A Forslag
til lov om behandling av personopplysninger (personopplysningsloven)
Kapittel 1. Personvernforordningen
§ 1 Gjennomføring av personvernforordningen
EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.
Kapittel 2. Lovens saklige og geografiske virkeområde
§ 2 Saklig virkeområde og forholdet til andre lover
Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.
Loven og personvernforordningen gjelder ikke
a) ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter
b) for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.)
Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.
Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.
Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.
§ 3 Forholdet til ytrings- og informasjonsfriheten
For behandling av personopplysninger utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer gjelder bare bestemmelsene i personvernforordningen artikkel 24, 26, 28, 29, 32 og 40 til 43, jf. personvernforordningen kapittel VI og VIII og kapittel 6 og 7 i loven her.
§ 4 Geografisk virkeområde
Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.
Loven og personvernforordningen gjelder for behandling av personopplysninger om registrerte som befinner seg i Norge, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS, dersom behandlingen er knyttet til
a) tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller
b) monitorering av deres atferd, i den grad deres atferd finner sted i Norge
Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.
Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.
Kapittel 3. Utfyllende regler om behandling av personopplysninger
§ 5 Barns samtykke i forbindelse med informasjonssamfunnstjenester
Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.
§ 6 Behandling av særlige kategorier av personopplysninger i arbeidsforhold
Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.
§ 7 Behandling av særlige kategorier av personopplysninger etter tillatelse eller forskrift
Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.
Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.
§ 8 Behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål
Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.
§ 9 Behandling av særlige kategorier av personopplysninger uten samtykke for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål
Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.
Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.
Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.
§ 10 Rådføringsplikt før behandling av særlige kategorier av personopplysninger for forskningsformål på grunnlag av samtykke
Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.
§ 11 Behandling av personopplysninger om straffedommer og lovovertredelser mv.
Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.
Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende også når personopplysninger som nevnt i personvernforordningen artikkel 10 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av
a) den registrertes samtykke, uten hensyn til om behandlingen utføres under en offentlig myndighets kontroll eller ikke
b) § 8 i loven her, dersom behandlingen utføres under en offentlig myndighets kontroll.
§ 12 Bruk av fødselsnummer og andre entydige identifikasjonsmidler
Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.
Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.
§ 13 Forskrifter om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner
Kongen kan gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.
§ 14 Forskrifter om forhåndsdrøfting og forhåndsgodkjenning
Kongen kan gi forskrift om forhåndsdrøfting med Datatilsynet og om forhåndsgodkjenning fra Datatilsynet.
§ 15 Forskrifter om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter
Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.
Kapittel 4. Unntak fra den registrertes rettigheter
§ 16 Unntak fra retten til informasjon og innsyn og plikten til underretning om brudd på personopplysningssikkerheten
Retten til informasjon og innsyn etter personvernforordningen artikkel 13, 14 og 15 omfatter ikke opplysninger som
a) er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21
b) det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger
c) det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær
d) i lov eller med hjemmel i lov er underlagt taushetsplikt
e) utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser
f) det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.
Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.
Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold.
Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter personvernforordningen artikkel 34 gjelder ikke i den utstrekning en slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d.
Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.
§ 17 Unntak fra den registrertes rettigheter ved behandling av personopplysninger for arkivformål i allmennhetens interesse, vitenskapelige eller historiske forskningsformål og statistiske formål
Retten til innsyn etter personvernforordningen artikkel 15 gjelder ikke for behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt
a) det vil kreve en uforholdsmessig stor innsats å gi innsyn eller
b) innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.
Retten til retting og begrensning av behandling etter personvernforordningen artikkel 16 og 18 gjelder ikke for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.
Første og annet ledd gjelder ikke dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte.
Kapittel 5. Personvernombud
§ 18 Personvernombudets taushetsplikt
Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om
a) noens personlige forhold
b) tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet
c) sikkerhetstiltak etter personvernforordningen artikkel 32
d) enkeltpersoners varsling om overtredelser av loven her.
Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.
Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.
§ 19 Forskrifter om plikt til å utpeke personvernombud
Kongen kan gi forskrift om plikt til å utpeke personvernombud.
Kapittel 6. Tilsyn og klage
§ 20 Datatilsynet
Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.
Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.
Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av
a) bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her
b) bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.
Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.
§ 21 Årsrapport fra Datatilsynet
Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.
§ 22 Personvernnemnda
Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.
Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvernnemnda.
Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.
Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.
Personvernnemnda skal årlig orientere Kongen om sin virksomhet.
Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.
§ 23 Tilgang til opplysninger
Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.
Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.
Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.
§ 24 Taushetsplikt
Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.
Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.
§ 25 Partsstilling
Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.
Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.
Kapittel 7. Sanksjoner og tvangsmulkt
§ 26 Overtredelsesgebyr
Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.
Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.
§ 27 Oppfyllelsesfrist og domstolsprøving i saker om overtredelsesgebyr
Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.
Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.
§ 28 Foreldelse
Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.
§ 29 Tvangsmulkt
Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.
Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.
§ 30 Erstatning for ikke-økonomisk skade
Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.
Kapittel 8. Uekte kameraovervåkingsutstyr mv.
§ 31 Uekte kameraovervåkingsutstyr mv.
Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.
Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.
Kapittel 9. Ikrafttredelse. Overgangsregler. Endringer i andre lover
§ 32 Ikrafttredelse
Loven trer i kraft fra den tiden Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.
De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.
§ 33 Overgangsregler
Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.
Kongen kan gi nærmere overgangsregler.
§ 34 Endringer i andre lover
Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:
1. I lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v. oppheves § 56 a.
2. I lov 21. juni 1963 nr. 23 om vegar gjøres følgende endringer:
Kapittel II B skal lyde:
Kapittel II B. Personopplysningar.
§ 11 f Handsaming av personopplysningar
Vegstyremaktene etter kapittel II og tilsynsmyndigheita etter kapittel II A kan handsame personopplysningar når det er naudsynt for å utføre oppgåver gitt i eller i medhald av lova her, eller for å oppfylle internasjonale plikter under verkeområdet til lova. Det same gjeld eit statleg utbyggingsselskap for veg som er tildelt oppgåver i medhald av § 9 første ledd.
Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, krav til sletting og krav til samanstillingar av personopplysningar til bruk for forsking og statistiske formål.
§ 27 femte ledd skal lyde:
Selskap eller andre juridiske personar som er gitt fullmakt frå departementet til å krevje inn bompengar, kan handsame personopplysningar når det er naudsynt for å utføre denne oppgåva. Det same gjeld selskap eller andre juridiske personar som utfører tenester på bompengeområdet i medhald av forskrift til denne lova, og når Statens vegvesen utfører oppgåver på bompengeområdet. Personopplysningar som nemnt i personvernforordninga artikkel 9 nr. 1 kan berre handsamas etter første og andre punktum dersom det er strengt naudsynt ut frå formålet med handsaminga. Dei som har heimel etter første og andre punktum til å handsame personopplysningar, kan levere ut opplysningar til tredjepartar når internasjonale rettsakter eller avtaler som Noreg er bunde av, opnar for ei slik utlevering.
§ 27 sjette ledd skal lyde:
Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, vilkår for handsaming av sensitive personopplysningar, krav til sletting og krav til eventuelle samanstillingar av personopplysningar til bruk for forsking og statistiske formål.
Någjeldende § 27 femte ledd blir nytt sjuende ledd.
3. I lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs oppheves § 156 femte ledd annet punktum.
4. I lov 16. juni 1989 nr. 69 om forsikringsavtaler gjøres følgende endringer:
§ 8-1 annet ledd skal lyde:
Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.
§ 18-1 annet ledd skal lyde:
Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.
5. I lov 4. desember 1992 nr. 126 om arkiv gjøres følgende endringer:
§ 9 bokstav c og d skal lyde:
c. kasserast. Dette forbodet går framom føresegner om kassasjon i eller i medhald av andre lover. Personregister eller delar av personregister kan likevel slettast etter føresegnene i helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren. Personregister eller delar av personregister kan i tillegg slettast etter føresegner i medhald av politiregisterloven § 69 første ledd nr. 16.
d. rettast på ein slik måte at tidlegare urette eller ufullstendige opplysningar vert sletta, dersom desse har hatt noko å seia for saksførebuinga, vedtak eller anna som etter føremålet med denne lova bør kunna dokumenterast. Føresegner om sletting gjevne i medhald av §§ 8 til 11 og § 25 andre leden i helseregisterlova, gjeld likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i helseregisterlova om retting og sletting av opplysningar vil likevel gjelda fullt ut.
6. I lov 11. juni 1993 nr. 101 om luftfart oppheves § 12-14.
7. I lov 3. juni 1994 nr. 15 om Enhetsregisteret skal § 22 annet ledd tredje punktum lyde:
Kredittopplysningsforetak kan likevel etter avtale godkjent av Datatilsynet få tilgang til slike numre til intern bruk.
8. I lov 4. august 1995 nr. 53 om politiet skal ny § 6 a lyde:
§ 6 a Kameraovervåking
Politiet kan benytte kameraovervåking dersom det er nødvendig for å gjennomføre oppgaver som nevnt i § 2 nr. 1 til 4. Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Som kameraovervåking anses både overvåking med og uten mulighet for opptak av lyd- og bildemateriale.
Kameraovervåking kan bare benyttes dersom de hensyn som tilsier overvåking, overstiger hensynet til den registrertes personvern. Det skal særlig legges vekt på hvordan overvåkingen skal skje, samt hva slags område som skal overvåkes.
Det skal ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket av politiet, og om overvåkingen eventuelt inkluderer lydopptak.
Kongen kan gi forskrifter med nærmere bestemmelser om behandling av opplysninger innhentet ved kameraovervåking.
9. I lov 28. februar 1997 nr. 19 om folketrygd gjøres følgende endringer:
§ 21-4 d første ledd bokstav b annet punktum skal lyde:
Helseopplysninger og andre opplysninger som omfattes av personvernforordningen artikkel 9 eller 10, kan ikke innhentes ved masseinnhenting.
§ 21-11 a syvende ledd første punktum skal lyde:
Ved behandling av personopplysninger i saker etter kapittel 5 er Helsedirektoratet behandlingsansvarlig, jf. personvernforordningen artikkel 4 nr. 7.
§ 21-11 a åttende ledd første punktum oppheves. Någjeldende annet punktum blir nytt første punktum.
10. I lov 19. juni 1997 nr. 62 om familievernkontorer oppheves § 11 tredje ledd.
Någjeldende fjerde ledd blir nytt tredje ledd.
11. I lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter gjøres følgende endringer:
§ 3-6 tredje ledd skal lyde:
Dersom helsepersonell tilgjengeliggjør opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det, informeres om at opplysningene er gjort tilgjengelige og hvilke opplysninger det dreier seg om.
§ 5-1 første ledd første punktum skal lyde:
Pasienten og brukeren har rett til innsyn i journalen sin med bilag og har etter særskilt forespørsel rett til kopi, jf. personvernforordningen artikkel 15.
§ 5-3 skal lyde:
§ 5-3 Overføring og tilgjengeliggjøring av journal
Pasienten og brukeren har rett til å motsette seg overføring og tilgjengeliggjøring av journal eller opplysninger i journal. Opplysningene kan heller ikke overføres eller tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det ved forespørsel. Overføring og tilgjengeliggjøring kan likevel skje dersom tungtveiende grunner taler for det. Overføring og tilgjengeliggjøring av journal eller opplysninger i journal skal skje i henhold til bestemmelsene i lov om helsepersonell.
12. I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres følgende endringer:
§ 29 første ledd skal lyde:
Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for forskning, og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene. Departementet kan sette vilkår for bruken av opplysningenefor å verne den registrertes grunnleggende rettigheter og interesser.
§ 29 fjerde ledd første punktum skal lyde:
Departementet kan i forskrift regulere helsepersonells rett til tilgjengeliggjøring og bruk av taushetsbelagte opplysninger til andre formål enn helsehjelp når pasienten har gitt samtykke.
§ 29 b skal lyde:
§ 29 b Opplysninger til helseanalyser, kvalitetssikring, administrasjon mv.
Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene.
Tilgjengeliggjøring kan bare skje dersom bruken av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødselsnummer.
Departementet kan sette vilkår for bruken av opplysningene for å verne den registrertes grunnleggende rettigheter og interesser.
§ 29 c skal lyde:
§ 29 c Opplysninger til bruk i læringsarbeid og kvalitetssikring
Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gjøres tilgjengelige for annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Første punktum omfatter opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt gjort tilgjengelige for, og hvilke opplysninger som har blitt gjort tilgjengelige, jf. § 40.
§ 42 skal lyde:
§ 42 Retting av journal
Helsepersonell som nevnt i § 39 skal etter krav fra den opplysningen gjelder, eller av eget tiltak, rette uriktige eller ufullstendige opplysninger, jf. personvernforordningen artikkel 16. Opplysningene skal etter krav fra den opplysningen gjelder, eller av eget tiltak, også rettes dersom de er utilbørlige. Retting skal skje ved at journalen føres på nytt, eller ved at en datert rettelse tilføyes i journalen. Retting skal ikke skje ved at opplysninger eller utsagn slettes.
Dersom et krav om retting avslås, skal kravet om retting og begrunnelse for avslaget nedtegnes i journalen. Avslag på krav om retting kan påklages til Fylkesmannen, som avgjør om retting kan foretas.
Departementet kan giforskrift omfremgangsmåten ved retting.
§ 45 annet ledd skal lyde:
Helseopplysninger som nevnt i første ledd kan gis av den dataansvarlige for opplysningene eller det helsepersonellet som har dokumentert opplysningene, jf. § 39.
13. I lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap gjøres følgende endringer:
§ 2-4 første ledd fjerde punktum skal lyde:
Organet som etablerer registeret, er dataansvarlig.
§ 2-4 annet ledd første punktum skal lyde:
Ved etableringen av registre skal den dataansvarlige dokumentere at helseopplysningene behandles i samsvar med helseregisterloven § 6, herunder beskrive formålet med behandlingen og hvilke helseopplysninger som behandles.
§ 2-4 tredje ledd første punktum skal lyde:
Opplysningene kan behandles uten samtykke fra den registrerte og tilgjengeliggjøres uten hinder av lovbestemt taushetsplikt dersom det er nødvendig for å oppnå registerets formål.
§ 2-4 fjerde ledd skal lyde:
Den dataansvarlige kan uten hinder av lovbestemt taushetsplikt kreve opplysninger som er nødvendige for registerets formål fra helsepersonell, fra virksomheter i helse- og omsorgstjenesten og fra personell og virksomheter som nevnt i folkehelseloven § 29 andre og tredje ledd.
§ 2-4 femte ledd oppheves. Någjeldende sjette ledd blir nytt femte ledd.
14. I lov 15. juni 2001 nr. 81 om elektronisk signatur skal § 7 annet ledd annet punktum lyde:
I den utstrekning ikke annet følger av denne lov, kommer personopplysningsloven med forskrifter til anvendelse ved Datatilsynets kontroll etter første punktum.
15. I lov 21. februar 2003 nr. 12 om behandlingsbiobanker gjøres følgende endringer:
§ 3 annet ledd skal lyde:
Med mindre annet følger av denne loven, skal helse- og personopplysninger som utledes fra humant biologisk materiale behandles etter reglene ipersonvernforordningen, personopplysningsloven, pasientjournalloven, helsepersonelloven og eventuelt annen lovgivning som særlig regulerer vern av personopplysninger.
§ 5 første ledd nr. 7 skal lyde:
7. hvem som er ansvarshavende etter § 7 og dataansvarlig etter pasientjournalloven
§ 7 første ledd annet og tredje punktum skal lyde:
Dersom biobanken inneholder opplysninger som kan knyttes til enkeltpersoner, vil den også ha en dataansvarlig etter pasientjournalloven. Den dataansvarlige skal utpeke ansvarshavende.
§ 15 tredje ledd skal lyde:
Tilgang til personidentifiserbart materiale kan bare gis dersom mottakeren har adgang til å behandle det i henhold til pasientjournalloven, personopplysningsloven eller personvernforordningen.
§ 17 annet ledd skal lyde:
Datatilsynet skal føre tilsyn med at behandling av de helse- og personopplysninger som utledes av materialet i en biobank, skjer i tråd med personvernforordningen, personopplysningsloven og pasientjournalloven.
16. I lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv. skal § 29 første ledd annet punktum lyde:
Slike registre kan ikke uten samtykke inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 nr. 1 om særlige kategorier av personopplysninger.
17. I lov 10. desember 2004 nr. 76 om arbeidsmarkedstjenester skal § 14 lyde:
§ 14 Generelle saksbehandlingsregler
Forvaltningsloven og personopplysningsloven gjelder med de særregler som er fastsatt i loven her.
18. I lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. gjøres følgende endringer:
§ 9-5 skal lyde:
§ 9-5 Innsyn i arbeidstakers e-postkasse mv.
Departementet kan gi forskrift om arbeidsgivers rett til innsyn i arbeidstakers e-postkasse og annet elektronisk lagret materiale, blant annet om adgangen til innsyn, prosedyrer ved innsyn og plikten til å slette opplysninger.
Ny § 9-6 skal lyde:
§ 9-6 Kameraovervåking
Departementet kan gi forskrift om kameraovervåking i virksomheten, blant annet om adgangen til å iverksette kameraovervåking, varsling om at slik overvåking finner sted, og utlevering og sletting av opptak gjort ved slik overvåking.
19. I lov 17. juni 2005 nr. 101 om eigedomsregistrering gjøres følgende endringer:
§ 22 femte ledd skal lyde:
Personvernforordninga artikkel 13 og 14 gjeld ikkje for føring av matrikkelen.
§ 26 femte ledd skal lyde:
Denne paragrafen går framom personvernforordninga artikkel 16 om retting av personopplysningar.
§ 30 syvende ledd skal lyde:
Departementet kan i forskrift gi nærare reglar om behandling, utlevering og sal av opplysningar.
20. I lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd skal § 10 tredje ledd annet punktum lyde:
Kongen kan gi forskrift om tilgjengeleggjering av dokument på Internett og om at visse typar personopplysningar og dokument som ein tredjeperson har immaterielle rettar til, ikkje skal gjerast tilgjengelege på denne måten.
21. I lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen skal § 3 tredje ledd første punktum lyde:
Direktoratet er behandlingsansvarlig for etatens behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 7.
22. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:
§ 9-17 annet ledd nr. 2 skal lyde:
2. krav til dokumentasjon, herunder bestemmelser som gjør unntak fra personopplysningsloven.
§ 9-28 skal lyde:
Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i verdipapirforetak, tilknyttet agent, eller filial av utenlandsk foretak som yter investeringstjenester i Norge, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.
23. I lov 21. desember 2007 nr. 119 om toll og vareførsel skal § 13-12 første ledd lyde:
(1) Ved planlegging, målretting og gjennomføring av kontroller kan tollmyndighetene innhente, lagre, sammenstille og bruke nødvendige personopplysninger, herunder helseopplysninger, jf. personvernforordningen artikkel 9 nr. 1, og opplysninger som nevnt i personvernforordningen artikkel 10. For samme formål kan grensekryssende trafikk på landeveien og fergeterminaler med utenlands trafikk overvåkes av tollmyndighetene ved bruk av skiltgjenkjenningssystem.
24. I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning gjøres følgende endringer:
§ 2 annet, tredje og fjerde ledd skal lyde:
For behandling av helseopplysninger gjelder personvernforordningen og personopplysningsloven med forskrifter, i den utstrekning ikke annet følger av denne loven. For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer. Loven gjelder ikke for etablering av helseregistre.
For klinisk utprøvning av legemidler på mennesker gjelder legemiddelloven § 3 med forskrifter. For klinisk utprøvning av medisinsk utstyr gjelder lov om medisinsk utstyr med forskrifter. Loven her gjelder utfyllende så langt den passer.
Departementet kan giforskrift om lovens anvendelse for særskilte områder innenfor medisinsk og helsefaglig forskning.
§ 3 annet ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 4 bokstav d skal lyde:
d) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15
§ 10 annet ledd annet punktum skal lyde:
Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for godkjenning, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.
§ 13 annet ledd første punktum skal lyde:
Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra deltakeren der vedkommende ved en erklæring eller tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger eller humant biologisk materiale.
§ 32 første ledd første punktum skal lyde:
Behandling av helseopplysninger i medisinsk og helsefaglig forskning skal være i samsvar med prinsippene i personvernforordningen artikkel 5 og ha uttrykkelig angitte formål.
§ 33 skal lyde:
§ 33 Krav om forhåndsgodkjenning
Behandling av helseopplysninger i medisinsk og helsefaglig forskning krever forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk etter kapittel 3.
Behandling av helseopplysninger fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke forhåndsgodkjenning, med mindre annet følger av forskriftene til registrene.
Personopplysningsloven § 10 og § 11 andre ledd gjelder ikke for medisinsk og helsefaglig forskning.
§ 34 skal lyde:
§ 34 Behandling av helseopplysninger
Helseopplysninger kan sammenstilles, tilgjengeliggjøres og behandles på andre måter i tråd med forskningsprosjektets formål, eventuelle samtykker, forhåndsgodkjenningen etter § 33 og i samsvar med forskningsprotokollen.
Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan ved godkjenningen etter kapittel 3 nekte slik sammenstilling, tilgjengeliggjøringeller annen behandling dersom denne finnes å være medisinsk eller etisk uforsvarlig.
Sammenstilling og tilgjengeliggjøring av helseopplysninger kan skje til dataansvarlige eller forskningsansvarlige som har adgang til å behandle personopplysningene etter personvernforordningen artikkel 6 og 9.
§ 35 første ledd fjerde punktum skal lyde:
Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for bruken, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.
§ 36 nytt første ledd skal lyde:
Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder.
Någjeldende § 36 første, annet og tredje ledd, blir henholdsvis nytt annet, tredje og fjerde ledd.
§ 37 oppheves.
§ 40 første ledd skal lyde:
Forskningsdeltakeren har rett til innsyn i helseopplysninger om seg selv etter personvernforordningen artikkel 15. Deltakeren har også rett til innsyn i sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.
§ 42 skal lyde:
§ 42 Unntak fra innsyn
Unntakene i personopplysningsloven §§ 16 og 17 fra retten til informasjon og innsyn og fra plikten til underretning om brudd på personopplysningssikkerheten, gjelder tilsvarende for innsyn etter §§ 40 og 41 i loven her.
Avslag på krav om innsyn og informasjon kan overprøves av den regionale komiteen for medisinsk og helsefaglig forskningsetikk.
§ 47 skal lyde:
§ 47 Datatilsynets myndighet
Datatilsynet fører tilsyn med bruken av helseopplysninger etter denne loven i samsvar med personvernforordningen og personopplysningsloven.
Når Datatilsynet har gitt pålegg, skal Statens helsetilsyn informeres om dette.
§ 50 annet, tredje og fjerde ledd skal lyde:
Den forskningsansvarlige skal erstatte skader som er oppstått som følge av at humant biologisk materiale er behandlet i strid med bestemmelser gitt i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den forskningsansvarliges side. Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av det humant biologiske materialet. Den forskningsansvarlige kan også pålegges å betale slik erstatning for skader av ikke-økonomisk art (oppreisning) som synes rimelig.
Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, jf. forordningen artikkel 82. Ansvaret gjelder tilsvarende ved behandling av helseopplysninger i strid med denne loven eller forskrifter gitt i medhold av loven.
Forforskningsansvarlige og dataansvarlige som er private, skal det ved forsikring stilles sikkerhet for det økonomiske ansvaret som kan oppstå etter andre og tredje ledd.
§ 52 skal lyde:
§ 52 Datatilsynets adgang til å fatte vedtak om overtredelsesgebyr
Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.
Når Datatilsynet har fattet vedtak etter første ledd, skal Statens helsetilsyn informeres om dette.
§ 53 første og annet ledd skal lyde:
Statens helsetilsyn kan fastsette en løpende tvangsmulkt for hver dag, uke eller måned som går etter utløpet av den fristen som er satt for oppfylling av pålegget etter § 51, inntil pålegget er oppfylt. En tvangsmulkt kan også fastsettes som engangsmulkt. Statens helsetilsyn kan frafalle en påløpt tvangsmulkt. Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkten før klageinstansen har bestemt det.
Datatilsynet kan fastsette tvangsmulkt etter personopplysningsloven § 29.
25. I lov 17. oktober 2008 nr. 79 om utvalget for gjennomgang av stortingspensjoner oppheves § 3.
26. I lov 19. juni 2009 nr. 97 om dyrevelferd skal § 36 første ledd annet punktum lyde:
Slike registre kan ikke uten samtykke fra den det gjelder, inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 eller 10.
27. I lov 25. november 2011 nr. 44 om verdipapirfond skal § 1-6 lyde:
Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i et forvaltningsselskap, tilknyttet agent, eller utenlandsk forvaltningsselskap som nevnt i §§ 3-3 første ledd eller 3-4 første ledd, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.
28. I lov 24. august 2012 nr. 64 om bustøtte gjøres følgende endringer:
§ 8 første ledd fjerde punktum skal lyde:
Informasjonsplikta i personvernforordninga artikkel 14 gjeld.
§ 8 a tredje ledd annet punktum skal lyde:
Opplysningar som nemnt i personvernforordninga artikkel 9 og 10 kan ikkje masseinnhentast.
§ 8 b syvende ledd skal lyde:
Informasjonsplikta i personvernforordninga artikkel 14 gjeld.
§ 8 c annet ledd første punktum skal lyde:
Informasjonsplikta i personvernforordninga artikkel 14 gjeld for opplysningar som er henta inn etter paragrafen her, men den registrerte har først krav på informasjon når kontrollen er ferdig utført.
29. I lov 11. januar 2013 nr. 3 om Statens innkrevingssentral oppheves § 6 annet og tredje ledd.
30. I lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond skal § 1-6 lyde:
§ 1-6 Behandling av personopplysninger i tilknytning til autorisasjonsordninger for ansatte
Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer som er ansatt hos en forvalter for et alternativt investeringsfond med tillatelse etter § 2-2, eller som er registreringspliktig etter § 1-4, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.
31. I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:
§ 2 skal lyde:
§ 2 Definisjoner
I denne loven forstås med:
a) helsehjelp: enhver handling som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven § 3 første ledd
b) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15
c) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2
d) behandlingsrettet helseregister: pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner
e) dataansvarlig: ansvarlig for behandling av helseopplysninger etter personvernforordningen artikkel 4 nr. 7.
§ 3 nytt annet ledd skal lyde:
For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer.
Någjeldende § 3 annet ledd blir nytt tredje ledd.
§ 4 første ledd første punktum skal lyde:
Loven gjelder for dataansvarlige som er etablert i Norge.
§ 4 annet ledd oppheves.
§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen og personopplysningsloven
Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av loven her.
§ 6 første ledd annet punktum oppheves.
§ 9 bokstav d skal lyde:
d) dataansvar.
§ 10 annet ledd skal lyde:
Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.
§ 11 tredje ledd skal lyde:
Forskriften skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles, om den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar.
§ 12 tredje ledd skal lyde:
Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.
§ 13 femte ledd skal lyde:
Kongen i statsråd kan i forskrift gi nærmere bestemmelser om drift og behandling av helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem som er dataansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.
§ 18 første ledd skal lyde:
Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.
§ 19 første og annet ledd skal lyde:
Innenfor rammen av taushetsplikten skal den dataansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.
Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.
§ 20 skal lyde:
§ 20 Helseopplysninger til andre formål enn helsehjelp
Den dataansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11.
§ 21 skal lyde:
§ 21 Personopplysninger fra Folkeregisteret
Den dataansvarlige kan innhente personopplysninger fra Folkeregisteret når dette er nødvendig for å oppfylle den dataansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.
§ 22 skal lyde:
§ 22 Informasjonssikkerhet
Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll.
Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.
§ 23 første ledd skal lyde:
Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.
§ 23 annet ledd første og annet punktum skal lyde:
Den dataansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den dataansvarlige og hos databehandleren.
§ 26 skal lyde:
§ 26 Tilsyn
Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven
§§ 27 og 28 oppheves.
§ 29 skal lyde:
§ 29 Overtredelsesgebyr
Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.
§ 30 annet og fjerde ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning
Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.
32. I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:
§ 2 skal lyde:
§ 2 Definisjoner
I denne loven forstås med:
a) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15
b) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2
c) helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6
d) dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7
e) samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11
f) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.
§ 3 nytt annet og tredje ledd skal lyde:
For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.
Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.
Någjeldende § 3 tredje og fjerde ledd blir nytt fjerde og femte ledd.
§ 4 skal lyde:
§ 4 Geografisk virkeområde
Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.
§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen og personopplysningsloven
Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.
§ 6 første ledd og annet ledd skal lyde:
Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.
Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.
§ 6 tredje og fjerde ledd oppheves.
Någjeldende § 6 femte ledd blir nytt tredje ledd.
§ 7 oppheves.
§ 8 fjerde ledd bokstav e skal lyde:
e) hvem som er dataansvarlig.
§ 9 bokstav b skal lyde:
b) opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.
§ 12 tredje ledd skal lyde:
Riksarkivaren er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4.
§ 12 fjerde ledd annet punktum skal lyde
Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.
§ 14 skal lyde:
§ 14 Opplysninger fra Folkeregisteret
Dataansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret.
§ 19 annet og tredje ledd skal lyde:
Den dataansvarlige kan tilgjengeliggjøre helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov, skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer.
Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personvernforordningen, personopplysningsloven eller annen lov.
§ 19 tredje ledd oppheves.
§ 20 første ledd første punktum skal lyde:
Taushetsplikt er ikke til hinder for at den dataansvarlige kan tilgjengeliggjøre indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten.
§ 20 annet ledd skal lyde:
Helseopplysningene kan bare tilgjengeliggjøres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen for å verne den registrertes grunnleggende rettigheter og interesser.
§ 21 skal lyde:
§ 21 Informasjonssikkerhet
Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.
Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.
§ 22 skal lyde:
§ 22 Internkontroll
Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.
Departementet kan i forskrift gi nærmere regler om tekniske og organisatoriske tiltak etter første ledd.
§ 23 skal lyde:
§ 23 Informasjon til allmennheten om behandling av helseopplysninger
En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.
§ 24 skal lyde:
§ 24 Rett til informasjon og innsyn
Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.
Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.
Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.
Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.
§ 25 overskriften skal lyde:
§ 25 Retting, sperring eller sletting
§ 25 første ledd skal lyde:
Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder. Den registrerte kan også kreve at helseopplysninger som behandles etter §§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte, og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.
§ 26 skal lyde:
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven.Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.
§§ 27 og 28 oppheves.
§ 29 skal lyde:
§ 29 Overtredelsesgebyr
Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.
§ 30 annet og fjerde ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning
Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.
33. I lov 10. april 2015 nr. 17 om finansforetak og finanskonsern skal § 9-8 første ledd lyde:
(1) Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer ansatte i finansforetak, foretak som opptrer som agent eller annen formidler for finansforetak og utenlandsk finansforetak som skal drive eller driver virksomhet her i riket, kan behandle opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.
34. I lov 4. september 2015 nr. 85 om gjennomføring av konvensjon 19. oktober 1996 om jurisdiksjon, lovvalg, anerkjennelse, fullbyrdelse og samarbeid vedrørende foreldremyndighet og tiltak for beskyttelse av barn skal § 3 lyde:
§ 3 Taushetsplikt
I tilfeller der norske myndigheter etter konvensjonen har plikt til å gi opplysninger, kan dette skje uten hinder av lovbestemt taushetsplikt. Tilsvarende gjelder der konvensjonen legger til rette for at opplysninger kan gis etter anmodning.
35. I lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner gjøres følgende endringer:
§ 2 bokstav c skal lyde:
c) kredittopplysningsforetak: foretak som driver kredittopplysningsvirksomhet i samsvar med personopplysningsloven,
§ 12 første ledd bokstav c skal lyde:
c) kredittopplysningsforetak, når disse etter forespørsel fra kredittytere som nevnt i bokstav a og b skal foreta kredittvurdering, eller når disse skal utarbeide kredittscore etter forespørsel fra noen som har saklig behov for å innhente kredittopplysninger, og
§ 13 annet ledd første punktum skal lyde:
Kredittopplysningsforetak kan også utlevere opplysning om kredittscore hvor gjeldsopplysninger inngår i beregningsgrunnlaget, til den som har saklig behov for opplysningen.
36. I lov 16. juni 2017 nr. 53 om endringar i pasient- og brukarrettslova, helsepersonellova m.m. (styrking av rettsstillinga til barn ved yting av helse- og omsorgstenester m.m.) gjøres følgende endringer:
I romertall VII endres følgende:
I § 30 skal nytt annet ledd lyde:
Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 16, straffes med bøter eller fengsel inntil ett år.
Någjeldende annet ledd blir tredje ledd.
I romertall VIII endres følgende:
§ 30 skal nytt annet ledd lyde:
Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 18, straffes med bøter eller fengsel inntil ett år.
Någjeldende annet ledd blir tredje ledd.
37. I lov 15. desember 2017 nr. 112 om utprøving av selvkjørende kjøretøy skal § 3 første ledd lyde:
Vegtrafikkloven med forskrifter, yrkestransportlova med forskrifter og personopplysningsloven med forskrifter gjelder under utprøving av selvkjørende kjøretøy, med mindre annet følger av denne loven eller forskrifter gitt med hjemmel i denne.