Om personopplysningsloven med forordning og når den gjelder

I 2018 har Norge fått et nytt personvernregelverk. Den nye personopplysningsloven består av nasjonale regler og EUs personvernforordning (GDPR - General Data Protection Regulation).

Loven handler om behandling – altså innsamling og bruk – av personopplysninger. Reglene gir virksomhetene en rekke plikter samtidig som den gir enkeltpersoner, ofte kalt registrerte, en rekke rettigheter. Loven gjelder stort sett alle virksomheter, men det finnes situasjoner der loven ikke gjelder.

Forholdet mellom lov, forordning og fortale

Personopplysningsloven sier blant annet at forordningen gjelder som norsk lov. Det følger dessuten av både personopplysningsloven og EØS-loven at personvernforordningen ved motstrid skal gå foran norsk lov. Det betyr at alle norske regler om behandling av personopplysninger må passe inn i personvernforordningens system for å være gyldige. Noen steder sier forordningen at de enkelte landene kan eller skal lage nasjonale tilpasninger. Da kan vi ha norske særregler om behandling av personopplysninger, men ellers ikke.

Personopplysningsloven kan skisseres på følgende måte:

  1. Nasjonale regler med norske tilpasninger
  2. EUs personvernforordning, som består av to deler:
    • Fortale. Dette er en tolkningshjelp som kan utfylle eller forklare artiklene.
    • Artikler. Her finnes de fleste personvernreglene i personopplysningsloven. Det er bare artiklene som er juridisk bindende. Ved motstrid går alltid artiklene foran fortalen.

I tillegg finnes det særlovgivning som inneholder nasjonale tilpasninger innen ulike sektorer, slik som pasientjournalloven, politiregisterloven og lignende.

Personvernforordningen er lik for alle EU/EØS-land. Virksomheter etablert i andre EU/EØS-land må derfor stort sett følge de samme personvernreglene som norske virksomheter.

Når gjelder personopplysningsloven?

Personopplysningsloven gjelder når virksomheter etablert i Norge helt eller delvis foretar såkalt automatisk (typisk elektronisk) behandling av personopplysninger. Videre gjelder loven når virksomhetene utfører ikke-automatisk behandling av personopplysninger, men personopplysningene skal inngå i et strukturert register.

I noen tilfeller gjelder personopplysningsloven direkte for virksomheter utenfor EU/EØS. Les mer om dette her.

Når gjelder ikke loven?

Personopplysningsloven gjelder ikke behandling av personopplysninger som utføres

  • av fysiske personer som ledd i rent personlige eller familiemessige aktiviteter (for eksempel private adressebøker eller kameraovervåking av eget hus)
  • av myndighetene for å forebygge, etterforske eller straffeforfølge straffbare forhold
  • for utelukkende journalistiske, akademiske, kunstneriske og litterære formål

Mer informasjon på engelsk

På EU-kommisjonens nettsider finnes det mye god informasjon om personvernforordningen til både virksomheter og privatpersoner.

Mer informasjon på engelsk
20