HVA ER PERSONVERN?
Kan arbeidsgiver lese arbeidstakeres e-post? Kan flypassasjerers fingeravtrykk registreres? Kan butikker videoovervåkes? Kan bilder av kjendiser publiseres uten samtykke? Kan kredittvurderinger brukes for å finne kjøpekraftige reklamemottakere?
Disse spørsmålene er alle eksempler på innsamling, registrering, sammenstilling, lagring, utlevering og annen bruk av opplysninger som kan knyttes til et individ. Svarene finnes, helt eller delvis, i personopplysningslovgivningen.
Personopplysningsloven er den sentrale loven på dette området. Deler av loven er et resultat av Norges implementering av EUs personverndirektiv, noe som gjør at loven i stor grad tilsvarer øvrig europeisk personvernlovgivning. Andre lover og forskrifter supplerer personopplysningsloven, blant annet helseregisterloven, taushetspliktsreglene i forvaltningsloven, straffelovens § 390 om privatlivets fred og åndsverkloven § 45c om retten til eget bilde. I tillegg finnes det et ulovfestet personvern, som for det meste er domstolsskapt og som supplerer de lovfestede regler.
Personopplysningsloven gjelder både for næringsdrivende og privatpersoner. Loven gjelder imidlertid ikke privat behandling av personopplysninger. I tillegg har loven begrenset anvendelse for bruk av personopplysninger for kunstneriske, litterære eller journalistiske formål, noe som bl.a. er begrunnet i ytringsretten.
Personopplysningsloven stiller strengere krav til behandling av sensitive personopplysninger, for eksempel opplysninger om etnisk bakgrunn, politisk oppfatning, seksuelle forhold og helseforhold.
Lovens materielle regler kan grovt sett oppdeles i tre: Alminnelige regler om behandling av personopplysninger, regler om individers rettigheter og regler om melde- og konsesjonsplikt.
De alminnelige reglene omfatter krav om at all behandling av personopplysninger må være basert på et rettslig grunnlag. Samtykke kan utgjøre et rettslig grunnlag. Rettslig grunnlag kan også foreligge på bakgrunn av en vurdering av formålet med behandlingen. Dersom personopplysninger skal overføres til land utenfor EØS-området, kreves det for dette formål et særskilt rettslig grunnlag. Videre omfatter de alminnelige reglene krav til sikring av opplysningene (informasjonssikkerhet), krav til rutiner for overholdelse av loven (internkontroll), krav til dokumentasjon av slik informasjonssikkerhet og internkontroll og krav om inngåelse av databehandleravtale dersom en tredjepart behandler personopplysninger på noens vegne.
Individers rettigheter omfatter bl.a. retten til informasjon og innsyn. Hovedregelen er en informasjonsplikt før man samler inn personopplysninger om et individ, samt at enhver på anmodning har rett til informasjon om hva slags behandling av personopplysninger som gjøres.
Meldeplikt gjelder ved behandling av ikke-sensitive personopplysninger, mens behandling av sensitive personopplysninger er underlagt konsesjonsplikt. Det finnes imidlertid en rekke unntak fra disse hovedreglene.
Datatilsynet fører tilsyn med at lovens regler følges og driver informasjonsarbeid om loven. Tilsynet kan gripe inn med pålegg overfor den som overtrer loven.
Vedtak fra tilsynet kan påklages til Personvernnemnda. Vedtak fra nemnda kan bringes inn for domstolene etter alminnelige regler for sivile prosesser.