Kapittel 1 Lovens område

§ 1. Loven gjelder for personregistre og for annen bruk av personopplysninger i visse typer virksomhet.

Med personopplysninger er ment opplysninger og vurderinger som direkte eller indirekte kan knyttes til identifiserbare enkeltpersoner, sammenslutninger eller stiftelser. Med personregistre er ment registre, fortegnelser m.m. der personopplysninger er lagret systematisk slik at opplysninger om den enkelte person kan finnes igjen.

Loven gjelder for personregistre og bruk av personopplysninger i organ for stat eller kommune og i privat næringsvirksomhet, foreninger eller stiftelser.

Kongen kan bestemme at loven ikke skal gjelde for visse typer personregistre.

Kapittel 2 Datatilsynet

§ 2. Det blir opprettet et datatilsyn. Datatilsynet skal være et frittstående organ underordnet Kongen og det departement Kongen fastsetter.

Datatilsynet blir ledet av et styre, som skal ha 7 medlemmer. Medlemmene blir oppnevnt av Kongen, som også fastsetter hvem som skal være styrets formann og nestformann.

§ 3. Uttalelse fra Datatilsynet skal være innhentet før det blir gjort vedtak som i loven her er lagt til Kongen. Dette gjelder likevel ikke vedtak etter § 2.

Datatilsynet skal ellers:

1. 1)

   holde seg orientert om den generelle utvikling i bruken av personregistre og om de problemer som knytter seg til slike registre, samt sørge for informasjon i denne forbindelse

2. 2)

   gi råd og rettleiing om spørsmål om personvern og datasikring til dem som planlegger å opprette personregistre

3. 3)

   kontrollere at de lover, forskrifter og regler som gjelder for personregistre, blir fulgt, og at feil eller mangler blir rettet

4. 4)

   etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om bruk av personregistre eller i generelle spørsmål som gjelder bruk av personopplysninger.

Kongen kan gi Datatilsynet ytterligere oppgaver som gjelder bruk m.m. av personregistre eller bruk av personopplysninger ellers.

§ 4. Datatilsynet skal føre en systematisk fortegnelse over personregistre som er gitt konsesjon etter § 9. Fortegnelsen skal henvise til de regler som er fastsatt etter § 11. Et eksemplar av reglene skal oppbevares ved Datatilsynet.

Fortegnelsen og reglene skal være tilgjengelige for alle.

Kongen kan gi nærmere regler om fortegnelsen og gjøre slike unntak fra første ledd som er nødvendige ut fra beredskapshensyn eller hensynet til rikets sikkerhet.

§ 5. Datatilsynet kan kreve de opplysningene som trengs for at det kan gjennomføre sine oppgaver. Tilsynet kan kreve å få adgang til de stedene der personregistre, billedopptak som nevnt i kapittel 9 a og tekniske hjelpemidler fins, og til å gjennomføre de prøver eller kontroller som det mener er nødvendige. Tilsynet kan kreve nødvendig bistand fra personalet slike steder for å få utført prøvene eller kontrollene.

Datatilsynets rett til å kreve opplysninger er ikke begrenset av bestemmelser om taushetsplikt.

Kongen kan gjøre slike unntak fra første og annet ledd som er nødvendige av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll. Skyldig bidrag til dekning av utgiftene er tvangsgrunnlag for utlegg.

Kapittel 3 Alminnelige regler om personregistre

§ 6. Registrering av personopplysninger skal være saklig begrunnet ut fra hensynet til administrasjon og virksomhet i det organ eller foretak som foretar registreringen.

Uten at det er nødvendig, må det ikke registreres

1. 1)

   opplysninger om rase, eller politisk eller religiøs oppfatning

2. 2)

   opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold

3. 3)

   opplysninger om helseforhold eller misbruk av rusmidler

4. 4)

   opplysninger om seksuelle forhold

5. 5)

   andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde.

§ 7. Alle har rett til å få opplyst hvilke opplysninger om dem selv som lagres eller bearbeides ved elektroniske hjelpemidler. Denne innsynsretten gjelder likevel ikke registre som bare brukes til statistikk, forsking eller generelle planleggingsformål. Innsynsretten gjelder heller ikke opplysninger som det må anses utilrådelig at vedkommende får kjennskap til, av hensyn til deres helse eller forholdet til personer som står dem nær.

For personregistre i organ for stat eller kommune gjelder innsynsretten, slik den er avgrenset i første ledd, også for opplysninger som ikke lagres eller bearbeides ved elektroniske hjelpemidler. Den registrerte kan likevel ikke kreve å få se dokumenter som reknes som interne etter forvaltningslovens § 18.

For personregistre i organ for stat eller kommune har alle dessuten rett til å få opplyst hvilke typer opplysninger som er tatt inn i registeret.

Kongen kan ved forskrift bestemme at det som er fastsatt i annet og tredje ledd, også skal anvendes på personregistre i privat næringsvirksomhet, foreninger eller stiftelser, eller for visse slike registre.

Kongen kan ved forskrift eller for det enkelte register fastsette flere unntak fra innsynsretten og fastsette nærmere regler eller vilkår for bruken av retten.

§ 8. Dersom et personregister inneholder uriktige eller ufullstendige opplysninger, opplysninger som det ikke er adgang til å ta inn i registeret, eller opplysninger som ikke lenger har betydning, skal opplysningene rettes, slettes eller suppleres såframt mangelen kan få betydning for den registrerte. Har mangelen ført til at det er gitt eller brukt uriktige eller ufullstendige opplysninger, skal det sørges for at feilen så vidt mulig ikke får betydning for den registrerte.

Når det foreligger feil som nevnt i første ledd, kan Datatilsynet gi pålegg om retting, sletting eller supplering av registeret og om tiltak etter første ledd annet punktum.

§ 8 a. En person kan kreve sitt navn sperret i et personregister mot bruk til utsending av direkte reklame og liknende publikasjoner.

§ 8 b. Kongen kan ved forskrift eller enkeltvedtak gi regler for sikring av personopplysninger.

Kapittel 4 Plikt til å søke samtykke til å opprette personregistre

§ 9. Det kreves samtykke fra Kongen (konsesjon) for å opprette personregistre som skal gjøre bruk av elektroniske hjelpemidler. Slikt samtykke kreves også for å opprette andre personregistre dersom de skal inneholde

1. 1)

   opplysninger om rase, eller politisk eller religiøs oppfatning

2. 2)

   opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold

3. 3)

   opplysninger om helseforhold eller misbruk av rusmidler

4. 4)

   opplysninger om seksuelle forhold, eller

5. 5)

   andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde.

Kongen kan bestemme at visse typer personregistre skal være unntatt fra konsesjonsplikten etter første ledd. For slike registre kan det fastsettes forskrifter om forhold som er nevnt i § 11. Det kan også fastsettes andre forskrifter for å begrense de problemer registeret ellers kunne medføre for den enkelte, bl.a. regler om at registeret skal kontrolleres av Datatilsynet og tas med i fortegnelsen etter § 4.

Kongens myndighet etter første og annet ledd kan bare delegeres til departementet eller til Datatilsynet.

Første ledd gjelder ikke for personregistre som opprettes av Riksrevisjonen som ledd i dens kontrollvirksomhet. Slike personregistre skal slettes straks kontrollen er utført.

§ 10. Ved avgjørelsen av om samtykke skal gis, skal det – innenfor den rammen som er fastsatt i § 6 – vurderes om opprettelse og bruk av personregisteret kan volde problemer for den enkelte som ikke kan løses tilfredsstillende ved regler etter § 11. Dersom slike problemer kan oppstå, må det overveies om de blir oppveid av hensyn som taler for at registeret blir opprettet.

§ 11. Når det blir gitt samtykke etter § 9, skal det fastsettes regler for personregisteret som angir hvilke typer opplysninger registeret kan inneholde, og hva registeret kan brukes til.

I reglene kan det dessuten fastsettes slike vilkår som har betydning for bruken av registeret eller kan begrense de ulempene opprettelsen og bruken av registeret ellers kunne medføre. Særlig bør det overveies å fastsette regler om

1. 1)

   innsamling og kontroll av de opplysninger registeret kan inneholde

2. 2)

   behandling og lagring av disse opplysningene

3. 3)

   adgangen til samkjøring med andre personregistre (kobling)

4. 4)

   bruk av fødselsnummer (fødselsdato og personnummer)

5. 5)

   utlevering av opplysninger, bl.a. om opplysninger kan overføres til andre registre

6. 6)

   omfanget og innholdet av den informasjon som skal gis ved meldinger eller andre henvendelser til den registrerte

7. 7)

   den enkeltes rett til å kreve opplysninger etter § 7

8. 8)

   retting av opplysninger og rutiner i registeret

9. 9)

   ajourføring av registeret

10. 10)

    sletting eller ikke-bruk av opplysninger etter en viss tid, og eventuelt overføring av registeret til arkivverket

Reglene skal dessuten peke ut det organ eller foretak eller den person som har ansvar for at reglene blir gjennomført.

§ 12. Regler som er fastsatt etter § 11, kan ikke fravikes uten at det er innhentet samtykke fra det organet som fastsetter reglene, eller – når reglene bestemmer det – fra departementet eller Datatilsynet.

Kapittel 5 Kreditt- og personopplysningsvirksomhet

§ 13. Med kredittopplysningsvirksomhet menes i kapitlet her virksomhet som består i å gi meddelelser som belyser kredittverdighet eller økonomisk vederheftighet (kredittopplysning). Kapitlet gjelder ikke bruk av opplysninger innen et foretak, og heller ikke i forhold til foretak innen samme konsern med mindre opplysningene blir gitt av et foretak som driver kredittopplysningsvirksomhet. Det gjelder heller ikke avgivelse av opplysninger til annet kredittopplysningsforetak som loven gjelder for, forutsatt at opplysningene skal brukes i dette foretakets kredittopplysningsvirksomhet.

Kongen kan gi utfyllende forskrift om hva som skal reknes som kredittopplysningsvirksomhet. For visse typer foretak kan Kongen ved forskrift eller enkeltvedtak gjøre unntak fra de enkelte bestemmelser i kapitlet.

Foretak som driver kredittopplysningsvirksomhet, kan ikke uten samtykke fra Kongen drive annen personopplysningsvirksomhet.

§ 14. Et foretak kan ikke sette i gang kredittopplysningsvirksomhet før Kongen har gitt samtykke til det.

Ved avgjørelsen av om det skal gis samtykke, skal det legges vekt på om virksomheten kan forutsettes å ville bli drevet på en redelig og forsvarlig måte. Innenfor rammen av bestemmelsene i denne lov kan det settes slike vilkår for konsesjonen som er egnet til å fremme disse formål, bl.a. om sikkerhet for ansvar. For foretak som utenlandske interesser har bestemmende innflytelse over, kan det settes vilkår som gjelder etableringsformen og sammensetningen av selskapets ledelse.

§ 15. Kredittopplysningsforetaket skal påse at de opplysninger som brukes i kredittopplysningsøyemed, så vidt mulig er fullstendige, og at det ikke brukes opplysninger som kan danne grunnlag for ugrunnet eller urimelig avvisende holdning til den opplysningene gjelder.

En opplysning som ved kalenderårets utgang vil være 3 år gammel eller mer, kan bare brukes dersom det er åpenbart at forholdet fortsatt har vesentlig betydning for vurderingen av den opplysningene gjelder.

§ 16. Foretaket kan ikke som ledd i kredittopplysningsvirksomhet bruke

1. 1)

   opplysninger om rase, eller politisk eller religiøs oppfatning

2. 2)

   opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold

3. 3)

   opplysninger om helseforhold eller misbruk av rusmidler

4. 4)

   opplysninger om seksuelle forhold

5. 5)

   andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelsesbyrde.

Kongen kan likevel gi samtykke til at opplysninger som nevnt i første ledd nr 2 og 3 samles inn og meddeles i visse tilfelle.

§ 17. Kredittopplysning må ikke gis når det etter det som foreligger, går fram at bestilleren ikke har saklig behov for den.

§ 18. Kredittopplysning skal vanligvis meddeles skriftlig. Den kan gis muntlig dersom den ikke inneholder noe som kan bli anført mot den opplysningen gjelder, eller kredittopplysningen av praktiske grunner må gis uten opphold. Blir en kredittopplysning gitt muntlig, skal opplysningens innhold samt bestillerens navn og adresse noteres og oppbevares minst et halvt år. Inneholder den noe som kan bli anført mot den opplysningen gjelder, skal den bekreftes skriftlig.

Kredittopplysningen kan gis ved utsending av publikasjoner eller lister, forutsatt at publikasjonen eller listen bare inneholder opplysninger om næringsdrivende, og at opplysningene er gitt i summarisk form. Slike publikasjoner kan bare sendes til medlemmer og abonnenter.

Anmodning om kredittopplysning som går ut på at bestilleren skal få vite det kredittopplysningsforetaket blir kjent med i framtiden eller i et bestemt tidsrom, kan bare omfatte opplysninger om næringsdrivende.

§ 19. Når kredittopplysning om noen som ikke er næringsdrivende blir gitt eller bekreftet skriftlig, skal kredittopplysningsforetaket samtidig vederlagsfritt sende gjenpart, kopi eller annen melding om innholdet til den det er bestilt opplysninger om.

§ 20. Alle har rett til å få opplyst hva foretaket har lagret om dem selv til bruk i kredittopplysningsøyemed, og til å få opplyst hvilke kredittopplysninger som er gitt om dem de siste seks måneder. Foretaket plikter også å opplyse hvem som har bestilt opplysningene, og hvem det har mottatt opplysningene fra. Svar skal gis skriftlig om ikke vedkommende har samtykket i at det blir gitt på annen måte. Blir opplysning om hva et register inneholder gitt i form av et sammendrag, eller har foretaket lagret opplysninger som ikke gjengis fullstendig, skal dette sies i svaret. Den opplysningene gjelder, kan kreve å få gjennomgå alle dokumenter m.m. ved henvendelse til foretaket.

Foretaket kan beregne seg en rimelig godtgjørelse når opplysning etter første ledd første punktum blir gitt skriftlig. Kongen kan ved forskrift eller enkeltvedtak gi nærmere regler om beregning av godtgjørelsen.

§ 21. Kongen kan ved forskrift fastsette at § 14 om konsesjonsplikt skal gjelde også for andre foretak som driver personopplysningsvirksomhet. I konsesjonen kan det settes vilkår om innsamling, lagring og bruk av opplysningene, samt om kontroll, om innsynsrett for den opplysningene gjelder og om rett til å kreve seg slettet av register.

Kapittel 6 Databehandlingsforetak

§ 22. Virksomhet som består i å bearbeide personopplysninger for andre ved elektroniske hjelpemidler, må ikke settes i gang før Kongen har gitt samtykke til det. § 14 annet ledd gjelder tilsvarende.

Første ledd gjelder ikke dersom bearbeidelsen utelukkende skjer for andre foretak innen samme konsern.

Kongen kan gi utfyllende forskrifter om hva som skal reknes som databehandlingsforetak ved anvendelse av første ledd, og kan ved forskrift eller enkeltvedtak gjøre unntak fra de enkelte bestemmelser i dette kapitlet.

§ 23. Foretak som må ha konsesjon etter § 22 første ledd, må ikke uten avtale med oppdragsgiveren anvende opplysningene til andre formål enn det oppdraget gjelder. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse.

§ 24. Foretaket skal treffe de sikringstiltak som trengs. Kongen kan ved forskrift eller for det enkelte foretak gi bestemmelser om de sikringstiltak som skal gjennomføres.

Kapittel 7 Adresserings- og distribusjonsvirksomhet

§ 25. Virksomhet som består i å selge eller på annen måte tilby adresser for grupper av personer, eller i å utføre oppdrag for utsending av reklame og andre meddelelser til slike grupper, kan ikke settes i gang før Kongen har gitt samtykke til det. § 14 annet ledd gjelder tilsvarende.

Kongen kan gi utfyllende forskrift om hvilke foretak som er konsesjonspliktige etter første ledd, og kan ved forskrift eller enkeltvedtak gjøre unntak fra de enkelte bestemmelser i kapitlet.

§ 26. Et register til bruk for virksomhet som er nevnt i § 25 første ledd, kan ikke inneholde

1. 1)

   opplysninger om rase, eller politisk eller religiøs oppfatning

2. 2)

   opplysninger om at en person har vært mistenkt, tiltalt eller dømt for straffbart forhold

3. 3)

   opplysninger om helseforhold eller misbruk av rusmidler

4. 4)

   opplysninger om seksuelle forhold

5. 5)

   andre opplysninger om familieforhold enn slike som gjelder slektskap eller familiestatus, formuesordningen mellom ektefeller og forsørgelses­byrde.

Kongen kan ved forskrift eller enkeltvedtak ytterligere begrense foretakets adgang til å registrere personopplysninger, og regulere bruken av registrerte opplysninger.

§ 27. Uten hinder av bestemmelsene i § 26 kan foretaket sende meldinger på grunnlag av kunde- og medlemsregistre som stilles til rådighet av oppdragsgiveren. Slike registre må bare nyttes til å sende meldinger om oppdragsgiverens varer eller tjenester o.l., og de kan ikke overlates til andre.

§ 28. Foretaket skal i sine registre slette enhver som ber om det. En registrert kan kreve å få opplyst hvem som er foretakets kilde for registreringen.

Gjelder kravet om sletting slikt register som er nevnt i § 27, skal kravet sendes til oppdragsgiveren, som plikter å påse at vedkommende blir strøket som adressat ved seinere bruk av registeret. Den som har satt fram kravet, skal underrettes om videresendingen og om oppdragsgiverens navn.

§ 29. Kongen kan ved forskrift eller for det enkelte foretak gi bestemmelser med sikte på å hindre at personopplysninger blir brukt i strid med § 26 og § 27 og for å sikre gjennomføringen av reglene i § 28.

§ 30. Kongen kan ved forskrift bestemme

1. 1)

   at § 26, § 27, § 28 skal gjelde tilsvarende for foretak som i enkeltstående tilfeller påtar seg oppdrag som er nevnt i § 25 første ledd,

2. 2)

   at visse typer opplysninger ikke skal kunne anvendes for utvalg av adressater ved utsending av meldinger for foretakets egne varer og tjenester o.l., samt at § 28 skal gjelde tilsvarende for slike adresselister.

Kapittel 8 Opinions- og markedsundersøkelser

§ 31. Virksomhet som består i å utføre opinions- eller markedsundersøkelser for andre, kan ikke settes i gang før Kongen har gitt samtykke til det. § 14 annet ledd gjelder tilsvarende.

Kongen kan gi utfyllende forskrift om hvilke fore­tak som er konsesjonspliktige etter første ledd, og kan ved forskrift eller enkeltvedtak gjøre unntak fra de enkelte bestemmelser i dette kapitlet.

§ 32. Personopplysninger som noen gir under opinions- eller markedsundersøkelser, må ikke meddeles videre i en slik form at opplysningen kan henføres til en enkelt person.

Opplysninger som er mottatt for opinions- og markedsundersøkelser, må ikke brukes for andre formål.

§ 33. Uten samtykke fra den opplysningene gjelder, må opplysning om navn, fødselsdato, fødselsnummer eller liknende ikke innføres i register som bearbeides ved elektroniske hjelpemidler. Heller ikke må slike opplysninger innføres i et annet register som er særskilt utformet med sikte på at opplysningene skal være lett tilgjengelige og anvendelige.

Uten samtykke fra den opplysningen gjelder, må innsamlete opplysninger ikke lagres i mer enn et halvt år i slik form at de kan henføres til en enkelt person.

§ 34. Kongen gir nærmere forskrifter om slik virksomhet som er nevnt i § 31. Forskriftene kan bl.a. inneholde bestemmelser om innhenting av opplysninger, om lagring av innhentete opplysninger, og andre bestemmelser som skal sikre at innsamlete personopplysninger ikke nyttes på urett måte eller kommer på urette hender.

§ 35. Kongen kan ved forskrift bestemme at § 32, § 33, § 34 skal gjelde også for foretak som i enkeltstående tilfelle påtar seg slike oppdrag som er nevnt i § 31 første ledd, og for foretak som setter i verk slike undersøkelser for sin egen administrasjon og virksomhet.

Kapittel 9 Overføring til utlandet, m.m.

§ 36. Register som omfattes av § 9 første ledd må ikke overføres til utlandet uten samtykke av Kongen.

Personopplysninger som er innsamlet her i riket, må ikke overføres til utlandet uten samtykke av Kongen når formålet er å innføre opplysningene i et register som nevnt i § 9 første ledd.

Kongen kan ved forskrift gjøre unntak fra første og annet ledd. Det kan fastsettes at disse bestemmelser ikke skal gjelde i forhold til enkelte andre land.

§ 37. Kongen kan gi forskrift om samarbeid mellom Datatilsynet og tilsynsmyndigheter i andre land. I slik forskrift kan det fastsettes særlige regler om meldeplikt for registre og om kontroll med eller tilintetgjøring av registre.

Kapittel 9 a Fjernsynsovervåkning

§ 37 a. Fjernsynsovervåkning og billedopptak i forbindelse med slik overvåkning er bare tillatt dersom det er saklig begrunnet ut fra hensynet til virksomheten i det organ eller foretak som foretar overvåkningen. Ved overvåkning av sted hvor en begrenset krets av personer jevnlig ferdes, er overvåkningen likevel bare tillatt dersom det ut fra hensynet til virksomheten er et særskilt behov for overvåkningen.

Billedopptakene skal slettes når det ikke lenger er saklig grunn for oppbevaring.

Med fjernsynsovervåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller liknende apparat.

Kapitlet her gjelder ikke for billedopptak som er å anse som personregistre. Kongen kan i tvilstilfelle bestemme når billedopptak som er gjort ved fjernsynsovervåkning, skal anses som personregistre etter § 1 annet ledd.

§ 37 b. Billedopptak gjort ved fjernsynsovervåkning kan bare utleveres til noen utenfor det foretak eller organ som har foretatt opptaket, dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov. Hvis ikke lovbestemt taushetsplikt er til hinder for utlevering, kan billedopptak likevel utleveres til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Kongen kan i forskrift eller i det enkelte tilfelle fastsette at billedopptak kan utleveres utover det som er bestemt i første og annet punktum.

Kongen kan i forskrift fastsette nærmere regler om sikring, bruk, utlevering og sletting av billedopptak gjort ved fjernsynsovervåkning. Kongen kan også fastsette forskrift om innsynsrett for den som er overvåket, i de deler av billedopptakene hvor han eller hun er avbildet.

Dersom billedopptak ikke slettes i samsvar § 37a annet ledd eller forskrift fastsatt i medhold av annet ledd i paragrafen her, kan Datatilsynet gi pålegg om sletting.

Kapittel 10 Straff og erstatning

§ 38. Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller aktløst

1. 1)

   unnlater å innhente samtykke etter § 9, § 13 tredje ledd, § 14, § 22, § 25, § 31 eller § 36

2. 2)

   overtrer regler eller vilkår fastsatt etter § 11, § 14, § 22, § 25, § 31, § 36 eller § 37 b

3. 3)

   bruker opplysninger i strid med reglene i § 16, § 18, § 23, § 26, § 27, § 32, § 33 eller § 37 b

4. 4)

   unnlater å etterkomme krav fra Datatilsynet etter § 5, § 8 eller § 37 b

5. 5)

   unnlater å etterkomme krav om opplysninger etter § 7, § 20 eller § 37 b eller krav om sletting etter § 28 eller § 37 b

6. 6)

   unnlater å gi melding etter § 19 til den opplysningen gjelder.

Medvirkning straffes på samme måte.

I forskrift som gis i medhold av loven, kan det fastsettes at overtreding av forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.

§ 39. (Opphevet ved lov 20 juli 1991 nr 66)

§ 40. Har foretak som driver virksomhet som nevnt i § 13, meddelt opplysninger i strid med bestemmelser gitt i eller i medhold av loven her, eller meddelt opplysninger som viser seg uriktige eller åpenbart misvisende, skal foretaket erstatte det tap som påføres den opplysningene gjelder. Dette gjelder uten hensyn til om det er utvist skyld fra noen som har opptrådt på vegne av eller i tjeneste hos foretaket.

Kapittel 11 Forholdet til andre lover. Ikraftsetting. Overgangsregler

§ 41. Konsesjonsplikten etter § 9 jfr. § 10 gjelder ikke for personregistre i organ for stat eller kommune som er opprettet ved egen lov. Også for slike registre skal det likevel fastsettes regler som nevnt i § 11, i den utstrekning det ikke er fastsatt noe annet i eller i medhold av heimelsloven. Også de andre bestemmelsene i loven gjelder for slike registre i den utstrekning ikke annet følger av hjemmelsloven.

§ 42. Loven trer i kraft den dag Kongen bestemmer.

For personregistre som er opprettet før loven trer i kraft, og som omfattes av § 9, skal det søkes om samtykke innen en frist som Kongen fastsetter. Forutsatt at søknad er kommet inn innen fristen, kan personregisteret brukes uendret inntil det er fastsatt regler etter § 11.

Reglene i annet ledd gjelder tilsvarende når det kreves samtykke etter kapitlene 5 til 9.

§ 43. Fra loven trer i kraft gjøres følgende endringer i andre lover: – – -

Kap. 1 Om innsynsretten.

(personregisterloven § 7 fjerde og femte ledd).

§ 1-1.

Svar på henvendelser som nevnt i personregisterlovens § 7 første ledd skal gis snarest mulig og senest innen en måned.

Svaret skal gis skriftlig dersom ikke den som benytter innsynsretten samtykker i at svaret gis muntlig eller på annen måte.

§ 1-2.

Svar på henvendelser som nevnt i personregisterloven § 7 annet ledd skal gis snarest mulig og senest innen en måned. Dersom innsynsretten kan motvirke muligheten for å få en sak som er under behandling avklart, kan institusjonen fastsette at vedkommende ikke skal ha adgang til opplysningene så lenge undersøkelser pågår, (jfr forvaltningsloven § 20 første ledd).

Den registeransvarlige bestemmer ellers, ut fra hensynet til forsvarlig saksbehandling, hvordan dokumentene eller opplysningene skal gjøres tilgjengelige for vedkommende. På anmodning skal vedkommende gis skriftlig svar ved utskrift eller avskrift fra registeret.

§ 1-3.

Svar på henvendelser som nevnt i personregisterlovens § 7 tredje ledd skal gis umiddelbart.

Svaret skal gis skriftlig dersom ikke den som benytter innsynsretten samtykker i at svaret gis muntlig eller på annen måte.

§ 1-4.

Datatilsynet gis myndighet som nevnt i personregisterlovens § 7 femte ledd til ved enkeltvedtak å fastsette unntak fra innsynsretten. Datatilsynet kan også ved enkeltvedtak fastsette nærmere regler eller vilkår for bruk av retten, herunder unntak fra reglene i dette kapittel.

§ 1-5.

Innsynsrett etter lovens § 7 annet ledd i opplysninger som ikke lagres eller bearbeides ved elektroniske hjelpemidler, skal også gjelde for de registre over nåværende eller tidligere ansatte, personale eller representanter som finnes i privat næringsvirksomhet, foreninger eller stiftelser, jfr lovens § 7 fjerde ledd.

Som interne dokumenter som etter § 7 annet ledd kan unntas fra innsyn, skal i denne sammenheng regnes alle dokumenter arbeidsgiver selv utarbeider for sin interne saksforberedelse samt dokumenter som er utarbeidet for den interne saksforberedelse av særskilte rådgivere eller sakkyndige, eller av annen sammenslutning eller stiftelse innenfor eget konsern eller organisasjon.

Også dokumenter om å innhente dokumenter nevnt i denne bestemmelse kan unntas fra innsyn.

Selv om dokument er unntatt etter annet og tredje ledd bør vedkommende ha rett til å gjøre seg kjent med de deler av dokumentet som inneholder faktiske opplysninger eller sammendrag eller annen bearbeidelse av faktum. Dette gjelder likevel ikke faktiske opplysninger som finnes i annet dokument som vedkommende har innsyn i.

Kap. 2 Unntak fra konsesjonsplikt (personregisterloven § 9 annet ledd).

§ 2-1. Unntak fra konsesjonsplikt

Personregistre som omfattes av dette kapitlet er unntatt fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Konsesjonsfrihet er betinget av at kravene til registerets innhold m.m. i kapitlet her følges, og at bestemmelsene i kapittel 3 overholdes.

§ 2-2. Foreningers medlemsregistre

Foreningers medlemsregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med et slikt register menes en oversikt over en forenings nåværende og tidligere medlemmer, og som ikke inneholder andre personopplysninger enn:

1. (1)

   navn

2. (2)

   adresseopplysninger (bosteds-, arbeids-, adviserings-, tilskriver-, elektronisk adresse m.v.)

3. (3)

   anropsnummer for teletjenester

4. (4)

   fødselsdato

5. (5)

   fødselsnummer, dersom dette er pålagt i lov eller forskrift gitt med hjemmel i lov

6. (6)

   utdannelse, stilling, arbeidsgiver

7. (7)

   inntekt

8. (8)

   sivil status

9. (9)

   kjønn

10. (10)

    statsborgerskap

11. (11)

    spesielle interesser i tilknytning til foreningen etter samtykke fra den registrerte

12. (12)

    medlemsnummer

13. (13)

    medlemskoder (opplysninger om type medlemskap o.l.)

14. (14)

    tillitsverv

15. (15)

    data for distribusjon av trykksaker, publikasjoner o.l.

16. (16)

    kurs, utdannelse o.l. innen foreningen eller i tilknytning til denne

17. (17)

    kontingentopplysninger

18. (18)

    utlånte eiendeler

19. (19)

    resultater fra idrettskonkurranser o.l.

20. (20)

    foresattes navn, adresse og anropsnummer for teletjenester.

Registeret kan bare brukes som ledd i foreningens administrasjon eller interne virksomhet. Annen bruk kan fastsettes av foreningens høyeste organ eller i foreningens vedtekter.

§ 2-3. Kunde-, abonnent- og leverandørregistre

Kunde-, abonnent- og leverandørregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med et slikt register menes en oversikt over kunder, abonnenter eller leverandører, som ikke inneholder andre personopplysninger enn:

1. (1)

   navn

2. (2)

   adresseopplysninger

3. (3)

   anropsnummer for teletjenester

4. (4)

   fødselsdato

5. (5)

   organisasjonsnummer

6. (6)

   kontaktnummer og kontaktperson

7. (7)

   konsernopplysninger

8. (8)

   kontonummer bank/ post og andre opplysninger i den sammenheng

9. (9)

   rubriseringsdata (så som kategori kunde/ leverandør, distrikt, type varer, kontonummer i regnskap, kunde-/ leverandørnummer, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning og andre opplysninger som ikke angår fysiske personer eller personlige forhold)

10. (10)

    inkasso- og utbetalingsopplysninger

11. (11)

    saldoinformasjon

12. (12)

    kredittgrense

13. (13)

    betalingsbetingelser

14. (14)

    aldersfordeling av saldoposter

15. (15)

    purringsstatus.

Registeret kan bare brukes til administrasjon og gjennomføring av kontraktsforpliktelser. Dette er ikke til hinder for at opplysninger benyttes i adressemekling av et adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 når dette skjer etter avtale med registerets eier.

§ 2-4. Kunderegistre i banker og finansinstitusjoner

Kunderegistre i banker som omfattes av

• lov 1. mars 1946 nr. 3 om Den Norske Stats Husbank

• lov 15. juli 1949 nr. 1 om Norges Kommunalbank

• lov 24. mai 1961 nr. 1 om sparebanker

• lov 24. mai 1961 nr. 2 om forretningsbanker

• lov 5. februar 1965 nr. 2 om Statens Landbruksbank

• lov 28. april 1972 nr. 22 om Statens Fiskarbank

• lov 5. juni 1992 nr. 51 om Norges Postbank

og kunderegistre i finansinstitusjon, jf. lov 10. juni 1988 nr. 40 om finansieringsvirksomhet § 1-3, som etableres i forbindelse med institusjonens finansieringsvirksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

I det enkelte kunderegister kan det ikke registreres andre personopplysninger enn:

1. (1)

   Kundeopplysninger

   Med kundeopplysninger menes personopplysninger om bankens kunder, kausjonister og andre som banken har saklig behov for opplysninger om på grunn av deres forhold til kunden (jf. personregisterloven § 6 første ledd). Følgende kundeopplysninger kan registreres:

   1. (A)

      navn

   2. (B)

      adresseopplysninger

   3. (C)

      anropsnummer for teletjenester

   4. (D)

      fødselsnummer

   5. (E)

      organisasjonsnummer

   6. (F)

      kjønn

   7. (G)

      statsborgerskap

   8. (H)

      antall konti (egne, kausjonist, garantist o.l.)

   9. (I)

      sivilstand

   10. (J)

       stillingsbetegnelse

   11. (K)

       notatfelt med rent administrative opplysninger om kundeforholdet (disposisjonsforhold, sperringer o.l.). Personopplysninger som nevnt i personregisterloven § 6 annet ledd tillates ikke registrert i notatfeltet

   12. (L)

       kundetype og kundehode

   13. (M)

       formues- og inntektsforhold, og beløpsangivelse for beregnet kredittverdighet, samt kredittopplysninger

   14. (N)

       kundedataopplysninger (opprettelse, avslutning o.l.)

   15. (O)

       henvisninger til andre som banken har saklig behov for å registrere på grunn av deres forhold til kunden (kausjonister, garantister, konsern, datterselskap, arbeidsgiver e.l.)

   16. (P)

       firmaattest

   17. (Q)

       andre opplysninger om kundens ektefelle/ samboer/ registrert partner enn de som kan registreres etter litra o) ovenfor, når denne har gitt samtykke til registreringen.

2. (2)

   Konto- og oppdragsopplysninger

   Med konto- og oppdragsopplysninger menes opplysninger om de enkelte konti eller oppdrag. Følgende konto- og oppdragsopplysninger kan registreres:

   1. (A)

      kontonummer og oppdragsnummer

   2. (B)

      andre numre i tilknytning til kontoen (depotnummer, disponentnummer, bankkortnummer, kausjonistnummer, betalingskontonummer, aksjenummer m.v.)

   3. (C)

      åpnings-, endrings-, avslutningsdato og andre datoopplysninger vedrørende kontoen eller oppdraget

   4. (D)

      rente-, dekort-, provisjonsbetingelser og gebyrer

   5. (E)

      saldi, gebyrbeløp, rentebeløp debet/ kredit, omkostninger, provisjoner, agio og andre statusopplysninger

   6. (F)

      avdrags-, termin- og forfallsopplysninger

   7. (G)

      opplysninger om purringer, overtrekk og inkasso

   8. (H)

      disposisjonsopplysninger, stikkord

   9. (I)

      innvilgede lån

   10. (J)

       opplysninger om stillet sikkerhet (prioritet, takst, utløpsdatoer o.l.)

   11. (K)

       henvisningsopplysninger av betydning for disponeringen av kontoen eller oppdraget

   12. (L)

       notatfelt med rent administrative opplysninger om kontoen eller oppdraget (disposisjonsforhold, sperringer o.l.). Personopplysninger som nevnt i personregisterloven § 6 annet ledd tillates ikke registrert i notatfeltet

   13. (M)

       kontoanalysedata

   14. (N)

       betalingsmottakeres/ kreditorers kontonummer, navn, adresse og fødselsnummer

   15. (O)

       opplysninger som er nødvendige for å hindre uttak på sperret konto.

3. (3)

   Transaksjonsopplysninger

   Med transaksjonsopplysninger menes opplysninger som registreres i forbindelse med bruk av kontoen, inklusive transaksjoner som tilføres automatisk slik som renter, provisjoner o.l.

   Følgende transaksjonsopplysninger kan registreres:

   1. (A)

      transaksjonsbeløp og valutasort

   2. (B)

      arkivreferanse og terminalidentifikasjon

   3. (C)

      ID-nummer (ikke fødselsnummer), bilagsnummer, sjekknummer o.l.

   4. (D)

      tekstkode, tekst og annen beløpsidentifikasjon

   5. (E)

      bokføringsdato, valuteringsdato og andre tidsbestemmelser av transaksjonsforløpet

   6. (F)

      henvisninger til motpost

   7. (G)

      førings- og behandlingskoder.

4. (4)

   Administrative opplysninger og interne refe­ranser

   I tilknytning til opplysninger som nevnt i punkt (1) til og med (3) ovenfor, kan det registreres administrative opplysninger som systemet må benytte for at det skal kunne arbeide i samsvar med de kunde-, konto-, oppdrags- og transaksjonsopplysninger som er nevnt. Dessuten kan det registreres interne referanser som bare benyttes for å vise til andre rutiner eller registre, og som ellers ikke har behandlingsmessige konsekvenser.

5. (5)

   Statistikk

   Felter for klassifikasjon og koding av opplysninger til å utarbeide offentlig og intern statistikk for personopplysninger som tillates registrert etter punkt (1) til og med (3) ovenfor. Statistikk må ikke utarbeides i en slik form at opplysningene direkte eller indirekte kan føres tilbake til den enkelte konto eller kunde.

Kunderegistre i banker og kunderegistre i andre finansinstitusjoner som etableres i forbindelse med institusjonens finansieringsvirksomhet, kan bare benyttes i forbindelse med innlån, utlån, betalingsformidling, inkasso, forvaltning og andre ordinære bank- og finanstjenester. Dette er ikke til hinder for at opplysninger benyttes i adressemekling av et adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 når dette skjer etter avtale med registerets eier.

§ 2-5. Katalogfirmaregistre

Registre som opprettes for utgivelse av katalog, bok e.l. unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, så framt det ikke registreres sensitive opplysninger, jf. personregisterloven § 6 annet ledd, og den registrerte har hatt anledning til å verifisere opplysningene.

Registeret kan bare brukes for utgivelse av katalog, bok e.l.

§ 2-6. Leietaker- og sameieregistre

Leietaker- og sameieregistre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med et slikt register menes en oversikt over registereierens leietakere eller sameiere i et boligsameie, som ikke inneholder andre personopplysninger enn:

1. (1)

   navn

2. (2)

   adresseopplysninger

3. (3)

   anropsnummer for teletjenester

4. (4)

   fødselsnummer, dersom dette er pålagt i lov eller i forskrift gitt med hjemmel i lov

5. (5)

   medlemsnummer i borettslag

6. (6)

   ansiennitetsopplysninger til bruk ved tildeling av leilighet

7. (7)

   medlemskontingentbeløp

8. (8)

   leilighetsnummer og adresse

9. (9)

   leilighetstype og størrelse

10. (10)

    leilighetens alder

11. (11)

    leilighetens verdi (takst) ved omsetning

12. (12)

    leilighetens omsetningsform

13. (13)

    leiebeløp/ sameieavgift fordelt på art (husleie, garasje, fyring etc.)

14. (14)

    medlemmets/ sameierens/ beboerens tilknytning til leilighet (eier, fremleier, leietaker etc.)

15. (15)

    dato for innflytning

16. (16)

    betaling/ restansedata for kontingentinnkreving

17. (17)

    betaling/ restansedata for innkreving av leie, sameieavgift, fellesavgifter, m.v.

18. (18)

    oversikt over tidligere leietakere til bruk ved fordeling av ligningsmessig underskudd/ overskudd i borettslag

19. (19)

    gjeld/ formue

20. (20)

    kontonummer for automatisk belastning av leie på konto

21. (21)

    andre rent administrative opplysninger.

Registeret kan bare brukes til administrasjon og gjennomføring av leie-/sameieforholdet.

Paragrafen gjelder tilsvarende for boligaksjeselskaper.

§ 2-7. Registre for utsendelse av trykksaker o.l. (salgsstøtteregistre)

Registre over juridiske og fysiske personer, for utsendelse av publikasjoner/ trykksaker o.l. vedrørende egen virksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Et slikt register over fysiske personer kan bare inneholde følgende opplysninger:

1. (1)

   navn

2. (2)

   adresseopplysninger

3. (3)

   anropsnummer for teletjenester

4. (4)

   fødselsår.

Registeret kan bare brukes for utsendelse av egne publikasjoner/ trykksaker o.l.

§ 2-8. Katalog-, låner- og utlånsregistre

Katalog-, låner- og utlånsregistre i bibliotek og liknende registre unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med et katalogregister menes et register over titler som brukes som et hjelpemiddel og som kun inneholder bibliografiske personopplysninger.

Med et låneregister menes en oversikt over samtlige lånere som ikke inneholder andre personopplysninger enn:

1. (1)

   lånenummer

2. (2)

   navn

3. (3)

   adresseopplysninger

4. (4)

   anropsnummer for teletjenester

5. (5)

   fødselsdato

6. (6)

   arbeidssted

7. (7)

   dato for utsendelse av lånekortet

8. (8)

   opplysninger om utlånte (ikke tilbakeleverte) gjenstander og uoppgjorte tjenester.

Med et utlånsregister menes en fortegnelse over hver enkelt utlånt gjenstand (så som bok, film, video e.l.) og som kun inneholder personopplysninger som er nødvendige for utleien.

Katalog-, låner- og utlånsregister kan bare brukes for adminstrasjon av virksomheten og kundeforholdet og for å sikre at utlånte gjenstander blir tilbakelevert.

§ 2-9. Advokaters, revisorers og fonds- og eiendomsmegleres klientregistre

Personregistre som opprettes i forbindelse med virksomhet som nevnt i lov 13. august 1915 nr. 5 kapittel 11 om advokater, lov 14. mars 1964 nr. 2 om revisorer, lov 14. juni 1985 nr. 61 om fondsmeglere og lov 16. juni 1988 nr. 53 om eiendomsmegling unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med et slikt register menes en fortegnelse over tidligere og nåværende klienter og motparter, samt andre med tilknytning til disse.

Registeret kan bare brukes innenfor rammene av lovgivning som nevnt i første ledd.

§ 2-10. Legers, tannlegers, psykologers og annet godkjent helsepersonells registre

Godkjent helsepersonells pasientregistre som ikke gjør bruk av elektroniske hjelpemidler unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Registeret kan bare brukes i behandlingen og oppfølgningen av den enkelte pasient samt til utarbeidelse av statistikk.

§ 2-11. Aksjeeierregistre

Aksjeeierregistre opprettet i medhold av lov 4. juni 1976 nr. 59 om aksjeselskaper § 3-8 unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, dersom det ikke inneholder slike opplysninger som nevnt i § 6 annet ledd.

Registeret kan bare brukes for å ivareta de forpliktelser aksjelovgivningen pålegger det enkelte selskap.

§ 2-12. Personalregistre

Register over arbeidsgivers nåværende eller tidligere ansatte, personale, representanter, innleid arbeidskraft samt søkere til en stilling, unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd dersom

1. registeret ikke gjør bruk av elektroniske hjelpemidler, og ikke inneholder personopplysninger som nevnt i personregisterloven § 6 annet ledd, med mindre opplysningene er knyttet til arbeidsforholdet.

2. registeret gjør bruk av elektroniske hjelpemidler og ikke inneholder andre opplysninger enn:

   1. (1)

      navn

   2. (2)

      adresseopplysninger

   3. (3)

      statsborgerskap/ bostedland

   4. (4)

      anropsnummer for teletjenester

   5. (5)

      fødselsnummer og annet nummer knyttet til person (rullenummer/arbeidstakernummer)

   6. (6)

      rubriseringsdata, (såsom kategori, type ansatt/ representant, distrikt, type varer, kontonummer i regnskap, representantkategori, andre opplysninger til bruk i statistikk og annen bedriftsintern avregning)

   7. (7)

      kjønn

   8. (8)

      nærmeste pårørende

   9. (9)

      sivilstand

   10. (10)

       antall barn og barnas fødselsår

   11. (11)

       stillingsbetegnelse

   12. (12)

       yrkesopplysninger som etter overenskomst eller tariffavtale som har betydning for lønns- og arbeidsvilkår

   13. (13)

       opplysninger om utdannelse og praksis

   14. (14)

       lønns- og provisjonsopplysninger

   15. (15)

       kontonummer

   16. (16)

       pensjonsopplysninger

   17. (17)

       trekk- og skatteopplysninger

   18. (18)

       ansettelses- og sluttdato (permisjoner e.l.)

   19. (19)

       sluttårsak

   20. (20)

       fraværsdato, type fravær og varighet. Angivelse av sykdommens art tillates ikke registrert utover det som er pålagt ved lov 4. februar 1977 nr. 4 om arbeidervern og arbeidsmiljø m.v. § 20

   21. (21)

       dødsdato

   22. (22)

       firmabil e.l.

   23. (23)

       utlånte eiendeler

   24. (24)

       lån til ansatte eller garanti for lån

   25. (25)

       opplysning om den ansatte er mobiliseringsdisponert (ja/nei), evt. militært løpenummer, grad og rulleførende avdeling.

Andre opplysninger kan registreres dersom det er pålagt i lov eller gjennom avtale mellom partene i arbeidslivet.

Personalregisteret kan bare brukes til personaladministrasjon, for eksempel administrering av lønn, utvikling og opplæring, stillingsevaluering, erstatningsplanlegging, karriereplanlegging, budsjettmessige formål, velferdstiltak og til behandling av disiplinærsaker.

§ 2-13. Forlagenes personregistre for utgivelse av leksika

Forlagenes personarkiver/ registre til bruk ved utgivelse av biografiske leksika, konversasjonsleksika og fagleksika unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

§ 2-14. Dags- og ukepressens personregistre

Dags- og ukepressens personregister til bruk i journalistisk virksomhet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

§ 2-15. Registre over offentlige representanter

Registre over valgte eller oppnevnte representanter i organ opprettet i medhold av lov 25. september 1992 nr. 107 om kommuner og fylkeskommuner eller lov 19. desember 1952 nr. 7 om Den norske kirkes ordning unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Det samme gjelder for registre over Stortingets representanter eller medlemmer av Stortingets komiteer.

§ 2-16. Protokollføring av mekling

Registre ved føring av meklingsprotokoll pålagt etter lov 8. april 1981 nr. 7 (barneloven) og lov 4. juli 1991 nr. 47 (ekteskapsloven) unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Med slike registre menes manuelle eller elektronisk førte meklingsprotokoller, som ikke inneholder andre opplysninger enn:

1. (1)

   navn/ eventuelt tidligere navn

2. (2)

   fødselsnummer

3. (3)

   adresseopplysninger

4. (4)

   meklingsinstansens navn

5. (5)

   meklers navn

6. (6)

   dato for innkommet begjæring om mekling

7. (7)

   dato for innkalling

8. (8)

   hvem har begjært mekling

9. (9)

   hjemmel for innkalling

10. (10)

    dato for møter

11. (11)

    dato for fremmøte, sammen/ hver for seg

12. (12)

    fremgangsmåte for innkalling

13. (13)

    dato for utstedt meklingsattest

14. (14)

    dato for avsluttet mekling uten meklingsattest.

Registeret kan bare brukes til kontroll av at mekling har funnet sted, evaluering og planlegging av meklingsordningen og som grunnlag for statistiske analyser.

§ 2-17. Forskningsregistre

Registre som opprettes i forbindelse med et forskningsprosjekt unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd, så framt

1. prosjektet baserer seg på frivillig deltagelse fra de registrerte, og

2. førstegangskontakt opprettes gjennom faglig ansvarlig person ved den institusjon respondenten er registrert, og

3. respondenten har gitt skriftlig samtykke til alle deler av undersøkelsen, og

4. det innsamlede materialet anonymiseres eller slettes ved prosjektavslutning, og

5. prosjektet har en fastsatt prosjektavslutning innen 5 år fra prosjektstart.

Registeret kan bare brukes i samsvar med prosjektets formål og den registrertes samtykke. Dersom prosjektet innebærer kobling av registre kreves særskilt tillatelse fra Datatilsynet for dette.

§ 2-18. Domstolenes registre

Personregistre som opprettes i forbindelse med domstolenes virksomhet (herunder registrerings- og notarialforretninger og lignende som utføres ved et dommerkontor) unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Registrene må bare brukes innenfor rammene av domstolenes virksomhet.

§ 2-19. Elektroniske arkiv

Elektroniske arkiv ført i lukket edb-system unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Elektronisk arkiv i delt edb-system unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd dersom det ikke inneholder opplysninger som nevnt i personregisterloven § 6 annet ledd. Med delt edb-system menes et edb-system som er tilgjengelig, eller kan være tilgjengelig for uvedkommende.

Elektronisk arkiv omfatter i denne sammenheng elektronisk ført postjournal, arkivkatalog, korrespondansearkiv og dokumentasjonsarkiv i den grad disse utgjør et personregister i henhold til personregisterloven § 1 annet ledd. Med elektronisk postjournal menes en oversikt over inn- og utgående post, og annen dokumentasjon som det anses formålstjenlig å arkivere. Med elektroniske dokumentasjonsarkiv og korrespondansearkiv menes elektroniske arkiv over dokumentasjon som ligger lagret i fulltekst. Med elektroniske arkivkataloger menes en oversikt over arkivert materiale og tilhørende opplysninger om arkivskapere.

Elektronisk postjournal og arkivkatalog som inneholder sensitive opplysninger og som benyttes av flere instanser (delt edb-system) unntas likevel fra konsesjonsplikten så fremt det enkelte organ kun får tilgang til opplysninger i egne saker.

Arkivet kan bare brukes til å ivareta de oppgaver foretaket/ institusjonen har, herunder å sikre bevaring av arkiver i tråd med lov 4. desember 1992 nr. 126 (arkivloven).

§ 2-20. Aktivitetslogg i et edb-system eller datanett

Register over aktiviteter (hendelser) internt i et edb-system eller datanett, samt register over disposisjoner til ressurser internt i systemet unntas fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Registeret kan bare brukes til administrasjon av systemet, og til å avdekke/ oppklare brudd på sikkerheten i edb-systemet.

§ 2-21. Personregistre som utleveres elektronisk

Dersom det i konsesjonen til et personregister er gitt tillatelse til å utlevere personregisteret elektronisk, unntas det utleverte registeret fra konsesjonsplikten etter personregisterloven § 9 første ledd.

Kapittel 3 Nærmere om personregistre unntatt fra konsesjonsplikt

(personregisterloven §§ 9 annet ledd og 8b)

§ 3-1. Formål

Personregistre som er unntatt fra konsesjonsplikt kan bare benyttes til de formål som følger av § 2-2 til § 2-21.

§ 3-2. Registeransvarlig

Virksomhetens ledelse er ansvarlig for at bestemmelsene i personregisterloven og denne forskrift blir fulgt (registeransvar).

Den registeransvarlige plikter å føre oversikt over hvilke personregister som vedkommende har registeransvaret for. Oversikten skal vise hvilke typer opplysninger registeret kan inneholde og hva det kan brukes til, og være offentlig tilgjengelig.

§ 3-3. Sikring

Den registeransvarlige må sørge for nødvendig sikring av konfidensialitet, kvalitet og tilgjengelighet for personopplysninger og registre.

Den registeransvarlige skal godkjenne alle brukere av registeret, samt drifts- og vedlikeholdspersonale. Enhver bruker av et elektronisk register skal entydig identifiseres og autentiseres av registersystemet før tilgang til registeret.

Datatilsynet kan gi pålegg som ansees nødvendige for å oppnå forsvarlig sikring. For organ i staten vises for øvrig til Beskyttelsesinstruksen, Sikkerhetsinstruksen

med utfyllende bestemmelser og Datasikkerhetsdirektivet. Denne paragrafen gjelder ikke for registre som nevnt i § 2-15.

§ 3-4. Utlevering

Personopplysninger må ikke utleveres fra registeret til utenforstående, unntatt når utleveringen skjer

1. med samtykke fra den opplysningen gjelder,

2. med hjemmel i lov, eller i forskrift gitt med hjemmel i lov,

3. som ledd i betalingsinnkreving,

4. som ledd i regnskap- og revisjonsbehandling,

5. med hjemmel i avtale mellom partene i arbeidslivet,

6. til annen sammenslutning eller stiftelse innenfor eget konsern (jf. lov 4. juni 1976 nr. 59 om aksjeselskaper § 1-2 og lov 21. juni 1985 nr. 83 om ansvarlige selskaper og kommandittselskaper § 1-2 (2)) når utleveringen ikke strider mot registerets formål eller lovbestemt taushetsplikt,

7. fra registre som nevnt i § 2-4 til annen bank eller finansinstitusjon, etter beslutning fra styret eller noen som har fullmakt fra styret til å avgjøre spørsmål om utlevering,

8. fra registre som nevnt i § 2-2 og § 2-12 som nødvendig ledd i opprettelse og administrasjon av kollektive forsikringsordninger,

9. fra registre som nevnt i § 2-12 til registre for utarbeidelse av lønnsstatistikk som har konsesjon etter personregisterloven § 9, dersom ikke annet er bestemt i avtale mellom partene i arbeidslivet,

10. fra registre som nevnt i § 2-12 til utarbeidelse av kataloger eller lister over arbeidstakers interne telefonnummer, besøksadresse og stillingsbenevnelse,

11. fra medlemsregistre som nevnt i § 2-2 dersom dette er tillatt i henhold til vedtak fra foreningens høyeste organ eller fastsatt i foreningens vedtekter.

Fødselsnummer må ikke benyttes utenpå postsendinger.

Oppbevaring eller behandling av personopplysninger i databehandlingsforetak som har konsesjon etter loven § 22, i adresserings- eller distribusjonsforetak som har konsesjon etter loven § 25 eller foretak som har konsesjon til å drive opinions- og markedsundersøkelsesvirksomhet etter loven § 31, regnes ikke som utlevering når dette skjer etter oppdrag fra registerets eier.

Denne paragrafen gjelder ikke for personregistre som nevnt i § 2-11, § 2-13, § 2-14 og § 2-15.

§ 3-5. Kobling

Selv om personregistre er unntatt fra konsesjon etter kapittel 2, kreves det likevel konsesjon (tillatelse) fra Datatilsynet når slike registre kobles, unntatt når:

1. koblingen skjer med hjemmel i lov, eller

2. koblingen har hjemmel i avtale mellom partene i arbeidslivet, eller

3. utlevering er tillatt i henhold til forskriften § 3-4, og resultatet av koblingen ikke skal benyttes til kontrollformål eller til å treffe beslutninger rettet mot enkeltpersoner. Koblingen kan ikke skje i strid med registrenes formål.

Med kobling menes i forskriften her elektronisk samkjøring av to eller flere personregistre slik at det opprettes et nytt register eller at et eksisterende register tilføres nye opplysninger. Enkeltvise oppslag regnes ikke som kobling.

§ 3-6. Sletting

Med mindre annen lovgivning er til hinder for det, kan enhver som ber om det kreve seg slettet fra registre som nevnt i § 2-2, § 2-3, § 2-4, § 2-5, § 2-6, § 2-7 og § 2-17. Dette gjelder ikke for § 2-2, § 2-3, § 2-4 og § 2-6 dersom registreringen er en forutsetning for medlemskap, leie- eller kundeforhold.

Opplysninger om forbindelsen mellom låntaker/ bruker, som nevnt i § 2-8 (katalog-, låner- og utlånsregistre), og den tjenesten som har vært benyttet, skal av eget tiltak slettes straks den utlånte gjenstanden er tilbakelevert eller tjenesten er opphørt/oppgjort.

Kapittel 4 Konsesjon for kreditt- og personopplysningsvirksomhet.

(Personregisterloven § 13 andre ledd og § 17 andre ledd.)

§ 4-1.

Følgende virksomheter regnes ikke som kredittopplysningsvirksomhet:

1. (1)

   meldinger fra offentlige registre om rettigheter og heftelser i fast eiendom eller løsøre.

2. (2)

   meldinger fra banker (jfr lov av 23 april 1892 om Norges Bank, lov av 1 mars 1946 nr 3 om Den Norske Stats Husbank, lov av 10 desember 1948 nr 2 om Norges Postsparebank, lov av 15 juli 1949 nr 1 om Norges Kommunalbank, lov av 24 mai 1961 nr 1 om sparebanker, lov av 24 mai 1961 nr 2 om forretningsbanker, lov av 5 februar 1965 nr 2 om Statens Landbruksbank, lov av 28 april 1972 nr 22 om Statens Fiskarbank og lov av 25 mars 1977 nr 14 om Den Norske Industribank A/ S) og fra finansieringsselskaper (jfr lov av 4 juni 1976 nr 71 om finansieringsvirksomhet) som gjelder dekningskontroll for sjekk eller annet uttak fra konto, diskontering av veksler og avbetalingskontrakter. Det samme gjelder når slike meldinger formidles for bank eller finansieringsselskap av et utenforstående foretak.

3. (3)

   meldinger til den opplysningene gjelder.

4. (4)

   utgivelse av ligningsdata.

§ 4-2.

Følgende virksomheter unntas fra konsesjonsplikten etter personregisterlovens § 14:

1. (1)

   banker, jfr lov av 24 mai 1961 nr 2 om forretningsbanker og lov av 24 mai 1961 nr 1 om sparebanker

2. (2)

   finansieringsvirksomhet i medhold av lov av 4 juni 1976 nr 71 om finansieringsvirksomhet

3. (3)

   statsbanker opprettet ved egen lov.

§ 4-3.

Fødselsnummer må ikke benyttes utenpå postsendinger.

§ 4-4.

Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak som nevnt i personregisterloven § 13 annet ledd annet punktum.

§ 4-5.

Datatilsynet gis myndighet til ved enkeltvedtak å gi slike regler som nevnt i personregisterloven § 17 annet ledd.

Kapittel 5 Konsesjon for databehandlingsforetak.

(Personregisterloven § 22 tredje ledd og § 24 annet ledd.)

§ 5-1.

Et forvaltningsorgan (jfr forvaltningsloven § 1) som bare bearbeider personopplysninger for andre over-, under- eller sideordnede organer i samme etat, regnes ikke som databehandlingsforetak etter personregisterloven § 22 første ledd.

Det samme gjelder når et forvaltningsorgan bearbeider opplysninger for kollegiale organer, sakkyndige eller tilsynsførere m.v. som er tilknyttet etaten, eller for private som er engasjert for å løse oppgaver for etaten.

§ 5-2.

Et forvaltningsorgan som bearbeider personopplysninger som det har mottatt fra andre forvaltningsorganer, regnes ikke som databehandlingsforetak etter personregisterloven § 22 første ledd dersom bearbeidingen hovedsakelig skjer ut fra organets eget behov, eller for slike organer som nevnt ovenfor i § 5-1. Dette gjelder selv om bearbeidede opplysninger sendes tilbake til det organ som forvaltningsorganet mottok opplysningene fra.

§ 5-3.

Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak fra de enkelte bestemmelser i personregisterlovens kap 6, jfr lovens § 22 tredje ledd.

§ 5-4.

Datatilsynet gis myndighet til ved enkeltvedtak å gi bestemmelser som nevnt i personregisterloven § 24 annet ledd.

Kapittel 6 Konsesjon for adresserings- og distribusjonsvirksomhet.

(Personregisterloven §§ 25, 26 og 29.)

§ 6-1.

Reglene i kap 7 i personregisterloven gjelder ikke for virksomhet drevet av forvaltningsorganet (jfr forvaltningsloven § 1).

§ 6-2.

Datatilsynet gis myndighet til ved enkeltvedtak å gjøre slike unntak som nevnt i personregisterloven § 25 annet ledd.

§ 6-3.

Datatilsynet gis myndighet til ved enkeltvedtak å gi regler som nevnt i personregisterloven § 26 annet ledd.

§ 6-4.

For å gjennomføre reglene i personregisterloven § 28 må foretaket opprette et eget register over eller på annen måte anmerke de personer som etter lovens § 28 krever seg slettet blant de adresser foretaket tilbyr eller benytter, slik at de som har krevd seg slettet ikke lenger står som adressat på de utskrifter som foretaket tilbyr eller benytter til distribusjon.

Når foretaket har mottatt krav om sletting, skal det bare oppbevare de opplysninger om vedkommende som er nødvendige for å hindre at vedkommende kommer med i en adresseutskrift.

Tiltak etter første og annet ledd skal foretas innen en frist som fastsettes ved den enkelte konsesjon.

§ 6-5.

Datatilsynet gis myndighet til ved enkeltvedtak å gi slike regler som nevnt i personregisterloven § 29.

§ 6-6.

I medhold av personregisterloven § 30 nr 1 bestemmes at lovens § 28 skal gjelde også for foretak som i enkeltstående tilfeller påtar seg oppdrag som nevnt i lovens § 25 første ledd.

I medhold av personregisterloven § 30 nr 2 bestemmes at lovens § 28 skal gjelde også for adresselister til bruk for utsending av et foretaks egne varer og tjenester o.l.

Kapittel 7 Konsesjon for opinions- og markedsundersøkelser.

(Personregisterloven §§ 31 og 35.)

§ 7-1.

Et forvaltningsorgan (jfr forvaltningslovens § 1) som utfører opinions- eller markedsundersøkelser for andre over-, under- eller sideordnede organer i samme etat, trenger ikke konsesjon etter personregisterloven § 31 første ledd.

Det samme gjelder når et forvaltningsorgan utfører opinions- eller markedsundersøkelser for kollegiale organer, sakkyndige eller tilsynsførere m.m som er tilknyttet etaten, eller for private som er engasjert for å løse oppgave for etaten.

§ 7-2.

Et forvaltningsorgan som utfører opinions- eller markedsundersøkelser ved hjelp av opplysninger det har mottatt fra andre forvaltningsorganer, trenger ikke konsesjon etter personregisterloven § 31 første ledd dersom undersøkelsen hovedsakelig skjer ut fra organets egne behov, eller for slike organer som nevnt ovenfor i § 7-1. Dette gjelder selv om bearbeidede opplysninger sendes tilbake til det organ som forvaltningsorganet mottok opplysningene fra.

§ 7-3.

Datatilsynet gis myndighet til ved enkeltvedtak å gjøre unntak fra de enkelte bestemmelser i personregisterloven kap 8, jfr lovens § 31 annet ledd.

§ 7-4.

I henhold til personregisterloven § 35 bestemmes at lovens § 32, § 33, § 34 også skal gjelde for foretak som i enkeltstående tilfeller påtar seg slike oppdrag som nevnt i lovens § 31 første ledd, og for foretak som setter i verk slike undersøkelser for sin egen administrasjon og virksomhet.

Kapittel 8 Samtykke til overføring til utlandet.

(Personregisterloven § 36 tredje ledd.)

§ 8-1.

Dersom register eller opplysning som nevnt i lovens § 36 første og annet ledd overføres til utlandet, behøves ikke slikt samtykke som nevnt i § 36. Overføringen må meldes til Datatilsynet på fastsatt skjema i god tid før overføringen finner sted. Datatilsynet kan nekte overføring eller sette vilkår for overføringen.

Overføring behøves ikke meldes når Norge har plikt til å foreta slik overføring etter folkerettslig overenskomst eller som følge av medlemsskap i internasjonal organisasjon.

Kapittel 9 Straffebestemmelser.

(Personregisterloven § 38 tredje ledd.)

§ 9-1.

Den som forsettlig eller aktløst unnlater å følge reglene i denne forskrift § 1-1, § 1-2, § 1-3, kapittel 3, § 4-3 eller § 8-1, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

§ 1. Virkeområde – definisjon

Forskriften gjelder bruk av billedopptak i organ for stat eller kommune og i privat næringsvirksomhet, foreninger eller stiftelser når opptaket er gjort ved fjernsynsovervåkning. Med fjernsynsovervåkning menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende fjernsynskamera, fotografiapparat eller liknende apparat.

§ 2. Sikring av billedopptakene

Billedopptakene skal lagres på en forsvarlig måte, slik at ikke noen får tilgang til dem uten å ha rett til eller krav på billedopptakene.

Innenfor det foretak eller organ som er i besittelse av billedopptakene, skal bare de personer som foretaket eller organet utpeker, ha tilgang til billedopptakene. Bare de personer som har saklig grunn til slik tilgang i sitt arbeid eller virke i virksomheten, skal utpekes.

§ 3. Bruk av billedopptak

Billedopptak kan bare brukes til de formål de er innhentet for. Politiet kan uten hinder av første punktum bruke billedopptak det måtte være i besittelse av, i forbindelse med forebygging eller etterforskning av straffbare handlinger, som bevis i straffesaker, eller i forbindelse med oppklaring av ulykker.

§ 4. Utlevering av opptakene

Billedopptak gjort ved fjernsynsovervåkning kan bare utleveres til noen utenfor det foretak eller organ som har foretatt opptaket, dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov. Hvis ikke lovbestemt taushetsplikt er til hinder for utlevering, kan billedopptak likevel utleveres til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker.

§ 5. Sletting

Billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring.

Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Slettingsplikten etter forrige punktum gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet etter § 4 andre punktum. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager.

Billedopptak gjort i post- og banklokaler skal senest slettes 3 måneder etter at opptakene er gjort.

Slettingsplikten etter andre og tredje ledd gjelder ikke

1. for billedopptak som politiet er i besittelse av,

2. for billedopptak som Forsvaret er i besittelse av i saker som kan være av betydning for rikets sikkerhet, eller

3. hvor den som er avbildet samtykker i at billedopptakene oppbevares lenger.

Hvor slettingsplikten etter første ledd oppstår for billedopptak som politiet er i besittelse av, men som er utlevert til politiet fra andre, kan politiet tilbakelevere opptaket til vedkommende, som snarest skal slette det dersom fristen etter andre og tredje ledd er gått ut.

Dersom det foreligger et særlig behov for oppbevaring i lengre tid enn fastsatt i andre og tredje ledd, kan Justisdepartementet gjøre unntak fra disse bestemmelsene.

§ 6. Innsynsrett

Den som det er gjort billedopptak av, kan kreve innsyn i de deler av billedopptakene hvor han eller hun er avbildet, dersom billedopptakene oppbevares ut over 7 dager. Innsynsretten gjelder ikke i forhold til billedopptak som politiet er i besittelse av, eller som Forsvaret er i besittelse av i saker som kan være av betydning for rikets sikkerhet.

§ 7. Straff

Den som forsettlig eller aktløst unnlater å følge reglene i forskriften § 2, § 3, § 4, § 5 andre til sjette ledd eller § 6, straffes med bøter eller fengsel inntil ett år eller begge deler.

Medvirkning straffes på samme måte.

§ 8. Ikraftsetting

Forskriften trer i kraft 15. oktober 1994.

§ 1 Unntak fra konsesjonsplikt

Denne forskriften gjelder for institusjoner som er regulert av finansieringsvirksomhetsloven § 2-17, jf. § 2-1.

Institusjoners personregistre til bruk i forbindelse med pålagt undersøkelses- og rapporteringsplikt etter finansieringsvirksomhetsloven § 2–17, jf. forskrift 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger § 8 femte ledd, unntas fra konsesjonsplikt etter personregisterloven § 9 første ledd. Registeret skal bare inneholde opplysninger som fremkommer ved institusjonens undersøkelser etter finansieringsvirksomhetsloven § 2–17.

§ 2 Bruk av registeret

Registeret må ikke brukes til andre formål enn det som følger av finansieringsvirksomhetsloven § 2-17 og tilhørende forskrifter. Annen bruk av registeret krever samtykke fra den opplysningen gjelder eller hjemmel i lov.

§ 3 Registeransvarlig

Det skal utpekes en registeransvarlig i hver institusjon. Den registeransvarlige bør i alminnelighet være den særlig utpekte person som etter forskrift 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger § 8 sjette ledd skal påse at kontroll- og kommunikasjonsrutiner er etablert og blir fulgt.

Den registeransvarlige er ansvarlig for at reglene i personregisterloven og i denne forskrift blir fulgt.

§ 4 Innsynsrett

Innsynsretten etter personregisterloven § 7 gjelder ikke for registre opprettet i medhold av denne forskrift.

§ 5 Sikring

Ingen skal ha tilgang til personopplysninger i registeret uten å være autorisert til det. Autorisasjonen skal spesifisere hvilke typer rådighet (lese-, skrive-, endre-, sletterådighet m.v.) vedkommende er gitt. Autorisasjon kan bare gis den som har tjenestlige behov for det. Autorisasjonen skal bare gjelde de funksjoner vedkommende har tjenestlig behov for.

Autorisert personell skal undertegne særskilt taushetserklæring. Erklæringen skal oppbevares av den registeransvarlige.

Den registeransvarlige skal etablere og oppfølge følgende sikringsregler:

1. Tilgangskontroll. Det skal gjennomføres tilgangskontroll overfor brukere av registeret. Kontrollen skal avvise forsøk på tilgang fra uautoriserte brukere. Enhver tilgang eller forsøk på tilgang til registeret skal logges. Registeret skal ikke føres i et EDB-system som også brukes av personer uten lovlig tilgang til registeret.

2. Datakvalitet. Det skal etableres rutiner for kontroll av opplysninger og relasjoner mellom opplysninger som skal sikre at data er korrekte, komplette og aktuelle.

3. Tilgjengelighet. Det skal gjennomføres tiltak som sikrer at registre og opplysninger er tilgjengelige når det er behov for dem. Kopi av opplysninger og annet nødvendig materiale skal sikres med tanke på rekonstruksjon etter tap av data.

§ 6 Utlevering

Personopplysninger kan bare utleveres til ØKOKRIM og til Kredittilsynet for ivaretagelse av tilsynspliktene etter lov 7. desember 1956 nr. 1 om tilsynet for kredittinstitusjoner, forsikringsselskaper og verdipapirhandel m.v. (Kredittilsynet).

Den registeransvarlige skal påse at all kommunikasjon med ØKOKRIM og Kredittilsynet skjer på betryggende måte.

Ved oversendelse pr. post skal postsendingen være registrert. Ved elektronisk overføring av opplysninger, herunder oversendelse med telefaks, skal opplysningene krypteres. Når saken haster, kan oversendelse uten kryptering likevel skje dersom det følges betryggende rutiner slik at bare autorisert personell kan sende og motta opplysningene.

All oversendelse av opplysninger må logges og det skal opprettes rutiner som bekrefter at opplysningene er kommet frem og at de er sendt av autorisert personell.

§ 7 Kobling

Elektronisk samkjøring av registeret med andre personregistre i eller utenfor finansinstitusjonen er ikke tillatt uten når dette har hjemmel i lov.

§ 8 Anonymisering eller sletting

Den registeransvarlige har ansvaret for at personopplysninger som ikke lenger har betydning blir anonymisert eller slettet, jf. personregisterloven § 8.

For opplysninger som er oversendt ØKOKRIM, gjelder forskrift 7. februar 1994 nr. 118 om legitimasjonskontroll og tiltak mot hvitvasking av penger § 12 første ledd tilsvarende.

§ 9 Straff

Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller uaktsomt overtrer denne forskrift.

Medvirkning straffes på samme måte.

I

Foretak som er meddelt konsesjon av Datatilsynet i medhold av lov om personregistre §§ 14, 22, 25 og 31, skal betale et årlig gebyr til Datatilsynet på kr 3.000,-. Gebyret skal også betales av foretak som meddeles konsesjon i løpet av året.

Gebyret forfaller 31 januar hvert år. For foretak som får konsesjon i løpet av året, forfaller gebyret en måned etter at konsesjonen er meddelt. Innbetalingen skjer etter nærmere bestemmelse fastsatt av Justisdepartementet.

Gebyr som ikke batles innen forfall forhøyes til kr 5.000,-. Dersom gebyret ikke betales senest 3 måneder etter forfall, kan konsesjonen trekkes tilbake.

II

Forskriften trer i kraft 1 januar 1989.