentleglova, forvaltningsloven eller annen lovbestemt rett til innsyn i personopplysninger.

Dersom annen lovbestemt rett til innsyn gir tilgang til flere opplysninger enn loven her, skal den behandlingsansvarlige av eget tiltak veilede om retten til å be om slikt innsyn.

For behandling av personopplysninger utelukkende for kunstneriske, litterære eller journalistiske formål gjelder bare bestemmelsene i §§ 13 til 15, §§ 36 til 41, jf. kapittel VIII.

Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behand­lingen er nødvendig for

• å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
• at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,
• å vareta den registrertes vitale interesser,
• å utføre en oppgave av allmenn interesse,
• å utøve offentlig myndighet, eller
• at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes person­vern ikke overstiger denne interessen.

Sensitive personopplysninger (jf. § 2 nr. 8) kan bare behandles dersom behandlin­gen oppfyller et av vilkårene i § 8 og

• den registrerte samtykker i behandlingen,
• det er fastsatt i lov at det er adgang til slik behandling,
• behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke,
• det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent,
• behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
• behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,
• behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenes­ter, og opplysningene behandles av helsepersonell med taushetsplikt, eller
• behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte.

Ideelle sammenslutninger og stiftelser kan behandle sensitive personopplysninger innenfor rammen av sin virksomhet selv om behandlingen ikke oppfyller et av vilkår­ene i første ledd bokstav a–h.  Behandlingen kan bare omfatte opplysninger om med­lemmer eller personer som på grunn av sammenslutningens eller stiftelsens formål fri­villig er i regelmessig kontakt med den, og bare opplysninger som innsamles gjennom denne kontakten.  Personopplysningene kan ikke utleveres uten at den registrerte samtykker.

Datatilsynet kan bestemme at sensitive personopplysninger kan behandles også i andre tilfeller dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser.

Et fullstendig register over straffedommer kan bare føres under kontroll av en off­entlig myndighet.

Den behandlingsansvarlige skal sørge for at personopplysningene som behandles

• bare behandles når dette er tillatt etter § 8 og § 9,
• bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behand­lingsansvarliges virksomhet,
• ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker,
• er tilstrekkelige og relevante for formålet med behandlingen, og
• er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. § 27 og § 28.

Senere behandling av personopplysningene for historiske, statistiske eller viten­skapelige formål anses ikke uforenlig med de opprinnelige formålene med innsam­lingen av opplysningene, jf. første ledd bokstav c, dersom samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte.

Personopplysninger som gjelder barn, skal ikke behandles på en måte som er ufor­svarlig av hensyn til barnets beste.

Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behand­lingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Datatilsynet kan pålegge en behandlingsansvarlig å bruke identifikasjonsmidler som nevnt i første ledd for å sikre at personopplysningene har tilstrekkelig kvalitet.

Kongen kan gi forskrift med nærmere regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

Den behandlingsansvarlige og databehandleren skal gjennom planlagte og syste­matiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfiden­sialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsan­svarlige og hos databehandleren.  Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda.

En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd.

Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplys­ninger, herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.

Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systema­tiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet.

Den behandlingsansvarlige skal dokumentere tiltakene.  Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databe­handleren.  Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Person­vernnemnda.

Kongen kan gi forskrift med nærmere regler om internkontroll.

En databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige.  Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.

I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av § 13.

Den behandlingsansvarlige skal svare på henvendelser om innsyn eller andre ret­tigheter etter § 18, § 22, § 25, § 26, § 27 og § 28 uten ugrunnet opphold og senest innen 30 dager fra den dagen henvendelsen kom inn.

Dersom særlige forhold gjør det umulig å svare på henvendelsen innen 30 dager, kan gjennomføringen utsettes inntil det er mulig å gi svar.  Den behandlingsansvarlige skal i så fall gi et foreløpig svar med opplysninger om grunnen til forsinkelsen og sann­synlig tidspunkt for når svar kan gis.

Den behandlingsansvarlige kan ikke kreve vederlag for å gi informasjon etter kapittel III eller for å etterkomme krav fra den registrerte etter kapittel IV.

Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en be­stemt type behandling:

• navn og adresse på den behandlingsansvarlige og dennes eventuelle represen­tant,
• hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
• formålet med behandlingen,
• beskrivelser av hvilke typer personopplysninger som behandles,
• hvor opplysningene er hentet fra, og
• om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker.

Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opp­lyse om

• hvilke opplysninger om den registrerte som behandles, og
• sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten.

Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a–f i den grad dette er nødvendig for at den registrerte skal kunne vareta egne interesser.

Retten til informasjon etter annet og tredje ledd gjelder ikke dersom personopplys­ningene behandles utelukkende for historiske, statistiske eller vitenskapelige formål og behandlingen ikke får noen direkte betydning for den registrerte.

Når det samles inn personopplysninger fra den registrerte selv, skal den behand­lingsansvarlige av eget tiltak først informere den registrerte om

• navn og adresse på den behandlingsansvarlige og dennes eventuelle represen­tant,
• formålet med behandlingen,
• opplysningene vil bli utlevert, og eventuelt hvem som er mottaker,
• det er frivillig å gi fra seg opplysningene, og
• annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på best mulig måte, som f.eks. informasjon om retten til å kreve innsyn, jf. § 18, og retten til å kreve retting, jf. § 27 og § 28.

Varsling er ikke påkrevd dersom det er på det rene at den registrerte allerede kjenner til informasjonen i første ledd.

En behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon som nevnt i § 19 første ledd så snart opplysningene er innhentet.  Dersom formålet med innsamling av opplysningene er å gi dem videre til andre, kan den behandlingsansvarlige vente med å varsle den registrerte til utleverin­gen skjer.

Den registrerte har ikke krav på varsel etter første ledd dersom

• innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov,
• varsling er umulig eller uforholdsmessig vanskelig, eller
• det er på det rene at den registrerte allerede kjenner til informasjonen varslet skal inneholde.

Når varsling unnlates med hjemmel i bokstav b, skal informasjonen likevel gis sen­est når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene.

Når noen henvender seg til eller treffer avgjørelser som retter seg mot den regi­strerte på grunnlag av personprofiler som er ment å beskrive atferd, preferanser, evner eller behov, f eks som ledd i markedsføringsvirksomhet, skal den behandlings­ansvarlige informere den registrerte om

• hvem som er behandlingsansvarlig,
• hvilke opplysningstyper som er anvendt, og
• hvor opplysningene er hentet fra.

Hvis en avgjørelse har rettslig eller annen vesentlig betydning for den registrerte og fullt ut er basert på automatisk behandling av personopplysninger, kan den regi­strerte som avgjørelsen retter seg mot, kreve at den behandlingsansvarlige gjør rede for regelinnholdet i datamaskinprogrammene som ligger til grunn for avgjørelsen.

Retten til innsyn etter § 18 og § 22 og plikten til å gi informasjon etter § 19, § 20 og § 21 omfatter ikke opplysninger som

• om de ble kjent, ville kunne skade rikets sikkerhet, landets forsvar eller forhol­det til fremmede makter eller internasjonale organisasjoner,
• det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, av­sløring og rettslig forfølgning av straffbare handlinger,
• det må anses utilrådelig at den registrerte får kjennskap til, av hensyn til ved­kommendes helse eller forholdet til personer som står vedkommende nær,
• det i medhold av lov gjelder taushetsplikt for,
• utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelse og som heller ikke er utlevert til andre,
• det vil være i strid med åpenbare og grunnleggende private eller offentlige inte­resser å informere om, herunder hensynet til den registrerte selv.

Opplysninger etter første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd må begrunne dette skriftlig med presis henvisning til unntakshjemmelen.

Kongen kan gi forskrift om andre unntak fra innsynsretten og informasjonsplikten og om vilkår for bruk av innsynsretten.

Informasjonen kan kreves skriftlig hos den behandlingsansvarlige eller hos dennes databehandler som nevnt i § 15.  Før det gis innsyn i opplysninger om en registrert, kan den behandlingsansvarlige kreve at den registrerte leverer en skriftlig og under­tegnet begjæring.

Den som en fullt automatisert avgjørelse som nevnt i § 22 retter seg mot eller som saken ellers direkte gjelder, kan kreve at avgjørelsen overprøves av en fysisk person.

Retten etter første ledd gjelder ikke dersom den registrertes personverninteresser varetas på tilstrekkelig måte og avgjørelsen er hjemlet i lov eller knytter seg til oppfyl­lelse av kontrakt.

Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den behandlingsansvarlige av eget tiltak eller på begjæring av den registrerte rette de mangelfulle opplysningene.  Den be­handlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den regi­strerte, f.eks. ved å varsle mottakere av utleverte opplysninger.

Retting av uriktige eller ufullstendige personopplysninger som kan ha betydning som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger.

Dersom tungtveiende personvernhensyn tilsier det, kan Datatilsynet uten hinder av annet ledd bestemme at retting skal skje ved at de mangelfulle personopplysningene slettes eller sperres.  Hvis opplysningene ikke kan kasseres i medhold av arkivloven, skal Riksarkivaren høres før det treffes vedtak om sletting.  Vedtaket går foran reg­lene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18.

Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes.

Kongen kan gi forskrift med utfyllende bestemmelser om hvordan retting skal gjen­nomføres.

Den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen.  Hvis ikke personopplys­ningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes.

Den behandlingsansvarlige kan uten hinder av første ledd lagre personopplysninger for historiske, statistiske eller vitenskapelige formål, dersom samfunnets interesse i at opplysningene lagres klart overstiger de ulempene den kan medføre for den enkelte. Den behandlingsansvarlige skal i så fall sørge for at opplysningene ikke oppbevares på måter som gjør det mulig å identifisere den registrerte lenger enn nødvendig.

Den registrerte kan kreve at opplysninger som er sterkt belastende for ham eller henne skal sperres eller slettes dersom dette

• ikke strider mot annen lov, og
• er forsvarlig ut fra en samlet vurdering av bl.a. andres behov for dokumenta­sjon, hensynet til den registrerte, kulturhistoriske hensyn og de ressurser gjen­nomføringen av kravet forutsetter.

Datatilsynet kan – etter at Riksarkivaren er hørt – treffe vedtak om at retten til sletting etter tredje ledd går foran reglene i arkivloven 4. desember 1992 nr. 126 § 9 og § 18.

Hvis dokumentet som inneholdt de slettede opplysningene gir et åpenbart misvis­ende bilde etter slettingen, skal hele dokumentet slettes.

Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behand­ling av opplysningene.  Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri ut­veksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.

I vurderingen av om behandlingen sikres på forsvarlig måte, skal det bl.a. legges vekt på opplysningenes art, den planlagte behandlingens formål og varighet samt de rettsregler, regler for god forretningsskikk og sikkerhetstiltak som gjelder i vedkom­mende stat.  Det skal også legges vekt på om staten har tiltrådt Europarådets konven­sjon 28. januar 1981 nr. 108 om personvern i forbindelse med elektronisk behandling av personopplysninger.

Personopplysninger kan også overføres til stater som ikke sikrer en forsvarlig be­handling av opplysningene dersom

• den registrerte har samtykket i overføringen,
• det foreligger plikt til å overføre opplysningene etter folkerettslig avtale eller som følge av medlemskap i internasjonal organisasjon,
• overføringen er nødvendig for å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
• overføringen er nødvendig for å inngå eller oppfylle en avtale med en tredje­person i den registrertes interesse,
• overføringen er nødvendig for å vareta den registrertes vitale interesser,
• overføringen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
• overføringen er nødvendig eller følger av lov for å beskytte en viktig samfunns­interesse, eller
• det er fastsatt i lov at det er adgang til å kreve opplysninger fra et offentlig register.

Datatilsynet kan tillate overføring selv om vilkårene i første ledd ikke er oppfylt dersom den behandlingsansvarlige gir tilstrekkelige garantier for vern av den regi­strertes rettigheter.  Datatilsynet kan sette vilkår for overføringen.

Kongen kan gi forskrift om overføring av personopplysninger til utlandet, herunder om å stanse eller begrense overføring til bestemte stater som ikke tilfredsstiller krav­ene i § 29.

Den behandlingsansvarlige skal gi melding til Datatilsynet før

• behandling av personopplysninger med elektroniske hjelpemidler,
• opprettelse av manuelt personregister som inneholder sensitive personopplys­ninger.

Meldingen skal gis senest 30 dager før behandlingen tar til.  Datatilsynet skal gi den behandlingsansvarlige kvittering for at melding er mottatt.

Ny melding må gis før behandling som går ut over den rammen for behandling som er angitt i medhold av § 32.  Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.

Kongen kan gi forskrift om at visse behandlingsmåter eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt forenklet meldeplikt eller underlagt konsesjons­plikt.  For behandlinger som unntas fra meldeplikt kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.

Meldingen skal opplyse om

• navn og adresse på den behandlingsansvarlige og på dennes eventuelle repre­sentant og databehandler,
• når behandlingen starter,
• hvem som har det daglige ansvaret for å oppfylle den behandlingsansvarliges plikter,
• formålet med behandlingen,
• oversikt over hvilke typer personopplysninger som skal behandles,
• hvor personopplysningene hentes fra,
• det rettslige grunnlaget for innsamlingen av opplysningene,
• hvem personopplysningene vil bli utlevert til, herunder eventuelle mottakere i andre stater, og
• hvilke sikkerhetstiltak som er knyttet til behandlingen.

Kongen kan gi forskrift om hvilke opplysninger meldingene skal inneholde og om gjennomføringen av meldeplikten.

Det kreves konsesjon fra Datatilsynet for å behandle sensitive personopplysninger. Dette gjelder likevel ikke for behandling av sensitive personopplysninger som er avgitt uoppfordret.

Datatilsynet kan bestemme at også behandling av annet enn sensitive personopp­lysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtvei­ende personverninteresser.  I vurderingen av om konsesjon er nødvendig, skal Datatil­synet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behand­lingen.

Dersom Datatilsynet mener at konsesjon for en behandling vil være åpenbart unødvendig, kan tilsynet bestemme at behandlingen ikke krever konsesjon.

Den behandlingsansvarlige kan kreve at Datatilsynet avgjør om en behandling vil kreve konsesjon.

Konsesjonsplikt etter første og annet ledd gjelder ikke for behandling av person­opplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov.

Kongen kan gi forskrift om at visse behandlingsmåter ikke trenger konsesjon etter første ledd.  For behandlingsmåter som unntas fra konsesjon kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.

Ved avgjørelsen av om konsesjon skal gis, skal det klarlegges om behandlingen av personopplysninger kan volde ulemper for den enkelte som ikke avhjelpes gjennom bestemmelsene i kapitlene II–V og vilkår etter § 35.  I så fall må det vurderes om ulempene blir oppveid av hensyn som taler for behandlingen.

I konsesjonen skal det vurderes å sette vilkår for behandlingen når slike vilkår er nødvendige for å begrense ulempene behandlingen ellers ville medføre for den regi­strerte.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personover­våking ved hjelp av fjernbetjent eller automatisk virkende overvåkningskamera eller annet lignende utstyr som er fastmontert.  Som kameraovervåking anses både over­våking med og uten mulighet for opptak av lyd- og bildemateriale.  Det samme gjelder utstyr som lett kan forveksles med en ekte kameraløsning.

Kameraovervåking kan bare finne sted der vilkårene for dette er oppfylt etter § 37 (alminnelige vilkår) og §§ 38 til 40 (tilleggsvilkår).

Personopplysningsloven gjelder i sin helhet for alle former for kameraovervåking, jf. § 3 første ledd bokstav c, med de presiseringer som fremgår av annet til fjerde ledd.

Kameraovervåking som må antas å ha vesentlig betydning for forebygging og opp­klaring av straffbare handlinger er tillatt selv om vilkårene i § 9 første ledd bokstav a til h ikke er oppfylt.  I slike tilfeller gjelder heller ikke konsesjonsplikt etter § 33.

Ved vurderingen av hva som er en berettiget interesse etter personopplysnings­loven § 8 bokstav f skal det for kameraovervåking legges vesentlig vekt på om over­våkingen bidrar til å verne om liv eller helse eller forebygger gjentatte eller alvorlige straffbare handlinger.

Kameraovervåking skal kun anses som behandling av sensitive personopplysninger der slike utgjør en vesentlig del av opplysningene som overvåkingen omfatter.

Kameraovervåking av sted hvor en begrenset krets av personer ferdes jevnlig, er bare tillatt dersom det ut fra virksomheten er behov for å forebygge at farlige situasjo­ner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkingen.

Kameraovervåking av parker, strender og lignende rekreasjonsområder som er til­gjengelig for allmennheten, er bare tillatt når behovet for overvåking klart overstiger den enkeltes interesse av ikke å bli overvåket.

Ved vurderingen av behovet for overvåking skal det særlig legges vekt på om overvåkingen er av vesentlig betydning for å forebygge straffbare handlinger som kan true liv eller helse, hindre ulykker eller ivareta liknende samfunnsnyttige interesser.

Ved vurderingen av den enkeltes interesse av ikke å bli overvåket skal det særlig legges vekt på hvordan overvåkingen skal skje, samt hva slags område som skal overvåkes.

Personopplysninger som er innsamlet ved opptak gjort ved kameraovervåking, kan bare utleveres til andre enn den behandlingsansvarlige dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov.  Opptak kan likevel utleveres til politiet ved etterforskning av straffbare handlinger eller ulykker hvis ikke lovbestemt taushetsplikt er til hinder.

Ved kameraovervåking på offentlig sted eller sted hvor en begrenset krets av personer ferdes jevnlig, skal det ved skilting eller på annen måte gjøres tydelig oppmerk­som på at stedet blir overvåket, at overvåkingen eventuelt inkluderer lydopptak og hvem som er behandlingsansvarlig.

Kongen kan gi forskrifter med nærmere bestemmelser om kameraovervåking og opptak i forbindelse med slik overvåking, herunder om sikring, bruk og sletting av opptak gjort ved kameraovervåking og om innsynsrett for den som er overvåket i de deler av opptakene hvor han eller hun er avbildet.  Det kan også gis forskrift om at opptak kan utleveres utover det som følger av § 39.

Datatilsynet er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet.  Kongen og departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i enkelttilfeller etter loven.

Datatilsynet ledes av en direktør som utnevnes av Kongen.  Kongen kan bestemme at direktøren ansettes på åremål.

Datatilsynet skal

• føre en systematisk og offentlig fortegnelse over alle behandlinger som er inn­meldt etter § 31 eller gitt konsesjon etter § 33, med opplysninger som nevnt i § 18 første ledd jf. § 23,
• behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette,
• kontrollere at lover og forskrifter som gjelder for behandling av personopplys­ninger blir fulgt, og at feil eller mangler blir rettet,
• holde seg orientert om og informere om den generelle nasjonale og internasjo­nale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling,
• identifisere farer for personvernet, og gi råd om hvordan de kan unngås eller begrenses,
• gi råd og veiledning i spørsmål om personvern og sikring av personopplysnin­ger til dem som planlegger å behandle personopplysninger eller utvikle syste­mer for slik behandling, herunder bistå i utarbeidelsen av bransjevise atferds­normer,
• etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av per­sonopplysninger, og
• gi Kongen årsmelding om sin virksomhet.

Avgjørelser som Datatilsynet fatter i medhold av § 9, § 12, § 27, § 28, § 30, § 33, § 34, § 35, § 44, § 46 og § 47 kan påklages til Personvernnemnda.  Avgjørelser som fattes i medhold av § 27 eller § 28 kan påklages videre til Kongen dersom avgjørelsen gjelder personopplysninger som behandles for historiske formål.

Personvernnemnda avgjør klager over Datatilsynets avgjørelser, jf. § 42 fjerde ledd.  Nemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet.  § 42 første ledd annet punktum gjelder tilsvarende.

Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til gjenoppnevning for ytterligere fire år.  Lederen og nestlederen oppnevnes av Stortin­get.  De øvrige fem medlemmene oppnevnes av Kongen.

Personvernnemnda kan bestemme at lederen eller nestlederen sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser som må avgjøres uten opphold.

Personvernnemnda orienterer årlig Kongen om behandling av klagesakene.

Søksmål om gyldigheten av Personvernnemndas avgjørelser rettes mot staten ved Personvernnemnda.

Kongen kan gi nærmere regler om Personvernnemndas organisering og saksbe­handling.

Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver.

Datatilsynet kan som ledd i sin kontroll med at lovens regler etterleves, kreve ad­gang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak som nevnt i § 37, personopplysninger som behandles elektronisk og hjelpemidler for slik behandling.  Tilsynet kan gjennomføre de prøver eller kontroller som det finner nød­vendig og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.

Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til første og annet ledd gjelder uten hinder av taushetsplikt.

Kongen kan gi forskrift om unntak fra første til tredje ledd av hensyn til rikets sik­kerhet.  Kongen kan også gi forskrift om dekning av utgiftene ved kontroll.

For ansatte i Datatilsynet, medlemmer av Personvernnemnda og andre som utfører tjeneste for tilsynsmyndighetene gjelder bestemmelsene om taushetsplikt i forvalt­ningsloven §§ 13 flg.  Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. § 13.

Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten.

Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i med­hold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden.  Fysiske personer kan bare ilegges overtredelses­gebyr for forsettlige eller uaktsomme overtredelser.  Et foretak kan ikke ilegges over­tre­delsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.

Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på

• hvor alvorlig overtredelsen har krenket de interesser loven verner,
• graden av skyld,
• om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,
• om overtredelsen er begått for å fremme overtrederens interesser,
• om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredel­sen,
• om det foreligger gjentakelse,
• om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og
• overtrederens økonomiske evne.

Oppfyllelsesfristen er 4 uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.

Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med be­stemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må være oppfylt for at behandlingen skal være i samsvar med loven.

Ved pålegg etter § 12, § 27, § 28 og § 46 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.

Tvangsmulkten løper ikke før klagefristen er ute.  Hvis vedtaket påklages, løper ikke tvangsmulkt før Personvernnemnda har bestemt det.

Datatilsynet kan frafalle påløpt tvangsmulkt.

Refusjonskrav som nevnt i § 44, overtredelsesgebyr etter § 46 og tvangsmulkt etter § 47 er tvangsgrunnlag for utlegg.

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt

• unnlater å sende melding etter § 31,
• behandler personopplysninger uten nødvendig konsesjon etter § 33,
• overtrer vilkår fastsatt etter § 35 eller § 46,
• unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46,
• behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller
• unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44.

Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes.  Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsikt­ede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende be­stemmelser.

I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.

Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den be­handlingsansvarliges side.

Behandlingsansvarlige som formidler kredittopplysninger og som har meddelt opp­lysninger som viser seg uriktige eller åpenbart misvisende, skal erstatte skade som er oppstått som følge av den feilaktige meddelelsen, uten hensyn til om skaden skyldes feil eller forsømmelse på den behandlingsansvarliges side.

Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen.  Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke–økonomisk art (oppreisning) som synes rime­lig.

Loven trer i kraft fra den tid Kongen bestemmer.1  Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til forskjellig tid.

• For behandling av personopplysninger som er påbegynt før loven trer i kraft og som er melde- eller konsesjonspliktig etter bestemmelsene i kapittel VI, skal det sendes melding i henhold til § 31 eller søkes om konsesjon fra Datatilsynet i hen­hold til § 33 innen ett år fra ikrafttredelsen.  Dersom behandlingen foretas i hen­hold til konsesjon i medhold av personregisterloven § 9, er fristen for å sende melding eller søke om konsesjon to år fra ikrafttredelsen.  Inntil melding er sendt eller Datatilsynet har gitt konsesjon, kan personopplysningene behandles i hen­hold til reglene i personregisterloven.
• Et samtykke som en registrert har gitt før loven trer i kraft skal fremdeles gjelde, hvis det tilfredsstiller vilkårene i § 2 nr. 7.
• Klager som Datatilsynet mottar etter at loven trer i kraft, behandles av Person­vernnemnda.
• Kongen kan ved forskrift gi nærmere overgangsregler.

I andre lover gjøres følgende endringer: