Personopplysningsloven
Lov om behandling av personopplysninger (kortnavn: personopplysningsloven) er en norsk lov som utgjør den viktigste rettskilden innen beskyttelse av personvern. Loven ble vedtatt 14. april 2000 og trådte i kraft 1. januar 2001. Den erstattet personregisterloven av 1978, og gjennomfører personverndirektivet i norsk rett. Loven gir generelle bestemmelser om behandling av personopplysninger, dvs. opplysninger som direkte eller indirekte kan knyttes til en fysisk person.
I juli 2009 sendte Justisdepartementet på høring forslag til endringer i loven. Etterkontroll av personopplysningsloven, Justisdepartementet 3.7.2009]. Høringen bygger i stor grad på to utredninger til Justisdepartementet om loven, samt Datatilsynets rapport om fjernsynsovervåking. Utredning av behov for endringer av personopplysningsloven av Dag Wiese Schartum og Lee Bygrave, 31.3.2006Utredning om fødselsnummer, fingeravtrykk og annen bruk av biometri i forbindelse med lov om behandling av personopplysninger § 12 av Dag Wiese Schartum i samarbeid med Lee Bygrave, 05.11.2008.
Virkeområde og hovedregler
Loven gjelder i utgangspunktet for all behandling av personopplysninger, både i privat og offentlig sektor, forutsatt at det benyttes elektroniske hjelpemidler eller at opplysningene skal inngå i et register. § 3 Behandling for rent personlige formål er unntatt fra loven § 3 annet ledd, det samme gjelder Riksrevisjonens behandling av opplysninger, behandling av hensyn til rikets sikkerhet og behandling knyttet til sivile og strafferettslige saker. personopplysningsforskriften § 1-1 til 1-3. Det er også visse unntak av hensyn til ytringsfriheten § 11.
Loven stiller noen grunnkrav til all behandling av personopplysninger § 11
- Den behandlingsansvarlige må ha rettslig grunnlag for behandlingen, dvs. enten samtykke fra den registrerte<ref>definert i § 2 nr 7, hjemmel i lov eller behandlingen må være nødvendig av hensyn til et av formålene som er nevnt i § 8.
- Opplysningene skal ha tilfredsstillende kvalitet
- Opplysningene skal ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker
- Opplysningene skal ikke lagres lengre enn det som er nødvendige for behandlingen
For sensitive personopplysninger er det enkelte tilleggskrav: behandlingen må som regel ha konsesjon (tillatelse) fra Datatilsynet § 33 og behandlingen må oppfylle de skjerpede krav til rettslig grunnlag i § 9. Hvilke opplysninger som skal regnes som sensitive, er uttømmende definert i § 2 nr 8. Helseopplysninger og opplysninger om politisk oppfatning er eksempler på sensitive opplysninger.
Før behandlingen starter, skal den normalt meldes til Datatilsynet § 31, noen behandlinger er unntatt fra meldeplikt, jf. personopplysningsforskriften kapittel 7. Behandling av sensitive opplysninger krever som regel konsesjon (tillatelse) fra Datatilsynet § 33.
Loven gir i kapittel III den registrerte og allmennheten rett til informasjon fra de behandlingsansvarlige. Fjernsynsovervåking er regulert i kapittel VII. Overtredelse av loven kan straffes med bøter eller fengsel inntil tre år. § 48 Dessuten kan Datatilsynet ilegge overtredelsesgebyr eller tvangsmulkt §§ 46 og 47.
Datatilsynet er tilsynsmyndighet på personopplysningslovens område. Tilsynets avgjørelser kan påklages til Personvernnemnda.
I følge Datatilsynet beskytter også loven personer som benytter stjålne kredittkort. Rettmessig eier har ikke krav på opplysninger vedrørende transaksjoner med et stjålet kredittkort, dersom det er oppgitt personlige opplysninger i forbindelse med bruken av det stjålne kortet.