Annonse
Nyheter
Ny personopplysningslov
Stortinget vedtok nylig lov om behandling av personopplysninger (personopplysningsloven) som erstatter eksisterende personregisterlov.
FormÄlet med loven er Ä ivareta enkeltindividets personvern ved bruk av personopplysninger. I tillegg implementerer loven EUs personverndirektiv i norsk rett. Loven trer i kraft 1. januar 2001 og vil fÄ stor betydning for kommunene, spesielt nÄr det gjelder datasikkerhet.
Loven har et videre anvendelsesomrÄde enn personregisterloven og regulerer «behandling» av personopplysninger - ogsÄ nÄr disse ikke inngÄr i et personregister.
Nytt med personopplysningsloven er at dagens konsesjonsordning avvikles og erstattes med en hovedregel om meldeplikt. Behandling av sensitive personopplysninger vil imidlertid fortsatt vĂŠre underlagt konsesjonsplikt, dog med unntak for situasjoner der opplysningene gis uoppfordret eller for behandling av personregistre som er opprettet ved egen lov.
I tillegg suppleres loven av forskrifter som blant annet vil unnta visse behandlinger fra meldeplikt. Forskriftsverket er ennÄ ikke vedtatt, men vil antagelig foreligge innen utgangen av november.
Et gjennomgÄende trekk ved den nye loven er at den som behandler personopplysninger skal pÄse at den registrertes rettigheter er ivaretatt. Opplysningene skal kun brukes til uttrykkelig angitte formÄl, og opplysningene skal til enhver tid vÊre korrekte og oppdaterte. Videre skal den behandlingsansvarlige sÞrge for tiltak for tilfredsstillende informasjonssikkerhet, og disse tiltakene skal kunne dokumenteres. Dokumentasjonen skal vÊre tilgjengelig internt i virksomheten og for Datatilsynet.
PÄ dette punkt vil loven bli supplert med forskrifter. Den behandlingsansvarlige mÄ videre etablere et system for internkontroll, som skal sikre at de krav som fÞlger av loven eller forskriften er oppfylt. OgsÄ dette skal kunne dokumenteres.
Loven etablerer en innsynsrett for den registrerte. Den behandlingsansvarlige er i tillegg pÄlagt en informasjonsplikt nÄr personopplysninger samles inn. Den registrerte har ikke krav pÄ informasjon, dersom innsamling av opplysningene er fastsatt i lov, eller det er pÄ det rene at den registrerte allerede er kjent med informasjonen varselet skal inneholde.
Den registrerte har videre rett til informasjon om fullt ut automatiserte avgjÞrelser, dersom avgjÞrelsen har rettslig eller annen vesentlig betydning for den registrerte, og den registrerte kan i visse situasjoner kreve manuell behandling. Retten til informasjon er imidlertid undergitt visse viktige begrensninger, for eksempel dersom det er utilrÄdelig at vedkommende fÄr kjennskap til informasjonen, opplysningene er underlagt taushetsplikt eller opplysningene er utelukkende brukt internt.
Lovgiver har for Ä lette overgangen fra gammelt til nytt lovverk gitt overgangsbestemmelser. Behandlinger som skjer med grunnlag i eksisterende konsesjoner, skal enten meldes, eller det skal sÞkes om konsesjon innen utgangen av en toÄrsperiode. Nye behandlinger vil fullt ut bli regulert av personopplysningsloven.
