Om personopplysningsloven med forordning og når den gjelder

Personopplysningsloven består av nasjonale regler og EUs personvernforordning (også kalt GDPR - General Data Protection Regulation). Forordningen er et sett regler som gjelder for alle EU/EØS-land. Sammen med særlovgivning om personvern på enkelte områder, utgjør dette personvernregelverket.

Personopplysningsloven handler om behandling – altså innsamling og bruk – av personopplysninger. Reglene gir virksomhetene en rekke plikter samtidig som den gir enkeltpersoner, ofte kalt registrerte, en rekke rettigheter. Loven gjelder stort sett alle virksomheter, men det finnes situasjoner der loven ikke gjelder.

Forholdet mellom lov, forordning og fortale

Personopplysningsloven kan skisseres på følgende måte:

  1. Nasjonale regler med norske tilpasninger (kapittel 1-9)
  2. EUs personvernforordning, som består av to deler:
    • Fortale. Dette er en tolkningshjelp som kan utfylle eller forklare artiklene.
    • Artikler (Kapittel I-XI). Her finner dere de fleste personvernreglene i personopplysningsloven. Det er bare artiklene som er juridisk bindende.

Det følger av både personopplysningsloven  og EØS-loven at personvernforordningen skal gå foran norsk lov ved konflikt. Det betyr at alle norske regler om behandling av personopplysninger må passe inn i personvernforordningens system for å være gyldige. Noen steder sier forordningen at de enkelte landene kan eller skal lage nasjonale tilpasninger. Da kan vi ha norske særregler om behandling av personopplysninger, men ellers ikke.

Ellers ivaretar også andre lover personvernet. Dette er særlovgivning som inneholder nasjonale tilpasninger innen ulike sektorer, slik som pasientjournalloven, politiregisterloven og lignende.

Når gjelder personopplysningsloven?

Personvernforordningen er lik for alle EU/EØS-land. Virksomheter etablert i andre EU/EØS-land må derfor stort sett følge de samme personvernreglene som norske virksomheter.

Personopplysningsloven gjelder når virksomheter etablert i Norge helt eller delvis foretar såkalt automatisk (typisk elektronisk) behandling av personopplysninger. Videre gjelder loven når virksomhetene utfører ikke-automatisk behandling av personopplysninger, men personopplysningene skal inngå i et strukturert register.

I noen tilfeller gjelder personopplysningsloven direkte for virksomheter utenfor EU/EØS. Slike virksomheter må følge personopplysningsloven hvis deres behandling av personopplysninger er knyttet til tilbud av varer og tjenester til personer i Norge eller monitorering av adferden til personer i Norge. Virksomhetene har da plikt til å utpeke en representant i EU/EØS (se personvernforordningen artikkel 27).

Når gjelder ikke loven?

Personopplysningsloven gjelder ikke behandling av personopplysninger som utføres

Overgangsregler

I en periode gjelder enkelte overgangsregler. I saker om overtredelsesgebyr skal reglene om behandling av personopplysninger som gjaldt på behandlingstidspunktet legges til grunn når det treffes vedtak (se personopplysningsloven § 33). Lovgivningen på tidspunktet for avgjørelsen skal likevel benyttes når det fører til et gunstigere resultat for den ansvarlige. Noen saker vil derfor bli avgjort etter den opphevede loven (personopplysningsloven 14. april 2000 nr. 31, pdf).

Mer informasjon på engelsk

På EU-kommisjonens nettsider finnes det mye god informasjon om personvernforordningen (GDPR) til både virksomheter og privatpersoner. Finn ut hva din virksomhet må gjøre for å følge regelverket, og hvordan de registrertes rettigheter kan ivaretas.

Mer informasjon på engelsk