2. Til personopplysningsforskriften

 

Innledning

Personopplysningsforskriften utfyller personopplysningsloven, og forskriften må på flere punkter forstås på bakgrunn av loven. F.eks. må unntakene fra meldeplikt og konsesjonsplikt i §§ 7-6 til 7-25 forstås på bakgrunn av lovens bestemmelser om meldeplikt og konsesjonsplikt, jf. loven §§ 31 og 33, og betydningen av at det opprettes et sentralt reservasjonsregister, jf. forskriften kapittel 5, fremgår av loven § 26. Forskriften er derfor ikke et regelverk som kan praktiseres uten kjennskap til loven.

I merknadene til forskriften er det enkelte steder vist til følgende forarbeider til loven:

–Regjeringens lovforslag 25. juni 1999 i Ot.prp. nr. 92 (1998-99) om lov om behandling av personopplysninger (personopplysningsloven) fra Justisdepartementet, og

–Innstillingen fra Stortingets justiskomité 22. februar 2000 i Innst.O. nr. 51 (1999-2000) om lov om behandling av personopplysninger (personopplysningsloven).

Personopplysningsloven har forskriftshjemler som ikke er benyttet i forskriften, da det synes hensiktsmessig å la praksis avklare om det er behov for regulering utover loven på disse områdene. Dette gjelder blant annet gjennomføring av meldepliktsordningen utover det som følger av loven §§ 30 og 31 og dekning av Datatilsynets utgifter ved kontroll, jf. nedenfor.

Særlig om dekning av kontrollutgifter

Personopplysningsloven § 44 fjerde ledd gir hjemmel for forskrift om dekning av utgifter ved kontroll.

Datatilsynets lovpålagte kontroll- og tilsynsoppgaver vil i stor grad gå ut på informasjon og kontaktskapende virksomhet. Det kan oppfattes negativt dersom alle som får slike besøk må betale for at Datatilsynet utfører denne delen av sitt arbeid. Det er heller ikke noen gruppe personopplysningsbehandlere som klart peker seg ut som naturlig til å dekke kontrollutgiftene.

Kontrollgebyrene som innhentes i medhold av personregisterloven, innbringer i dag i underkant av 1 mill. kroner i året. Det dreier seg således om et relativt beskjedent beløp sett i forhold til administrasjon av ordningen.

På denne bakgrunn fremstår det ikke som hensiktsmessig å innføre kontrollgebyr etter personopplysningsloven nå. Når en har noe mer erfaring med kontrollvirksomheten etter loven, kan det eventuelt foretas ny vurdering av om det bør innføres kontrollgebyr.

Særlig om tekstbehandling

Det er ikke gjort unntak for slik behandling fra melde- eller konsesjonsplikt. Det har vært hevdet at all tekstbehandling måtte underlegges særskilt regulering i forhold til personopplysningsloven for ikke å medføre en uhåndterlig mengde meldinger og konsesjonssøknader. All tekstbehandling vil imidlertid være del av en annen behandling av personopplysninger som enten er fri, skal meldes eller er konsesjonspliktig i henhold til personopplysningsloven. Tekstbehandling bør således ikke regnes som en egen behandling av personopplysninger i forhold til reglene om melde- og konsesjonsplikt. Melde- og konsesjonsplikt vil avhenge av om "hovedbehandlingen" er melde- eller konsesjonspliktig.

Til kapittel 1Personopplysningslovens virkeområde

til § 1-1Riksrevisjonens behandling av personopplysninger

I samsvar med Innst.O. nr. 51 (1999-2000) er det gjort unntak fra deler av personopplysningsloven for Riksrevisjonens behandling av personopplysninger i kontrolløyemed. For Riksrevisjonens øvrige personopplysningsbehandlinger gjelder loven i sin helhet.

til § 1-2Behandling av personopplysninger som er nødvendig av hensyn til rikets sikkerhet

Når det gjelder unntak for behandling av opplysninger for rikets sikkerhet, gjøres unntak fra tilsynsmyndighetens tilgang til opplysninger, jf. personopplysningsloven § 44. Dette betyr at Datatilsynet og Personvernnemnda ikke vil ha kontrollmyndighet i forhold til behandling av personopplysninger som skjer av hensyn til rikets sikkerhet.

I den grad slike personopplysningsbehandlinger vil kunne inneholde sensitive personopplysninger, unntas behandlingene fra melde- og konsesjonsplikt i henhold til personopplysningsloven §§ 31 og 33. Det ville være lite hensiktsmessig å underlegge behandlingene kontroll fra Datatilsynet når tilsynsmyndigheten ikke kan kontrollere om meldeplikten og konsesjonsvilkårene blir fulgt. Behandlingene vil være unntatt fra innsynsrett, jf. personopplysningsloven §§ 18 til 22 jf. § 23, og de vil således heller ikke komme på Datatilsynets offentlige fortegnelse over innmeldte behandlinger, jf. § 42.

Hensynet til rikets sikkerhet omfatter også beredskapshensyn som har sammenheng med rikets sikkerhet.

For øvrig bør det bemerkes at behandling av personopplysninger som er nødvendig for rikets sikkerhet, og som faller utenfor personopplysningsforskriften, vil bli kontrollert av Stortingets kontrollutvalg for etterretnings-, overvåknings- og sikkerhetstjeneste (EOS-utvalget).

til § 1-3Behandling av personopplysninger i rettspleien mv.

Når det gjelder politiets behandling av personopplysninger, er unntak fra innsyns- og varslingsregler nødvendig for ikke å umuliggjøre politiets etterretnings- og etterforskningsarbeid. Som en naturlig konsekvens av dette gjøres det unntak fra den registrertes rett til å kreve opplysninger rettet og slettet. Strafferegistreringsloven er en særlov som går foran personopplysningsloven, jf. personopplysningsloven § 5. Men Datatilsynet har alminnelig tilsynskompetanse i medhold av personopplysningsloven. Rettspleiens behandling av personopplysninger på andre områder enn nevnt i forskriften, er regulert av personopplysningsloven. Dette gjelder blant annet rent forvaltningsmessige saker.

til § 1-4Svalbard

Befolkningen på Svalbard bør nyte godt av samme personvernlovgivning som befolkningen i Norge for øvrig så langt dette ikke er i strid med de særlige regler som gjelder for øygruppen gjennom Svalbardtraktaten. Hele personopplysningsloven med forskrifter gjelder derfor for behandling av personopplysninger på Svalbard. Samtidig åpnes det for at Datatilsynet i særlige tilfeller kan gjøre unntak fra de enkelte bestemmelser. Dette gir Datatilsynet den nødvendige kompetanse til å fravike forskriften dersom det ut fra stedlige forhold er rimelig eller nødvendig .

Det er særlig grunn til å merke seg at skatter, gebyrer og avgifter som innkreves på Svalbard i henhold til Svalbardtraktaten artikkel 8 annet ledd , utelukkende skal komme Svalbard til gode. Dette betyr at eventuell tvangsmulkt som innkreves på Svalbard i henhold til personopplysningsloven § 47, skal komme Svalbard til gode og inntektsføres som en egen post i Datatilsynets budsjett som det kan henvises til i Svalbardbudsjettet.

Når myndighet utøves overfor utenlandsk virksomhet på Svalbard, skal Datatilsynet konsultere Sysselmannen. Dette er for å hindre at Datatilsynet utøver sin myndighet i strid med eventuelle særregler for drift av næringsvirksomhet på Svalbard.

til § 1-5Jan Mayen

Eventuell behandling av personopplysninger på Jan Mayen reguleres av personopplysningsloven i sin helhet. Jan Mayen er del av EØS-området. Dette innebærer blant annet at alle bestemmelser i personopplysningsloven som gjennomfører direktiv 95/46/EF, må gjøres gjeldende på Jan Mayen. En har ikke funnet grunn til å gjøre unntak for de øvrige bestemmelsene i personopplysningsloven.

Til Kapitel 2Informasjonssikkerhet

I personopplysningsloven § 13 pålegges den behandlingsansvarlige å sørge for tilfredsstillende informasjonssikkerhet ved behandling av personopplysninger. Dette omfatter å sørge for at tilstrekkelig sikkerhetsfaglig kompetanse er tilgjengelig hos den behandlingsansvarlige. I tillegg til ansvar for sikkerheten i egen organisasjon, må den behandlingsansvarlige også forsikre seg om at informasjonssikkerheten er tilfredsstillende hos kommunikasjonspartnere og leverandører.

Begrepet informasjonssikkerhet omfatter:

–Sikring av konfidensialitet, dvs. beskyttelse mot at uvedkommende får innsyn i opplysningene.

–Sikring av integritet, dvs. beskyttelse mot utilsiktet endring av opplysningene.

–Sikring av tilgjengelighet, dvs. sørge for at tilstrekkelige og relevante opplysninger er til stede.

Tilfredsstillende informasjonssikkerhet skal oppnås ved hjelp av "planlagte og systematiske tiltak". Begrepet innebærer at kjente teknikker og anerkjente standarder for kvalitetsstyring, internkontroll, og informasjonssikkerhet, skal legges til grunn ved sikkerhetsarbeidet. De tiltak som etableres, skal være både organisatoriske og tekniske.

Sikkerhetstiltakene og selve informasjonssystemet skal dokumenteres. Dokumentasjonen skal omfatte beskrivelse av organisering, rutiner for bruk samt registrering av hendelser.

Som beskrevet i Ot.prp. nr. 92 (1998-99) side 114 i merknadene til personopplysningsloven § 13, er det ikke mulig å pålegge uttømmende og detaljerte regler for informasjonssikkerhet. Sikkerhetstiltak må etableres etter en konkret vurdering av de personopplysninger som behandles i forhold til de trusler mot informasjonssikkerheten som er til stede. Denne vurderingen skal utføres av den behandlingsansvarlige med utgangspunkt i et styringssystem for sikkerhet. Det er kravene til dette styringssystemet som beskrives i dette kapittelet i forskriften.

Videreføring av dagens sikkerhetskrav

Datatilsynet vedtok i 1998 nye sikkerhetsregler til bruk som utgangspunkt for sikkerhetsvilkår i konsesjoner, som grunnlag for enkeltvedtak etter personregisterloven § 8b, samt til bruk som kontrollgrunnlag. Retningslinjer for informasjonssikkerhet ved behandling av personopplysninger (TR-100:1998) er basert på kjente teknikker, og anerkjente standarder for kvalitetsstyring, internkontroll, og informasjonssikkerhet. Ved utforming av bestemmelsene i dette kapittelet er det blant annet tatt utgangspunkt i eksisterende sikkerhetsregler. Bestemmelsene er derfor en naturlig videreføring og oppgradering av dette regelverket.

Sertifisering av informasjonssikkerhet

Planleggings- og samordningsdepartementet, og senere Nærings- og handelsdepartementet, har siden 1996 forberedt etablering av to sertifiseringsordninger for informasjonssikkerhet. Den ene av disse gjelder sertifisering av informasjonssikkerhet i organisasjoner, det vil si tredjeparts vurdering av organisasjonenes styringssystem for sikkerhet. Som sertifiseringsgrunnlag er valgt den engelske standarden BS-7799, A code of practice for information security management.

Departementets arbeid har blant annet som mål å harmonisere sikkerhetsregler, samt å sørge for en generell heving av sikkerhetsnivået. Ved behandling av personopplysninger er denne målsettingen sammenfallende med formålet med bestemmelsene i dette kapittelet. Det er derfor valgt å benytte den samme sikkerhetsstandard som en del av grunnlaget ved utarbeidelsen av forskriften. Felles grunnlag for sertifisering og for sikkerhetsregler, vil gjøre det mulig for den behandlingsansvarlige å benytte sertifiseringsordningen for å vise samsvar med bestemmelsene i dette kapittelet.

Harmoniserte sikkerhetskrav

Som beskrevet i forarbeidene til personopplysningsloven § 13 skal sikkerhetskravene i loven tjene som grunnlag for å harmonisere sikkerhetsnivået for behandling av personopplysninger som er hjemlet i annen lovgivning. Slik harmonisering er nødvendig for å oppnå et felles gjenkjennbart sikkerhetsnivå, og for å legge til rette for elektronisk samhandling mellom forskjellige sektorer. Bestemmelsene i kapittelet beskriver et styringssystem for sikkerhet som kan anvendes i alle sektorer.

Som nevnt foran er bestemmelsene koordinert med Nærings- og handelsdepartementets arbeid med sikkerhetssertifisering. Også i andre land, som f.eks. England, Nederland, Sverige med flere, etableres nå tilsvarende sertifiseringsordninger med BS-7799 som sertifiseringsgrunnlag. I England har "The privacy comissioner" oppfordret behandlingsansvarlige til å benytte slik sertifisering for å vise samsvar med sikkerhetsreglene i den engelske personvernlovgivningen.

Harmoniserte personvernregler, herunder sikkerhetsregler, innen EU/EØS er et av hovedformålene med personverndirektivet 95/46/EF. Som grunnlag for bestemmelsene i dette kapittelet er det derfor valgt kjente teknikker og anerkjente standarder som har og får, internasjonal tilslutning.

til § 2-1Forholdsmessige krav om sikring av personopplysninger

Bestemmelsen avgrenser reglene i dette kapittelet til kun å gjelde behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. For manuelle behandlinger som omfattes av personopplysningsloven, gjelder kun de generelle reglene om informasjonssikkerhet i loven § 13.

Bestemmelsen avgrenser sikkerhetsreglene til kun å gjelde for behandlinger der det av hensyn til den enkeltes personvern er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for opplysningene. Videre skal sikkerhetstiltak implementeres i forhold til sannsynlighet for og konsekvens av sikkerhetsbrudd.

Avgrensningene er viktig for å unngå at det etableres for omfattende sikkerhetstiltak. I vurderingen av om sikkerhetstiltak er nødvendig, er opplysningenes art og den fare for tap av liv og helse, økonomisk tap, eller tap av anseelse og personlig integritet behandlingen kan medføre, avgjørende.

Det faktum at sensitive personopplysninger behandles, gir ikke alene en anvisning av hvilke sikkerhetstiltak som er nødvendig. Videre vil også andre opplysninger enn sensitive personopplysninger kunne være omfattet av taushetsplikt og dermed ha behov for sikring av konfidensialitet. Som eksempler på vurdering av sikkerhetsbehovet, kan nevnes at konfidensialitetssikring normalt vil være mindre nødvendig ved behandling av opplysninger om fagforeningstilhørighet enn for behandling av sensitive personopplysninger for øvrig. Videre vil det for enkelte spesielle behandlinger av helseopplysninger være like nødvendig å sikre opplysningenes tilgjengelighet som konfidensialitet, for å hindre fare for tap av liv og helse.

til § 2-2Pålegg fra Datatilsynet

Bestemmelsen understreker Datatilsynets påleggskompetanse etter personopplysningsloven § 46 når det gjelder informasjonssikkerhet. Datatilsynet kan gi pålegg om at bestemmelsene i dette kapittelet følges. Videre kan Datatilsynet stille sikkerhetsvilkår, og herunder pålegge etablering av konkrete sikkerhetstiltak for en bestemt behandling av personopplysninger.

Den behandlingsansvarlige skal fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger, jf. § 2-4. Av hensyn til et harmonisert og tilfredsstillende sikkerhetsnivå, kan slike beslutninger overprøves i de tilfeller der Datatilsynet ikke finner informasjonssikkerheten tilfredstillende, jf. personopplysningsloven § 13. I arbeidet med å beskrive nivåer for akseptabel risiko, bør Datatilsynet samarbeide med de berørte virksomheter, bransjeorganisasjoner og myndigheter.

til § 2-3Sikkerhetsledelse

Bestemmelsen understreker at det er den behandlingsansvarlige, ved virksomhetens daglige ledelse, som skal sørge for tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven § 13, og dermed har ansvar for at bestemmelsene i dette kapittelet følges.

Virksomhetens ledelse skal utøve dette ansvaret blant annet ved å beskrive virksomhetens sikkerhetsmål. Sikkerhetsmål vil omfatte beslutninger om til hva, og hvordan informasjonsteknologi skal benyttes i virksomheten. Eksempler på slike beslutninger kan være valg av hvilke behandlinger av personopplysninger som skal skje med elektroniske hjelpemidler, hvordan virksomheten forholder seg til opplysninger som må sikres både med hensyn til konfidensialitet og tilgjengelighet, og føringer for medarbeideres eventuelle private bruk av informasjonssystemet.

Videre skal virksomhetens ledelse beskrive valg og prioriteringer i sikkerhetsarbeidet i en sikkerhetsstrategi. Sikkerhetsstrategien vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet. Eksempler på slike beslutninger kan være fordeling av arbeidsoppgaver for drift og informasjonssikkerhet mellom ledelse, drifts- og sikkerhetspersonell og den enkelte bruker, eventuelt krav til at konfidensielle personopplysninger behandles i informasjonssystem uten tilkobling til eksterne datanett, og bruk av leverandører for å få utført sikkerhetsoppgaver.

Virksomhetens ledelse skal jevnlig, eksempelvis årlig, gjennomgå sikkerhetsmål og strategi. Slik ledelsesgjennomgang vil ha som formål å vurdere hvorvidt de beslutninger som er tatt, er i samsvar med virksomhetens behov for informasjonsteknologi og informasjonssikkerhet. Gjennomgangen vil danne grunnlag for eventuelle endringer av sikkerhetsmål eller strategi. Praktisk kan ledelsesgjennomgang gjennomføres innenfor rammen av årlig økonomi- eller virksomhetsplanlegging.

til § 2-4Risikovurdering

Bestemmelsen pålegger den behandlingsansvarlige å holde oversikt over de personopplysninger som behandles med elektroniske hjelpemidler, sammen med angivelse av hvilke opplysninger det er nødvendig å sikre konfidensialitet, tilgjengelighet eller integritet for. Oversikten benyttes som del av grunnlaget for risikovurderingen.

Den behandlingsansvarlige skal fastlegge kriterier for den risiko som kan aksepteres, eller eventuelt må reduseres ved hjelp av sikkerhetstiltak. Slike beslutninger kan overprøves i de tilfeller der Datatilsynet ikke finner informasjonssikkerheten tilfredsstillende, jf. § 2-2.

Den behandlingsansvarlige skal klarlegge sannsynlighet for, og konsekvens av sikkerhetsbrudd ved hjelp av risikovurdering. Begrepet "risikovurdering" er valgt i stedet for den mer formelle betegnelsen "risikoanalyse". Dette for å signalisere at arbeidet med å avdekke risiko ikke bør være mer omfattende eller formalisert en strengt tatt nødvendig. Begrepet "risikovurdering" er også valgt i stedet for "sårbarhetsanalyse" som normalt benyttes kun til å beskrive vurdering av motstandsdyktighet mot uønskede hendelser.

Risikovurdering skal gjennomføres før behandling av personopplysninger med elektroniske hjelpemidler settes i gang, og deretter ved endringer med betydning for informasjonssikkerheten. Dette kan være endringer som følger av beslutninger hos den behandlingsansvarlige, eller hendelser den behandlingsansvarlige ikke har herredømme over, eksempelvis endringer i trusselbildet, feil i standard programvare eller lignende. Risikovurdering kan utføres med utgangspunkt i norsk standard NS-5814, Krav til risikoanalyser.

Resultat av risikovurdering skal sammenlignes med de fastlagte kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Resultatet benyttes som del av grunnlaget for valg av de konkrete sikkerhetstiltak som må etableres.

til § 2-5Sikkerhetsrevisjon

Bestemmelsen pålegger den behandlingsansvarlige jevnlig, eksempelvis årlig, å etterprøve sikkerhetsarbeidet for å verifisere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt. Ved sikkerhetsrevisjon sammenlignes faktisk bruk av informasjonssystemet med de retningslinjer for slik bruk som er besluttet. Slik revisjon må ikke blandes sammen med ledelsens gjennomgang av sikkerhetsmål og strategi, jf. § 2-3, hvor formålet er å vurdere ledelsens beslutninger opp mot virksomhetens behov for informasjonsteknologi og informasjonssikkerhet. Resultatet fra sikkerhetsrevisjonen vil imidlertid være del av grunnlaget for slike gjennomganger.

Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerheten. Praktisk kan sikkerhetsrevisjoner gjennomføres etter de samme fremgangsmåter som benyttes i HMS-arbeidet, jf. forskrift 6. desember 1996 nr. 1127 om systematisk helse-, miljø- og sikkerhetsarbeid i virksomheter (internkontrollforskriften).

til § 2-6Avvik

Bestemmelsen pålegger den behandlingsansvarlige å behandle uønskede hendelser i informasjonssystemet med formål å gjenopprette normal tilstand og å hindre gjentagelse. Avviksbehandling iverksettes ved sikkerhetsbrudd og/eller når oppgaver er utført i strid med de rutiner som er besluttet.

Avviksbehandling vil normalt omfatte rapportering, strakstiltak, permanent korrigering av avvik og oppfølging av korrigerende tiltak over tid for å vurdere om dette fungerer etter sin hensikt.

For de tilfeller der avviksbehandlingen har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet fra avviksbehandlingen.

til § 2-7Organisering

Bestemmelsen pålegger den behandlingsansvarlige å organisere arbeidet med informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås. Det skal etableres klare ansvars- og myndighetsforhold med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Ansvars- og myndighetsforhold skal dokumenteres og gjøres kjent for virksomhetens medarbeidere.

Det er viktig at ansvar og myndighet relatert til drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse), er klarlagt. Disse funksjoner er henholdsvis "utøvende" og "kontrollerende" og bør ideelt sett tillegges forskjellige medarbeidere i virksomheten. For mindre virksomheter kan det likevel være nødvendig å legge begge funksjoner til en og samme person. Arbeidsoppgaver for sikkerhetsleder vil normalt omfatte forberedelse av ledelsesgjennomganger, gjennomføring av sikkerhetsrevisjoner samt kontroll med risikovurdering og avviksbehandling.

Den behandlingsansvarlige pålegges videre å konfigurere informasjonssystemet slik at tilfredsstillende informasjonssikkerhet oppnås. Med "konfigurasjon" menes informasjonssystemets utforming, det vil si utstyr og program samt sammenkoblinger mellom disse. Informasjonssystemet konfigureres med utgangspunkt i beslutninger tatt av virksomhetens ledelse. Konfigurasjonen skal dokumenteres.

Ved valg av konfigurasjon skal virksomhetens behov for informasjonssikkerhet tillegges vekt, i tillegg til vurdering av økonomi og behov for funksjonalitet. Eksempelvis vil slik vurdering omfatte etablering av sikkerhetsbarrierer, bruk av nettverkssegmentering for å skille forskjellige behandlinger av personopplysninger fra hverandre i informasjonssystemet eller lignende.

Den behandlingsansvarlige pålegges å beslutte hvordan arbeidet med informasjonssystemet skal foregå. Slike beslutninger må gjøres kjent for virksomhetens medarbeidere i form av rutiner for bruk. Rutiner må ha et omfang og en detaljeringsgrad som sikrer at arbeidsoppgaver utføres med tilfredsstillende sikkerhet som resultat, og at de utføres likt hver gang de repeteres.

til § 2-8Personell

Den behandlingsansvarlige pålegges å begrense bruk av informasjonssystemet til det som er tjenstlig nødvendig. Som hovedregel vil all bruk av informasjonssystemet medføre risiko. Slik risiko reduseres til akseptabelt nivå ved hjelp av sikkerhetstiltak. Ved å begrense bruk av informasjonssystemet oppnås:

–minst mulig eksponering av personopplysninger overfor trusler

–at den behandlingsansvarlige kjenner til, og har vurdert risiko forbundet med den bruk av informasjonssystemet som pågår.

Bestemmelsen innebærer ikke et absolutt forbud mot medarbeideres private bruk av informasjonssystemet. Privat bruk må imidlertid være kjent for den behandlingsansvarlige, og kunne gjennomføres uten at behandling av personopplysninger utsettes for ytterligere trusler. Eksempelvis vil privat bruk av internett-tjenesten "world wide web" kunne tillates forutsatt at det ikke er nødvendig å etablere egne sikkerhetstiltak for å muliggjøre slik bruk, og at "WWW" også benyttes for tjenstlige formål.

Den behandlingsansvarlige skal registrere autorisert bruk av informasjonssystemet i den grad dette er nødvendig for gjennomføring av avviksbehandling, herunder oppklaring av sikkerhetsbrudd, og for drift av informasjonssystemet.

Bestemmelsen pålegger videre den behandlingsansvarlige å sørge for at virksomhetens medarbeidere har tilstrekkelig kompetanse til å bruke informasjonssystemet, samt å legge til rette for vedlikehold og heving av denne kompetansen. Bruk av avanserte datatekniske løsninger for behandling av personopplysninger, og rask datateknisk utvikling, stiller strenge krav til medarbeidernes kompetanse. Den behandlingsansvarlige vil ha behov for oversikt over medarbeideres kunnskaper om informasjonsteknologi og informasjonssikkerhet i forhold til kravene for den enkelte stilling/funksjon.

til § 2-9Taushetsplikt

Bestemmelsen pålegger taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. Taushetsplikten omfatter også informasjon om informasjonssystemet og om sikkerhetstiltak i den grad utlevering av slik informasjon kan få betydning for informasjonssikkerheten.

Taushetsplikten er ikke til hinder for at den behandlingsansvarlige kan informere om sikkerhetstiltak, jf. personopplysningsloven § 18, eller sende melding til Datatilsynet, jf. § 32. Det forutsettes at det ved risikovurdering er klarlagt at informasjon kan gis uten at dette truer informasjonssikkerheten. Til sammenligning kan nevnes at Datatilsynets taushetsplikt omfatter all informasjon om sikkerhetstiltak hos den behandlingsansvarlige, jf. personopplysningsloven § 45. Dette fordi Datatilsynet kun unntaksvis vil besitte nok informasjon til å foreta en fullstendig risikovurdering.

Den behandlingsansvarlige pålegges å informere medarbeideren om behovet for konfidensialitet og om de konsekvenser - både for egen del, for den behandlingsansvarlige, og for de personer opplysningene kan knyttes til - brudd på taushetsplikten kan medføre.

til § 2-10Fysisk sikring

Bestemmelsen pålegger den behandlingsansvarlige å hindre uautorisert adgang til utstyr benyttet for behandling av personopplysninger eller med betydning for informasjonssikkerheten. Eksempelvis skal tjener- og klientmaskiner, og utstyr benyttet som sikkerhetsbarrierer i virksomhetens datanett, fysisk sikres mot uautorisert adgang.

Fysisk sikring kan gjennomføres ved tilsyn/vakt, låsing/skjerming av det enkelte utstyr eller låsing/skjerming av lokaler. Tilsyn/vakt etableres eksempelvis ved hjelp av resepsjonstjeneste og ledsagelse av uautorisert personell (besøkende). Låsing/skjerming av utstyr oppnås eksempelvis ved fysiske sikkerhetsmekanismer integrert i utstyret. For låsing/skjerming av lokaler er det som hovedregel tilstrekkelig å etablere normal bygningsmessig sikkerhet.

til § 2-11Sikring av konfidensialitet

Begrepet konfidensialitet i denne bestemmelsen er ikke sammenfallende med konfidensialitetsbegrepet i sikkerhetsinstruksen.

Bestemmelsen pålegger den behandlingsansvarlige å hindre uautorisert innsyn i personopplysninger. Også informasjon om informasjonssystemet og om sikkerhetstiltak skal sikres mot uautorisert tilgang når dette kan få betydning for informasjonssikkerheten. Valg av hvilke opplysninger som det skal sikres konfidensialitet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen.

Den behandlingsansvarlige skal ved kryptering eller på annen møte sørge for nødvendig konfidensialitet ved overføring av personopplysninger i offentlige telenett. Reglene for kryptering gjelder også for overføring via private datalinjer som er utenfor det området virksomheten har sikret mot uautorisert adgang, jf. § 2-10. I slike tilfeller skal kryptering velges som nødvendig erstatning for konfidensialitetssikring som normalt oppnås ved fysisk sikring. Eksempel på annen sikring enn kryptering kan være anonymisering eller oppsplitting av teksten slik at teksten kun gir mening når en har tilgang til hele teksten.

Det skal tydelig fremgå om et lagringsmedium (harddisk, magnetbånd, kompaktdisk, diskett eller lignende) inneholder personopplysninger som det er nødvendig å sikre konfidensialitet for. Bestemmelsen inneholder ingen detaljerte krav til utforming eller metode. Den behandlingsansvarlige må selv velge merking som gir tilstrekkelig informasjon om konfidensialitetsbehovet, eksempelvis ved utveksling av lagringsmedia eller for å vurdere behovet for sletting av personopplysninger.

Bestemmelsen pålegger den behandlingsansvarlige å sørge for sletting av personopplysninger fra lagringsmedium som ikke lenger benyttes for behandling av personopplysningene. Bestemmelsen inneholder ingen detaljerte krav til metode. Valg av metode for sletting vil blant annet avhenge av om lagringsmediet skal benyttes til annen behandling av personopplysninger eller avhendes.

Ved avhending av lagringsmedia skal personopplysninger slettes fullstendig og permanent fra lagringsmediet, slik at det ikke er mulig, selv ved bruk av tekniske hjelpemiddeler, å gjenopprette tilgang til opplysningene. Som alternativ til sletting kan det være nødvendig å destruere lagringsmediet fysisk.

til § 2-12Sikring av tilgjengelighet

Bestemmelsen pålegger den behandlingsansvarlige å sikre nødvendig innsyn i opplysninger slik at behandling av personopplysninger kan gjennomføres som besluttet. Det skal også sikres tilgang til informasjon om informasjonssystemet og om sikkerhetstiltak når dette er nødvendig for sikkerhetsarbeidet. Valg av hvilke opplysninger som det skal sikres tilgjengelighet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen.

For personopplysninger som det skal sikres tilgjengelighet for, må den behandlingsansvarlige forberede alternativ behandling for de tilfeller informasjonssystemet ikke er tilgjengelig. Alternativ behandling kan gjennomføres ved duplisering av utstyr/program, eller ved hjelp av manuelle behandlingsrutiner.

Den behandlingsansvarlige skal reservekopiere (ta "backup" av) personopplysningene. Kravet til reservekopiering gjelder også for annen informasjon når dette er nødvendig for sikkerhetsarbeidet, eksempelvis for program og innstillinger av program, benyttet i sikkerhetstiltak.

til § 2-13Sikring av integritet

Bestemmelsen pålegger den behandlingsansvarlige å hindre utilsiktet endring av personopplysninger. Også informasjon om informasjonssystemet og om sikkerhetstiltak skal sikres mot uautorisert endring når dette er nødvendig for informasjonssikkerheten. Valg av hvilke opplysninger som det skal sikres integritet for, og hvilke sikkerhetstiltak som må etableres, følger av resultatet av risikovurderingen.

Den behandlingsansvarlige skal sørge for beskyttelse mot ødeleggende program, eksempelvis "datavirus" eller "malicious software". Slike program kan påvirke integritet for program benyttet for behandling av personopplysninger eller i sikkerhetstiltak, og medføre driftsforstyrrelser og gjøre informasjonssystemet utilgjengelig.

til § 2-14Sikkerhetstiltak

Bestemmelsen understreker at sikkerhetstiltak skal etableres både med formål å hindre sikkerhetsbrudd, og for å avdekke hendelser som kan forårsake sikkerhetsbrudd. Dette medfører at alle forsøk på uautorisert bruk av informasjonssystemet må registreres.

Sikring av konfidensialitet, tilgjengelighet eller integritet kan ikke utelukkende baseres på rutiner den enkelte medarbeider forutsettes å følge. Den behandlingsansvarlige må også etablere tiltak som fungerer uavhengig av medarbeidernes handlinger, eksempelvis i form av nettverks- eller applikasjonskontroll i sikkerhetsbarrierer. Sikkerhetstiltak bør etableres slik at funksjonen til to uavhengige tiltak må påvirkes før et sikkerhetsbrudd får betydning for konfidensialitet, tilgjengelighet eller integritet for personopplysningene.

Sikkerhetstiltak skal dokumenteres. De handlinger den enkelte forutsettes å utføre for å oppnå tilfredsstillende informasjonssikkerhet, skal fremgå av rutiner.

til § 2-15Sikkerhet hos andre virksomheter

Bestemmelsen understreker at den behandlingsansvarlige kun kan overføre personopplysninger til kommunikasjonspartnere, eksempelvis databehandlere, som tilfredsstiller bestemmelsene i dette avsnittet. Formålet med bestemmelsen er blant annet å sikre et harmonisert sikkerhetsnivå i hele kommunikasjonsskjeden.

Unntaket fra bestemmelsen gjelder bl.a. ved overføring til utlandet, jf. personopplysningsloven §§ 29 og 30. Overfor mottakere utenfor Norge gjelder ikke bestemmelsene i dette kapittelet.

Som hovedregel skal den behandlingsansvarlige selv etablere nødvendige sikkerhetstiltak. For enkelte virksomheter, spesielt mindre virksomheter uten tilstrekkelige ressurser, vil dette ofte ikke være praktisk å gjennomføre. Et alternativ til egen etablering av sikkerhetstiltak kan være å få utført sikkerhetsoppgaver hos underleverandør. Fordeling av sikkerhetsoppgaver mellom virksomheten og leverandøren, skal i "sum" gi informasjonssikkerhet som minst tilfredsstiller kravene i dette kapittelet.

Forholdet mellom den behandlingsansvarlige og kommunikasjonspartnere eller leverandører, skal være klarlagt og beskrives i avtale.

Den behandlingsansvarlige skal være kjent med sikkerhetsarbeidet hos kommunikasjonspartnere eller leverandører gjennom kunnskap om sikkerhetsstrategien til slike virksomheter. Videre skal den behandlingsansvarlige forsikre seg om at informasjonssikkerheten hos partner/leverandør er tilfredsstillende. Dette kan oppnås ved at den behandlingsansvarlige meddeles de resultater fra ledelsesgjennomganger, sikkerhetsrevisjoner og avviksbehandling som er relevante for forholdet til partner/leverandør.

til § 2-16Dokumentasjon

Bestemmelsen understreker kravet til dokumentasjon, jf. personopplysningsloven § 13. Dokumentasjonskravet omfatter i tillegg til beskrivelse av tekniske sikkerhetstiltak, også rutiner for arbeid med informasjonssystemet og registrering av hendelser. Dokumentasjonens omfang og detaljeringsgrad må være i samsvar med sikkerhetsbehovet.

Den behandlingsansvarlige skal arkivere dokumentasjon med betydning for informasjonssikkerheten. Formålet med slik lagring er å muliggjøre sporing og korrigering av avvik over tid. Lagringstid er 5 år fra det tidspunkt dokumentet, eksempelvis en rutinebeskrivelse, ble tatt ut av bruk, eller fra tidspunktet for registrering av en hendelse. Lagringstiden er harmonisert med de krav som normalt stilles innen kvalitetsstyring, eksempelvis i ISO-9001, Kvalitetssystemer, Modell ved utvikling, konstruksjon, tilvirkning, installasjon og ettersyn.

For hendelsesregistre gjelder en lagringstid på 3 måneder. Den relativt korte lagringstiden er begrunnet ut fra den store mengde data som akkumuleres ved slik registrering.

Til kapittel 3 Internkontroll

Bestemmelsene om internkontrollens formål og virkeområde tilsvarer personopplysningslovens bestemmelser om det samme. Hvor strenge krav som konkret stilles til internkontrollen, herunder dokumentasjonskrav og dermed hvor tyngende kravene blir, vil avhenge av hva slags personopplysningsbehandling som foregår.

til § 3-1Systematiske tiltak for behandling av personopplysninger

Bestemmelsen pålegger den behandlingsansvarlige å ha et system som sikrer gjennomføring av de pliktene loven pålegger. Av pedagogiske hensyn er det valgt ut og listet opp sentrale bestemmelser i denne sammenheng. Opplistingen har ikke negativ troverdighet. Også andre bestemmelser i regelverket omfattes av internkontrollplikten, og behandlingsansvarlige må ha rutiner også for etterlevelse av disse bestemmelsene.

til § 3-2Dispensasjon

Det bør ikke være enkelt å få dispensasjon fra forskriften bl.a. fordi internkontrollsystemet er et av de sentrale kontrollinstrumenter personopplysningsloven oppstiller. Ved vurdering av om dispensasjon skal gis, bør det legges vekt på konsekvensene av en dispensasjon. Spørsmål om dispensasjon kan særlig bli aktuell for mindre virksomheter.

Til kapittel 4Kredittopplysningsvirksomhet

Justiskomiteen uttalte i Innst.O. nr. 51 (1999-2000) at det er ønskelig med en ny lovregulering av kredittopplysningsvirksomhet. Det er på den annen side ikke lenge siden Datatilsynet gjennomførte en større revisjon av vilkårene for bruk av personopplysninger i kredittopplysningsvirksomhet. Det fremstår derfor ikke som påkrevet å revidere det eksisterende regelverket nå. I påvente av en ny lovregulering av kredittopplysningsvirksomhet har en derfor valgt å videreføre reglene om kredittopplysningsvirksomhet i personregisterloven og personregisterforskriften (forskrift 21. desember 1979 nr. 22 i medhold av lov om personregistre m.m.). Også de konsesjonsvilkårene som Datatilsynet har gitt i medhold av personregisterloven, bør videreføres så langt regelverket ikke er i strid med personopplysningslovens regler.

Bestemmelsene i konsesjonsvilkårene som pålegger kredittopplysningsbyråene å gi forhåndsvarsel til registrerte enkeltpersoner, er ikke videreført. Det er tvilsomt om personopplysningsloven gir hjemmel for å pålegge slik varsling. Etter § 20 vil det være tilstrekkelig å varsle samtidig som det utleveres kredittopplysninger.

Bestemmelsene i dette kapittelet er midlertidige, og gjelder i påvente av en bredere gjennomgang og eventuell ny lovregulering av kredittopplysningsvirksomhet.

til § 4-1Forholdet til personopplysningsloven

På denne bakgrunn synes det naturlig å fastsette i forskriftsform at meddelte konsesjonsvilkår for kredittopplysningsforetakenes bruk av personopplysninger, fortsetter å gjelde inntil reglene avløses av lov. Datatilsynet vil revidere konsesjoner slik at de blir i samsvar med personopplysningsloven. Dette arbeidet vil også danne grunnlag for behandling av nye konsesjonssøknader.

til § 4-2Definisjon av kredittopplysningsvirksomhet

Bestemmelsen viderefører personregisterloven § 13 og personregisterforskriften §§ 4-1 og 4-4. Bestemmelsens siste ledd er tilpasset kongelig resolusjon 21. desember 1979 nr. 7 der det heter at Kongens myndighet til ved enkeltvedtak å dispensere fra personregisterlovens regler om kredittopplysningsvirksomhet, delegeres til Datatilsynet. Samtidig er forskriftshjemmelen i personregisterloven § 13 annet ledd første punktum fjernet. Innholdet av den gamle forskriften som ble gitt i medhold av personregisterloven § 13, er inntatt som en del av personopplysningsforskriften § 4-2.

Opplistingen i § 4-2 nr. 2 er ajourført i forhold til de lovendringer som er foretatt siden personregisterforskriften sist ble revidert.

Det er ikke tatt med en bestemmelse tilsvarende personregisterloven § 13 siste ledd, fordi personopplysningsloven ikke gir hjemmel til å gi den type forskrift om annen personopplysningsvirksomhet.

til § 4-3Utlevering av kredittopplysninger

Bestemmelsen viderefører i sin helhet personregisterloven §§ 17 og 18. Personregisterforskriften § 4-5, som delegerer enkeltvedtaksmyndighet, jf. personregisterloven § 17 annet ledd, til Datatilsynet, er ikke videreført. Dette skyldes alene at personregisterloven § 17 annet ledd allerede er opphevet, og at det således skyldes en forglemmelse at forskriften § 4-5 ikke er opphevet.

til § 4-4Innsynsrett og informasjon til den registrerte

Bestemmelsen viderefører personregisterloven §§ 19 og 20 første ledd. § 20 annet ledd om godtgjøring er ikke videreført, fordi etter personopplysningsloven § 17 skal all bruk av rettigheter i henhold til personopplysningsloven være gratis.

I medhold av personopplysningsloven §§ 18 og 24 kan den enkelte kreve å få opplyst hva foretaket har lagret om dem selv til bruk i kredittopplysningsøyemed. Foretaket plikter også å opplyse hvem som har bestilt opplysningene, og hvem det har mottatt opplysningene fra. Svar skal gis skriftlig om ikke vedkommende har samtykket i at det blir gitt på annen måte. Blir opplysning om hva et register inneholder gitt i form av et sammendrag, eller har foretaket lagret opplysninger som ikke gjengis fullstendig, skal det opplyses om dette i svaret.

til § 4-5Tillatelse til å drive kredittopplysningsvirksomhet

Bestemmelsen tilsvarer til en viss grad personregisterloven § 14. I stedet for å videreføre konsesjonsplikt for selve kredittopplysningsvirksomheten og føring av personregister, videreføres bare konsesjonsplikt for føring av det personregister som benyttes i kredittopplysningsvirksomheten. Bakgrunnen for dette er at det sentrale å regulere i kredittopplysningsvirksomhet er innsamling og bruk av personopplysninger. Dersom Datatilsynet mener at det er bestemmelser i virksomhetskonsesjonene som bør videreføres, kan det treffe enkeltvedtak overfor det enkelte foretak med hjemmel i personopplysningsloven § 33 og forskriften.

Personregisterforskriften § 4-2, som hjemler unntak fra plikten til å søke virksomhetskonsesjon for kredittopplysning, synes etter dette ikke aktuell å videreføre.

til § 4-6Gyldighet av konsesjoner gitt i medhold av personregisterloven

Selv om konsesjonen er gitt i medhold av personregisterloven, skal klageadgangen følge den nye lovens regler. Rett klageinstans er derfor Personvernnemnda, jf personopplysningsloven § 51 nr.3 og forskriften § 9-1.

til § 4-7Datatilsynets kompetanse

Bestemmelsen åpner for at Datatilsynet kan frita den behandlings-ansvarlige fra plikter pålagt etter bestemmelsene i kapittel 4.

Til Kapittel 5Reservasjonsregisteret

Etter personopplysningsloven § 26 kan Kongen opprette et sentralt reservasjonsregister for direkte markedsføring som gir enkeltpersoner adgang til å sperre sitt navn mot bruk til direkte markedsføring. Foretak og andre som markedsfører direkte, vil ha plikt til å oppdatere sitt eget adresseregister mot reservasjonsregisteret slik at en unngår direkte markedsføring overfor personer som har reservert seg, jf loven § 26 tredje ledd.

Dersom det blir lovfestet krav om forhåndssamtykke fra mottakeren før direkte markedsføring kan finne sted, vil det kunne bli aktuelt å utvide Reservasjonsregisteret til også å være et "samtykkeregister" i forhold til et slikt krav.

I § 10-5 er det gitt en overgangsregel som medfører at ingen plikter å oppdatere sitt adresseregister for direkte markedsføring før 1. april 2001. For det første trenger næringslivet antakelig et noe tid på å innrette seg etter oppdateringsplikten. For det annet vil det gå noen tid før Reservasjonsregisteret inneholder tilstrekkelig mange reservasjoner til at oppdateringen fremstår som meningsfull.

til § 5-1Innledning

Med "direkte markedsføring" menes direkte henvendelser til enkeltpersoner for å selge varer, tjenester eller medlemskap, jf. Ot.prp. nr. 92 (1998-99) side 123.

Det sentrale reservasjonsregisteret føres av Registerenheten i Brønnøysund.

til § 5-2Reservasjonsadgangen

En reservasjon vil dekke direkte markedsføring gjennom alle aktuelle medier, som f.eks. post, faks, e-post og telefon. Dersom det viser seg å være behov for det, vil Reservasjonsregisteret på et senere tidspunkt kunne utvikles slik at den enkelte kan spesifisere hvilke medier reservasjonen skal omfatte.

Det er imidlertid åpnet for å unnta markedsføring fra humanitære og samfunnsnyttige organisasjoner og foreninger fra reservasjonen. Mange av de som ønsker å reservere seg mot adressert reklame vil kunne ha et annet syn på slik markedsføring fra humanitære og samfunnsnyttige organisasjoner og foreninger enn på adressert markedsføring som det står kommersielle interesser bak. Uttrykket "humanitære og samfunnsnyttige organisasjoner og foreninger" er ikke skarpt, men veiledning kan søkes i tolkningen og praktiseringen av lotteriloven som i utgangspunktet forbeholder lotterivirksomhet for slike organisasjoner og foreninger. I begge tilfeller er siktemålet å gi slike organisasjoner og foreninger en særlig adgang til å skaffe midler til virksomheten som ikke står åpen for alminnelige, kommersielle interesser.

til § 5-3Fremgangsmåten ved registrering m.m.

Det vil være gratis å bruke registeret til å reservere seg mot direkte markedsføring. Av hensyn til brukerne bør det fremgå av forskriften hvordan en går frem for å registrere seg m.m.

til § 5-4Utlevering av opplysninger m.m.

Registeret skal være selvfinansierende i den forstand at de som plikter å oppdatere sine adresseregistre mot reservasjonsregisteret, skal betale kostnadene ved utvikling, opprettelse og drift av registeret. I stedet for en prisliste bygget på en usikker forhåndsberegning av kostnadene og antallet "vaskepliktige", stiller forskriften opp et prinsipp for prisfastsettelsen som Registerenheten må holde seg innenfor, jf. første ledd.

Ved utleveringen av opplysninger fra Reservarsjonsregisteret må hensynet til de registrertes personvern ivaretas, jf. annet ledd.

Dersom Registerenheten skal "vaske" adresseregistre, må det avtales en særskilt pris for dette, jf. tredje ledd.

Til Kapittel 6Overføring av personopplysninger til utlandet

Dette kapittelet gjengir bestemmelsene i personverndirektivet 95/46/EF artikkel 25 nr. 4 og 6, og artikkel 26 nr. 3 og 4. Dersom Norge beslutter å tillate overføring av personopplysninger til tredjeland som ikke har tilfredsstillende beskyttelsesnivå, skal dette meldes EU-kommisjonen og de øvrige medlemsstatene. Norge må også ha et system for å følge beslutninger fattet av EU-kommisjonen vedrørende tredjeland som ikke gir tilfredsstillende beskyttelse ved behandling av personopplysninger, og som det derfor ikke skal overføres opplysninger til, jf. artikkel 25. Norge må også følge kommisjonens beslutninger om at enkelte tredjeland skal anses for å ha tilfredsstillende beskyttelsesnivå selv om de ikke tilfredsstiller direktivet artikkel 25 nr. 2. Datatilsynet blir ansvarlig for etterlevelse av de aktuelle meldepliktene i direktivet.

Beslutningene 2000/518/519/EF og 2000/520/EF er publisert i EF-tidende 25. august 2000.

Til Kapittel 7Melde- og konsesjonsplikt

I Ot.prp. nr. 92 (1998-99) side 128 heter det i merknadene til § 31 fjerde ledd at unntak fra meldeplikt i utgangspunktet bare bør gjøres når det er på det rene at behandlingen er helt ufarlig fra et personvernsynspunkt. Unntak skal ikke gjøres av rene ressurshensyn. Ved vurderingen av om det skal gjøres unntak fra meldeplikten, må det sentrale være om personvernet til de registrerte ivaretas tilfredsstillende selv om behandlingen ikke er innmeldt. Det er også viktig at Datatilsynet og publikum enkelt kan skaffe seg kunnskap om den behandlingsansvarlige og den aktuelle behandlingen fra andre kilder, slik at vedkommende kan kontaktes f.eks. i forbindelse med kontroll eller begjæringer om innsyn etter personopplysningsloven § 18.

I Innst.O. nr. 51 (1999-2000) uttaler Justiskomiteen at unntak fra konsesjonsplikt etter personregisterloven vil være et "…godt utgangspunkt for å vurdere hvilke unntak det er hensiktsmessig og fornuftig å ha i forhold til meldeplikten". På bakgrunn av uttalelsene i Ot.prp. nr. 92 (1998-99) sammenholdt med Innst.O. nr. 51 (1999-2000), er noen av unntakene fra konsesjonsplikt i personregisterforskriften videreført. Det er vesentlig forskjell på konsesjonsplikt, som innebærer en forhåndskontroll, og meldeplikt. Noen av de registrene som er fritatt fra konsesjonsplikt etter personregisterloven, egner seg godt for meldeplikt. Meldeplikt er langt mindre tyngende for de behandlingsansvarlige enn konsesjonsplikt. Samtidig vil meldeplikten gjøre de behandlingsansvarlige bevisste på det gjeldende regelverket. Det er derfor lagt opp til en relativt bred meldeplikt.

Det er verdt å merke seg at den behandlingsansvarlige plikter å ha tilgjengelig informasjon også om behandlinger som ikke er underlagt meldeplikt, jf. personopplysningsloven § 18. Denne informasjonen samsvarer i stor grad med meldingenes innhold, jf. § 32.

Når det gjøres unntak fra konsesjonsplikten i henhold til personopplysningsloven § 33, inntrer lovens hovedregel som er meldeplikt, jf. § 31. For enkelte behandlinger kan det også være ønskelig å frita fra denne meldeplikten. Det er anledning til å gjøre flere unntak for samme behandling, dvs. først frita fra konsesjonsplikt etter § 33, og så frita fra meldeplikt eller innføre forenklet meldeplikt etter § 31. Ut fra praktiske og pedagogiske hensyn gis det i samme bestemmelse unntak fra både konsesjonsplikt og meldeplikt for samme behandling.

Behandlinger som er fritatt fra konsesjonsplikt etter personregisterloven, men som det ikke er gjort unntak for etter personopplysningsloven:

Konsesjonsfritak for registre opprettet av beredskapshensyn eller av hensyn til rikets sikkerhet ( tilsvarer bestemmelser i kongelig resolusjon 21. desember 1979 nr. 7). Disse registrene vil trolig sjelden være konsesjonspliktige etter personopplysningsloven § 33 fordi de sjelden inneholder sensitive opplysninger. De vil imidlertid som hovedregel være meldepliktige etter § 31. Det synes ikke å være nødvendig å frita dem fra meldeplikt.

For de tilfellene hvor registrene unntaksvis skulle inneholde sensitive opplysninger, vil behandlingene i henhold til personopplysningsforskriftens bestemmelser om personopplysningslovens saklige virkeområde, være unntatt fra konsesjonsplikt, jf. personopplysningsloven § 33, og fra tilsynsmyndighetens tilgang til opplysninger, jf. § 44. Ytterligere unntak fra konsesjonsplikt i dette kapittelet er således ikke nødvendig.

Innkomne meldinger, jf. personopplysningsloven § 31, vil kunne unntas fra innsynsretten etter § 18 jf. § 23, og således også unntas fra Datatilsynets offentlige fortegnelse, jf. § 42 tredje ledd nr. 1.

Katalogfirmaregistre (tilsvarer personregisterforskriften § 2-5) og registre som utleveres elektronisk (tilsvarer personregisterforskriften § 2-21). Dette er regler gitt særskilt for registre inneholdende opplysninger om juridiske personer. Reglene er således ikke aktuelle etter personopplysningsloven.

Utgivelse av leksika (tilsvarer personregisterforskriften § 2-13) og dags- og ukepressens registre (tilsvarer personregisterforskriften § 2-14). Disse behandlingene omfattes ikke av reglene om melde- og konsesjonsplikt, jf. personopplysningsloven § 7.

Salgsstøtteregistre (tilsvarer personregisterforskriften § 2-7). Disse registrene vil den registrerte sjelden ha kunnskap om før det skjer en (uønsket) markedsføringshenvendelse. Det vil således være nyttig både for de registrerte og for Datatilsynets kontrollformål at denne type behandlinger meldes til Datatilsynet, slik at informasjon om behandlingen vil kunne skaffes fra Datatilsynets register over meldepliktige behandlinger.

Arkiv(tilsvarer personregisterforskriften § 2-19). Offentlige arkiv i arkivinstitusjon er regulert av lov 4. desember 1992 nr. 126 om arkiv, og de er derigjennom fritatt fra konsesjonsplikt i medhold av personopplysningsloven § 33 fjerde ledd. Andre arkiv er ikke isolerte behandlinger men må i stedet regnes som del av virksomhetens behandling av personopplysninger for definerte formål, og følge de alminnelige reglene om melde- eller konsesjonsplikt for denne behandlingen.

til I Konsesjonsplikt m.m.

til § 7-1Konsesjonsplikt for behandling av personopplysninger i telesektoren

I telesektoren behandles etter hver en rekke personopplysninger i ulike selskaper. Disse behandlingene vil være av en slik karakter at det er nødvendig å undergi dem en konsesjonsbehandling.

til § 7-2Konsesjonsplikt for behandling av personopplysninger i forsikringsbransjen

Forsikringsselskapers behandling av personopplysninger vil ofte være av en slik karakter at de representerer en ikke ubetydelig personverntrussel. Disse behandlingene vil det derfor være nødvendig å konsesjonsbehandle. Personopplysningsloven inneholder langt flere materielle regler som ivaretar de registrertes personvern. For behandling av sensitive personopplysninger vil særlig lovens og forskriftens bestemmelser om sikring av personopplysninger være sentrale. Det er også viktig å være oppmerksom på at det arbeides med lovregulering av forsikringsselskapenes adgang til å registrere og benytte helseopplysninger (Legeforsikringsutvalget). Resultatet av dette arbeidet kan få betydning for i hvilken utstrekning personopplysningsloven kan nyttes som grunnlag for å regulere behandling av personopplysninger i forsikringsvirksomhet.

til § 7-3Konsesjonsplikt for bankers og finansinstitusjoners behandling av personopplysninger

I banker og finansinstitusjoner behandles en rekke sensitive personopplysninger. Dette er også forhold som vil være av stor viktighet for den enkelte. Bankene innehar store mengder personopplysninger. Mye av dette er overskuddsinformasjon. Det er derfor nødvendig å undergi disse en konsesjonsbehandling.

til § 7-4Datatilsynets kompetanse

Bestemmelsen åpner for at Datatilsynet kan beslutte at en personopplysningsbehandling som er omfattet av forskriftens unntak, allikevel skal underlegges melde- eller konsesjonsplikt. På den måten kan Datatilsynet fange opp én bestemt personopplysningsbehandling som måtte utmerke seg som en spesiell trussel mot de registrertes personvern, og underlegge denne behandlingen særskilt regulering.

Det bør bemerkes at for de behandlingene som ikke er omfattet av § 7-4, kan Datatilsynet pålegge konsesjon i medhold av personopplysningsloven § 33 andre ledd.

til § 7-5Meldeskjema

For å oppnå en mest mulig enhetlig og enkel behandling av meldinger til Datatilsynet, er det nødvendig at meldingene gis på et standardskjema. Med det store antall meldinger som Datatilsynet vil motta, er det viktig at arbeidet standardiseres mest mulig.

til IIBehandlinger som er unntatt fra meldeplikt

til § 7-6Unntak fra meldeplikt

Bestemmelsen regulerer behandling av personopplysninger hvor behandlingen ikke er undergitt meldeplikt. Det er viktig å merke seg at selv om en behandling ikke er underlagt meldeplikt, skal øvrige regler etter personopplysningsloven følges.

til § 7-7Kunde-, abonnent- og leverandøropplysninger

Bestemmelsen regulerer alle elektroniske kunderegistre uten sensitive opplysninger, samt eventuelle manuelle sensitive registre. Elektroniske kunderegistre med sensitivt innhold reguleres av § 7-14. Slike behandlinger reguleres i særskilt bestemmelse i kapittelets del om unntak fra konsesjons- og meldeplikt.

En kontraktsforpliktelse påhviler partene til oppgjør har funnet sted, leid vare er tilbakelevert, fakturering har funnet sted ol. Formålsangivelsen fungerer derfor også som en begrensning med hensyn til hvor lenge opplysninger kan være lagret. Bestemmelsen bør kunne gjelde både for salg, utleie og utlånsvirksomheter (f.eks. bibliotek). Regelen må være at opplysninger om hvilken gjenstand kunden har leid eller lånt, skal slettes når gjenstanden er tilbakelevert. Dette hindrer at utleier eller utlåner bygger opp en base inneholdende historikk om utleide og lånte gjenstander. Slik informasjon vil lett kunne benyttes til å danne uønskede profiler av kundene.

Senere bruk av kundeopplysninger i markedsføring vil være en ny type behandling, som det må foreligge hjemmel for i personopplysningsloven §§ 8 og 11. Bruken av opplysningene vil da være ledd i gjennomføring av ny kontraktsforpliktelse, nemlig avtalt bruk av personopplysninger til markedsføring til den registrerte. Også denne behandlingen vil være dekket av § 7-7, under forutsetning av at personopplysningslovens øvrige krav til behandlingen er oppfylt. Dersom den registrerte ikke samtykker i videre bruk av opplysningene i markedsføring, må opplysningene slettes, eventuelt overføres til et salgsstøtteregister over mulige kunder, dersom det foreligger grunnlag for opprettelse av et slikt.

til § 7-8Opplysninger om leietakere og boligsameiere mv.

Det er i liten grad sensitive opplysninger registreres i slike registre. Det er derfor hensiktsmessig å unnta dem fra meldeplikt. Men dersom opplysningene behandles til andre formål enn de rent administrative formål som er nødvendige for å administrere og gjennomføre kontraktsforpliktelsen, er ikke behandlingen lenger unntatt fra meldeplikt.

til § 7-9Aksjebok

Behandling av denne type personopplysninger følger av egen lovgivning. Det er derfor ikke betenkelig å unnta disse behandlingene fra meldeplikt.

til § 7-10Protokollføring av mekling

Behandling av denne type personopplysninger følger av egen lovgivning. Det er derfor ikke betenkelig å unnta behandlingen fra meldeplikt.

til § 7-11Aktivitetslogg i edb-system eller datanett

Bestemmelsen er en videreføring av innholdet i personregisterforskriften § 2-20. Innholdet i bestemmelsen er nærmere fastlagt gjennom Datatilsynets praksis. Formålsangivelsen i siste ledd er tatt med for å klargjøre at loggopplysninger ikke kan brukes til f.eks. administrative tiltak overfor de enkelte ansatte.

til § 7-12Personvernombud

Personverndirektivet 95/46/EF artikkel 18 nr. 2 annet strekpunkt åpner for å innføre en ordning med personvernombud, jf. Ot.prp. nr. 92 (1998-99) side 57. Etter ordningen skal den behandlingsansvarlige utpeke en person med ansvar for beskyttelse av personopplysninger. Datatilsynet kan da samtykke i at det gjøres unntak fra den meldeplikten som ellers foreligger. Ombudet skal være en fysisk person. Vedkommende som utpekes, skal ha ansvar på et bestemt og begrenset område. Ombudet skal føre fortegnelser over behandlinger og behandlingsansvarlige, kontrollere den behandlingsansvarliges behandlinger og bistå de registrerte med å ivareta sine rettigheter etter personopplysningsloven og forskrifter gitt i medhold av den. Ordningen innebærer at meldinger sendes til ombudet i stedet for Datatilsynet.

Dersom ombudet har mistanke om brudd på reglene om behandling av personopplysninger, skal dette påpekes overfor den behandlingsansvarlige og meddeles Datatilsynet.

I forbindelse med godkjenning av ombudet kan Datatilsynet stille konkrete krav til vedkommende. Datatilsynet vil også kunne trekke tilbake samtykket som er gitt. Det må kunne avtales hvilke opplysninger ombudet skal overføre til Datatilsynet.

til IIIBehandlinger som er unntatt fra konsesjonsplikt og meldeplikt

til § 7-13Unntak fra konsesjonsplikt og meldeplikt

Bestemmelsen omhandler behandlinger som ikke er verken konsesjonspliktige eller meldepliktige. Det er imidlertid viktig å merke seg at andre bestemmelser etter personopplysningsloven skal følges når personopplysningene behandles.

til § 7-14Sensitive kundeopplysninger

Bestemmelsen regulerer elektroniske behandlinger med sensitive opplysninger hos frisører, leverandører av medisinsk utstyr til privat bruk og andre som måtte ha saklig behov for sensitive opplysninger om sine kunder. Det ligger her i kontraktsforholdet at leverandøren av varen eller tjenesten i mange forhold må behandle sensitive personopplysninger for å kunne levere det kunden ønsker.

At den registrerte har gitt et generelt samtykke til behandling av personopplysninger, er ikke tilstrekkelig for unntak fra melde- og konsesjonsplikten, jf. personopplysningsloven § 8. Samtykket skal være konkret i forhold til de sensitive opplysningene. Dette følger av § 9 første ledd bokstav a, men er gjentatt i forskriften for å understreke viktigheten av dette vilkåret. Dersom et slikt samtykke ikke foreligger, er behandlingen melde- og konsesjonspliktig.

til § 7-15Foreningers medlemsopplysninger

Behandlingene unntas både fra meldeplikt og konsesjonsplikt. Det er verdt å merke seg at konsesjonsfritak for behandling av personopplysninger i foreninger som registrerer sensitive opplysninger om sine medlemmer, er betinget av at medlemmet har samtykket særskilt til registrering av de sensitive opplysningene. Dette betyr at det for unntak fra konsesjons- og meldeplikt ikke er tilstrekkelig at den registrerte har gitt et generelt samtykke til behandling av personopplysninger, jf. personopplysningsloven § 8. Samtykket skal være konkret i forhold til de sensitive opplysningene, jf. § 9 og under merknadene til § 7-14. Det er også et vilkår at registrerte opplysninger bare benyttes til administrasjon av foreningens virksomhet. Dette betyr at de melde- og konsesjonsfritatte behandlingene f.eks. ikke kan nyttes som grunnlag for adressemekling.

til § 7-16Personellregistre mv.

Arbeidsgivers behandling av personalopplysninger fritas fra konsesjonsplikt. De vil imidlertid være underlagt meldeplikt etter personopplysningsloven § 31. I motsetning til gjeldende bestemmelse om konsesjonsfritak, jf personregisterforskriften § 2-12, er det i personopplysningsforskriften ikke listet opp hvilke opplysninger som kan registreres. Forutsetningen for at behandlingen er unntatt fra meldeplikt er at opplysninger av sensitiv karakter er begrenset til å gjelde fagforening, fravær og arbeidsrelatert skade og sykdom. Bakgrunnen er at den ansattes avlevering av opplysningene om medlemskap i fagforeninger er frivillig. Opplysningene avgis hovedsakelig til bruk for direkte trekk av fagforeningskontingent, som rent praktisk kan vurderes som en "betalingsformidlingstjeneste" fra arbeidsgiveren. Opplysningene vil også i stor grad være avgitt uoppfordret, og sammenholdt med personopplysningsloven § 33 første ledd andre punktum tilsier det at unntak fra meldeplikt er mindre betenkelig. Arbeidsgiver kan imidlertid også ha behov for denne type opplysninger i forbindelse med lønnsforhandlinger.

Når det gjelder fraværsopplysninger er arbeidsgivers behov for opplysninger etter personregisterforskriften § 2-12 vurdert å være begrenset til fraværsdato, type fravær og varighet, med tillegg av enkelte opplysninger pålagt registeret i henhold til arbeidsmiljøloven. Behovet antas ikke å ville endres ved ikrafttredelse av personopplysningsloven hvor §§ 8, 9, 11 og 28 vil komme til anvendelse. I enkelte tilfeller kan det også være behov for opplysninger om helse for å tilrettelegge arbeidssituasjonen, eksempelvis ved allergi.

til § 7-17Personopplysninger om offentlige representanter

Bestemmelsen er tatt med fordi opplysninger om politisk eller religiøs tilhørighet vil være sensitive etter personopplysningsloven § 2 nr. 8 bokstav a. Melde- og konsesjonsfritaket begrenses til å gjelde organenes egne behandlinger av opplysninger om egne representanter. Dette er en innstramming i forhold til bestemmelsene gitt i medhold av personregisterloven. Løsningen er valgt for at det ikke skal være adgang til å behandle absolutt alle opplysninger om denne type offentlige personer, f.eks. i sjikanøs hensikt.

Unntaket fra meldeplikt og konsesjonsplikt gjelder ikke behandling av religiøs tilhørighet for Stortingets representanter. Det er heller ikke ment å unnta fra meldeplikt og konsesjonsplikt behandling av representantenes økonomiske interesser og de opplysninger som i dag finnes i Biografidatabasen.

til § 7-18Domstolenes behandling av personopplysninger

Bestemmelsen må ses i sammenheng med forskriften § 1-3. Domstolenes behandling av personopplysninger etter andre formål enn det som følger av de uttrykkelige unntakene her, er underlagt de vanlige reglene etter personopplysningsloven.

til § 7-19Tilsynsmyndighetens behandling av personopplysninger

Det anses lite hensiktsmessig at Datatilsynet og Personvernnemnda skal inngi melding til seg selv i forbindelse med den behandling de foretar. Datatilsynet og Personvernnemndas behandling av personopplysninger er heller ikke underlagt konsesjonsplikt.

til IVBehandlinger som er unntatt fra konsesjonsplikt, men underlagt meldeplikt

til § 7-20Unntak fra konsesjonsplikt

Bestemmelsen regulerer behandlinger av personopplysninger som er unntatt fra konsesjonsplikt. Imidlertid kan behandlingen være meldepliktig. Det er viktig å merke seg at andre regler i personopplysningsloven skal følges.

til § 7-21Klientregistre mv.

Behandling av personopplysninger er her regulert i medhold av egen lovgivning. Det er derfor ikke betenkelig å unnta behandlingen fra konsesjonsplikt når behandlingen foregår innenfor rammen av lovgivningen på området.

til § 7-22Hvitvaskingsregistre og tilknyttet behandling av personopplysninger

Bestemmelsen er kopi av §§ 1 og 2 i dagens forskrift om hvitvaskingsregistre. Bestemmelsen synes å fungere greit og er derfor videreført uendret.

til § 7-23Behandling av pasientopplysninger hos helse- og sosialpersonell som ikke er underlagt offentlig autorisasjon

Bestemmelsen gir konsesjonsfritak for elektroniske registre og behandlinger av pasientopplysninger. De er imidlertid meldepliktige for å gi en oversikt over hvor denne type personopplysningsbehandlinger finner sted. Meldingene vil gi nyttig informasjon både for publikum og Datatilsynet. Dessuten vil meldeplikten virke bevisstgjørende i forhold til journalføring hos disse behandlerne som ikke er underlagt annet regelverk om journalføring og behandling av personopplysninger.

til § 7-24Behandling av pasientopplysninger hos helsepersonell som er gitt lisens

Bestemmelsen gir konsesjonsfritak for elektroniske registre og behandlinger av pasientopplysninger. Behandlingene er imidlertid underlagt meldeplikt. Meldeplikten virker bevisstgjørende i forhold til gjeldende regelverk. Dessuten legger forslaget til lov om helseregistre og behandling av helseopplysninger (helseregisterloven) i Ot.prp. nr. 5 (1999-2000) opp til at også offentlig godkjent helsepersonell skal melde sine personopplysningsbehandlinger til Datatilsynet. Datatilsynet skal også ha kontrollmyndighet etter personopplysningsloven for disse behandlingene. Forslaget til helseregister er harmonisert med personopplysningsloven. Det er derfor hensiktsmessig å innføre meldeplikt for behandling av helseopplysninger allerede nå.

til § 7-25Forskningsprosjekter

Bestemmelsen er i hovedsak en videreføring av personregisterforskriften § 2-17 som synes å ha fungert greit siden den ble vedtatt i 1996, hvor denne type registre er unntatt fra konsesjonsplikt. En stor andel forskningsregistre vil inneholde sensitive opplysninger, og de bør derfor underlegges den kontroll meldeplikten vil innebære.

Det er ønskelig å føre en noe grundigere kontroll med prosjekter som innebærer forskning på umyndige personer. Selv om disse respondentene i enkelte tilfeller kan avgi forpliktende samtykke, kan press og/eller manipulering utgjøre en større trussel. Unntaket fra konsesjonsplikten er derfor begrenset til tilfeller der respondenten er myndig i henhold til vergemålslovens bestemmelser, eller den umyndiges verge har gitt sitt samtykke.

Personregisterforskriften hadde i § 2-17 en tidsramme for prosjektet på fem år. Denne begrensningen er ikke videreført. Det sentrale er at respondenten har kunnskap om og kontroll med opplysningene. Det er derfor viktig med informasjon om prosjektets estimerte varighet. Prosjekter som i realiteten har karakter av å være permanente, vil eventuelt fanges opp i meldesystemet. Da vil Datatilsynet kunne vurdere om prosjektet likevel skal være konsesjonspliktig, jf. § 7-4.

Til Kapittel 8Fjernsynsovervåking

Forskrift om bruk av billedopptak gjort ved fjernsynsovervåking, som ble gitt i medhold av personregisterloven i 1994, synes å ha fungert godt. Det er derfor hensiktsmessig å videreføre dagens regler om fjernsynsovervåking så langt disse er i overensstemmelse med personopplysningslovens regler på området.

Det kan stilles spørsmål ved om politiets bruk av opptak gjort av andre, vil kunne være i strid med personopplysningsloven § 11 bokstav c uten reservasjonen i forskriften § 8-3. For at ikke politiets arbeid skal hindres av at billedopptak i utgangspunktet ikke var gjort for et formål politiet ønsket å nytte opptakene til, synes det hensiktsmessig å innta en slik reservasjon.

Når det gjelder myndighet til å fatte enkeltvedtak om forlenget lagringstid for billedopptak, er Datatilsynet allerede i dag delegert myndighet til å fatte slike vedtak i henhold til gjeldende forskrift om bruk av billedopptak gjort ved fjernsynsovervåking § 5 siste ledd. Denne ordningen videreføres, med mulighet til å påklage vedtak til Personvernnemnda.

Den registrerte har etter personopplysningsloven § 18 innsynsrett i alle billedopptak som er omfattet av loven § 3 første ledd. Dette gjelder også når opptakene blir slettet innen 7 dagers fristen. § 8-5 blir således aktuelt bare ved ikke-digitaliserte opptak som ikke er ordnet som et register, og som derfor ikke er regulert av personopplysningslovens regler utover kapittelet om fjernsynsovervåking.

til § 8-1Virkeområde

Forskriftens virkeområde følger av lovens definisjon av fjernsynsovervåking.

til § 8-2Sikring av billedopptak

Dersom det anses nødvendig kan Datatilsynet i medhold av personopplysningsloven § 42, fatte vedtak om å gi pålegg om hvordan billedopptak skal sikres. Regler for hvordan billedopptak skal sikres kan også settes som vilkår ved konsesjon. I medhold av § 42 tredje ledd nr. 6, som ledd i Datatilsynets generelle veiledningsplikt, kan det gis råd om hvordan sikringen skal utføres.

til § 8-3Politiets bruk av billedopptak

Bruk av billedopptak i etterforskning og ved straffbare handlinger følger nå av reglene i § 1-3. Det er derfor ikke gjentatt i denne bestemmelsen.

til § 8-4Sletting av billedopptak

Det er viktig at reglene for sletting av billedopptak følges. Dette for å sikre den enkeltes personvern på best mulig måte. Lagring av store mengder opplysninger er uheldig. Det er derfor viktig at sletting foregår til rett tid. Til grunn for reglene ligger imidlertid også en erkjennelse av at billedopptak er et nyttig redskap for blant annet kriminalitetsbekjempelse og oppklaring av lovbrudd.

til § 8-5Innsynsrett

Bestemmelsen bygger på gjeldende rett. Det viser seg at det i praksis fremmes få krav om innsyn på området. Men det er prinsipielt viktig at den enkelte gis en mulighet til innsyn på nærmere bestemte vilkår.

Til kapittel 9Forskjellige bestemmelser

I dette kapitlet er det samlet enkelte bestemmelser som ikke passer i de andre kapitlene.

til § 9-1Personvernnemnda

Personvernnemnda er et nytt organ, som administrativt vil være underlagt Arbeids- og administrasjonsdepartementet. Hovedreglene om nemnda finnes i personopplysningsloven § 43. Forskriften gir enkelte utfyllende regler. I tillegg kommer blant annet forvaltningsloven og offentlighetsloven til anvendelse. Nemnda må i stor utstrekning finne sin arbeidsform gjennom erfaring. Nemnda avgjør selv om partene og Datatilsynet skal innkalles til møte som ledd i saksforberedelsen. Nemndas avgjørelser vil bli viktige som veiledning både for behandlingsansvarlige, de registrerte og for Datatilsynet. Vedtak bør derfor inntas i en offentlig protokoll slik at interesserte lett kan få orientere seg om dem.

til § 9-2Forsendelser som inneholder fødselsnummer

Det anses uheldig at fødselsnummer blir kjent for uvedkommende. Det har i praksis forekommet at lukkede forsendelser har hatt fødselsnummer plassert på en slik måte at det synes i konvoluttens adresseringsluke. Dette er uheldig. Ved andre forsendelsesmåter enn ved postsendinger skal fødselsnummer også skjermes for innsyn fra uvedkommende.

til § 9-3Straff

Overtredelse av § 8-4 første ledd er ikke foreslått straffebelagt, fordi denne bestemmelsen er såvidt skjønnsmessig at den ikke bør danne grunnlag for straff. Også medvirkning til straffbar handling er straffesanksjonert etter forskriften. Dette er en videreføring av tilsvarende regel i personregisterforskriften § 9-1 annet ledd.

Til kapittel 10Sluttbestemmelser

Personopplysningsforskriften trer i kraft på samme tidspunkt som personopplysningsloven, det vil si 1. januar 2001.

Overgangsreglene er utarbeidet for at den enkelte behandlingsansvarlige skal få en rimelig tid til å innrette sin virksomhet etter de krav som stilles i medhold av forskriften. Dette hensynet har vært veid mot behovet for at loven snarest mulig får den tilsiktede effekt på behandlingen av personopplysninger. På denne bakgrunn er § 10-2 tredje ledd ment som en snever unntaksbestemmelse. Det kan særlig bli aktuelt for Datatilsynet å benytte seg av sin kompetanse etter bestemmelsen overfor behandlere som har gamle og komplekse systemer.