Personvern innebærer en mulighet for den enkelte: En skal ha adgang til å bestemme over informasjonen om seg selv i størst mulig grad. Derfor har den enkelte rettigheter, og den som gjør nytte av andres personopplysninger har plikter.
Både personopplysningsloven og helseregisterloven har regler om:
- Når man lovlig kan bruke personopplysninger:
Samtykke eller lovhjemmel er hovedregelen - Innsyn i opplysninger:
Man har innsynsrett i personopplysninger om seg selv, med mindre en lov- eller forskriftsbestemmelse sier noe annet. - Informasjonsplikt
Informasjon - Retting, sletting, sperring og komplettering av opplysninger
I tillegg finnes bestemmelser om:
- når man lovlig kan overvåke med kamera (Personopplysningsloven)
- reservasjon mot direkte markedsføring per post og telefon (Personopplysningsloven)
- når man lovlig kan opprette helseregistre (Helseregisterloven)
Virksomheter som bruker personopplysninger må
- sikre de registrertes rettigheter
- melde fra til eller søke konsesjon hos Datatilsynet
- ha tilfredsstillende informasjonssikkerhet
- ha en systematisk tilnærming til personvern og informasjonssikkerhet gjennom et internkontrollsystem
Plikter
Bruk av personopplysninger skal primært baseres på at man har samtykke fra den enkelte eller lovhjemmel for bruken. Personopplysningsloven gir også noen andre mulige lovgrunnlag for behandling av personopplysninger (behandlingsgrunnlag i loven.) Bestemmelsene om når man kan bruke personopplysninger finner du i §§ 8, 9, og 11 i personopplysningsloven.
Informasjonssikkerhet
Virksomheten skal sørge for tilfredsstillende informasjonssikkerhet. Alle som behandler personopplysninger og som omfattes av loven, må vurdere sikkerhetsbehovet. Dette gjelder uavhengig av hvorvidt behandlingen er konsesjonspliktig, meldepliktig eller ingen av delene. Ett av kapitlene i forskriften til personopplysningsloven omhandler informasjonssikkerhet. En behandlingsansvarlig skal, med utgangspunkt i forskriften, kunne etablere et sikkerhetssystem uten altfor omfattende veiledning fra Datatilsynet.
Internkontroll og krav til dokumentasjon
Virksomheter som behandler personopplysninger skal lage et system for internkontroll. Rutiner og tiltak som skal sikre at loven blir etterlevd skal kunne dokumenteres. Dokumentasjonen skal være tilgjengelig for ansatte, Datatilsynet og Personvernnemnda.
Meldeplikt eller konsesjonsplikt?
All behandling av personopplysninger er i utgangspunktet meldepliktig. En del behandlinger er imidlertid unntatt i forskriften til personopplysningsloven. Dette gjelder blant annet kunderegistre, personalregistre og foreningers medlemsregistre. Det stilles vilkår til fritaket fra meldeplikt. Kravene i loven gjelder selv om behandlingen er unntatt meldeplikt.
Noen behandlinger er konsesjonspliktige, og skal dermed ikke meldes. Meldeplikten blir her erstattet av konsesjonssøknad til Datatilsynet. Dette gjelder som hovedregel all behandling av sensitive personopplysninger. I tillegg er enkelte behandlinger, som i utgangspunktet er meldepliktige, i stedet gjort konsesjonspliktige ved forskrift. Dette dreier seg om behandling av personopplysinger innen telesektoren, i forsikringsbransjen og i banker og finansinstitusjoner. Noen behandlinger av sensitive opplysninger er likevel unntatt konsesjonsplikt. Behandlinger som er unntatt konsesjonsplikt har meldeplikt, dersom ikke annet er bestemt.
På sidene under finner man mer informasjon om de enkelte pliktene.
(14.02.2007)
Internkontroll handler om å arbeide systematisk for at ens egen virksomhet opptrer i samsvar med de lover og forskrifter som gjelder for virksomheten.
Les mer>>
(07.03.2006)
Mange foreninger registrerer opplysninger om medlemmene sine. Her er en veiledning om blant annet hva man har anledning til å registrere, hva opplysningene kan brukes til og hvordan opplysningene skal behandles.
Les mer>>
(10.02.2005)
Samtykke er et grunnprinsipp i loven. Virksomheter som ønsker å bruke personopplysninger må som hovedregel innhente samtykke før de starter behandlingen.
Les mer>>
(26.05.2009)
Noen virksomheter velger å sette ut hele eller deler av behandlingen av personopplysninger til andre virksomheter. Da må virksomhetene inngå en databehandleravtale. Her finner du minimumskrav og hjelp til å lage en slik avtale.
Les mer>>
(03.03.2009)
En del virksomheter ønsker av forskjellige årsaker å overføre personopplysninger til utlandet. Reglene som omhandler dette finner du i personopplysningsloven § 29 og § 30 og personopplysningsforskriften kapittel 6.
Les mer>>
(22.11.2007)
En handlingsplan for virksomheter
Les mer>>
(07.05.2008)
En bransjenorm er ikke en plikt, men en mulighet for en bransje til å lage retningslinjer for gjelder bruk av personopplysninger og sikring av opplysninger.
Les mer>>
(28.01.2005)
Det er ikke fritt frem for virksomheten å bruke opplysninger om en enkeltperson.
Les mer>>
(16.04.2004)
Vedtaka til Datatilsynet kan klagast til Personvernnemnda. Denne retten finnast i personopplysningslova § 42 fjerde ledd og forvaltningslova §28.
Les mer>>
(03.02.2005)
Virksomheter som behandler personopplysninger skal, på eget initiativ og på forespørsel gi informasjon. Den som er registrert skal få innsyn i opplysninger om seg selv, samt i sikkerhetstiltak. Bruk av personprofiler krever informasjon om dette.
Les mer>>
(03.02.2005)
Den som behandler personopplysninger, skal sørge for tilfredsstillende sikring av informasjonssystemet med grunnlag i en risikovurdering.
Les mer>>
(03.02.2005)
Virksomheten skal rette eller slette opplysninger når de er feilaktige, mangelfulle eller unødvendige.
Les mer>>
(15.11.2004)
Behandling av personopplysningar er etter hovudregelen meldepliktig, medan behandling av sensitive opplysningar er konsesjonspliktig. Det er imidlertid nokre unnatak. Meldingar og konsesjonssøknader sendast Datatilsynet eller til personvernombodet.
Les meir>>