Kapittel II B skal lyde:
Kapittel II B. Personopplysningar.
§ 11 f Handsaming av personopplysningar
Vegstyremaktene etter kapittel II
og tilsynsmyndigheita etter kapittel II A kan handsame personopplysningar
når det er naudsynt for å utføre oppgåver gitt i eller i medhald
av lova her, eller for å oppfylle internasjonale plikter under verkeområdet
til lova. Det same gjeld eit statleg utbyggingsselskap for veg som
er tildelt oppgåver i medhald av § 9 første ledd.
Departementet kan gi forskrift om
handsaming av personopplysningar, slik som føresegner om formålet med
handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar
skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar,
krav til sletting og krav til samanstillingar av personopplysningar til
bruk for forsking og statistiske formål.
§ 27 femte ledd skal lyde:
Selskap eller andre juridiske personar
som er gitt fullmakt frå departementet til å krevje inn bompengar,
kan handsame personopplysningar når det er naudsynt for å utføre
denne oppgåva. Det same gjeld selskap eller andre juridiske personar
som utfører tenester på bompengeområdet i medhald av forskrift til
denne lova, og når Statens vegvesen utfører oppgåver på bompengeområdet.
Personopplysningar som nemnt i personvernforordninga artikkel 9
nr. 1 kan berre handsamast etter første og andre punktum dersom
det er strengt naudsynt ut frå formålet med handsaminga. Dei som
har heimel etter første og andre punktum til å handsame personopplysningar,
kan levere ut opplysningar til tredjepartar når internasjonale rettsakter
eller avtaler som Noreg er bunde av, opnar for ei slik utlevering.
§ 27 sjette ledd skal lyde:
Departementet kan gi forskrift om
handsaming av personopplysningar, slik som føresegner om formålet med
handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar
skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar,
vilkår for handsaming av sensitive personopplysningar, krav til sletting
og krav til eventuelle samanstillingar av personopplysningar til
bruk for forsking og statistiske formål.
Någjeldende § 27 femte ledd
blir nytt sjuende ledd.
3. I lov 8. juni
1984 nr. 58 om gjeldsforhandling og konkurs oppheves § 156 femte
ledd annet punktum.
4. I lov 16.
juni 1989 nr. 69 om forsikringsavtaler gjøres følgende endringer:
§ 8-1 annet ledd skal lyde:
Dersom selskapet
ber om samtykke til innhenting av taushetsbelagte opplysninger fra
en tredjeperson, skal samtykket begrenses til det som trengs på
hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.
§ 18-1 annet ledd skal lyde:
Dersom selskapet
ber om samtykke til innhenting av taushetsbelagte opplysninger fra
en tredjeperson, skal samtykket begrenses til det som trengs på
hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.
5. I lov 4. desember
1992 nr. 126 om arkiv gjøres følgende endringer:
§ 9 bokstav c og d skal lyde:
-
c. kasserast. Dette
forbodet går framom føresegner om kassasjon i eller i medhald av
andre lover. Personregister eller delar av personregister kan likevel
slettast etter føresegnene i
helseregisterlova og etter føresegner i medhald av helseregisterlova
§§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn
frå Riksarkivaren. Personregister eller delar av personregister
kan i tillegg slettast etter føresegner i medhald av politiregisterloven
§ 69 første ledd nr. 16.
-
d. rettast på ein
slik måte at tidlegare urette eller ufullstendige opplysningar vert
sletta, dersom desse har hatt noko å seia for saksførebuinga, vedtak
eller anna som etter føremålet med denne lova bør kunna dokumenterast.
Føresegner om sletting gjevne i medhald av §§ 8 til 11 og § 25
andre leden i helseregisterlova, gjeld likevel uinnskrenka.
§ 18 annet punktum skal lyde:
Reglane i helseregisterlova om
retting og sletting av opplysningar vil likevel gjelda fullt ut.
6. I lov 11.
juni 1993 nr. 101 om luftfart oppheves § 12-14.
7. I lov 3. juni
1994 nr. 15 om Enhetsregisteret skal § 22 annet ledd tredje punktum
lyde:
Kredittopplysningsforetak kan likevel
etter avtale godkjent av Datatilsynet få tilgang til slike numre til intern bruk.
8. I lov 4. august
1995 nr. 53 om politiet skal ny § 6 a lyde:
§ 6 a Kameraovervåking
Politiet kan benytte kameraovervåking
dersom det er nødvendig for å gjennomføre oppgaver som nevnt i § 2
nr. 1 til 4. Med kameraovervåking menes vedvarende eller regelmessig
gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk
virkende overvåkingskamera eller annet lignende utstyr som er fastmontert.
Som kameraovervåking anses både overvåking med og uten mulighet
for opptak av lyd- og bildemateriale.
Kameraovervåking kan bare benyttes
dersom de hensyn som tilsier overvåking, overstiger hensynet til
den registrertes personvern. Det skal særlig legges vekt på hvordan
overvåkingen skal skje, samt hva slags område som skal overvåkes.
Det skal ved skilting eller på annen
måte gjøres tydelig oppmerksom på at stedet blir overvåket av politiet,
og om overvåkingen eventuelt inkluderer lydopptak.
Kongen kan gi forskrifter med nærmere
bestemmelser om behandling av opplysninger innhentet ved kameraovervåking.
9. I lov 28.
februar 1997 nr. 19 om folketrygd gjøres følgende endringer:
§ 21-4 d første ledd bokstav
b annet punktum skal lyde:
Helseopplysninger
og andre opplysninger som omfattes av
personvernforordningen artikkel 9 eller 10, kan ikke innhentes
ved masseinnhenting.
§ 21-11 a syvende ledd første
punktum skal lyde:
Ved behandling av personopplysninger i saker
etter kapittel 5 er Helsedirektoratet behandlingsansvarlig, jf. personvernforordningen artikkel
4 nr. 7.
§ 21-11 a åttende ledd første
punktum oppheves. Någjeldende annet punktum blir nytt første punktum.
10. I lov 19.
juni 1997 nr. 62 om familievernkontorer oppheves § 11 tredje ledd.
Någjeldende fjerde
ledd blir nytt tredje ledd.
11. I lov 2.
juli 1999 nr. 63 om pasient- og brukerrettigheter gjøres følgende
endringer:
§ 3-6 tredje ledd skal lyde:
Dersom helsepersonell tilgjengeliggjør opplysninger
som er undergitt lovbestemt opplysningsplikt, skal den opplysningene
gjelder, så langt forholdene tilsier det, informeres om at opplysningene
er gjort tilgjengelige og
hvilke opplysninger det dreier seg om.
§ 5-1 første ledd første punktum
skal lyde:
Pasienten og brukeren
har rett til innsyn i journalen sin med bilag og har etter særskilt
forespørsel rett til kopi,
jf. personvernforordningen artikkel 15.
§ 5-3 skal lyde:
§ 5-3 Overføring og tilgjengeliggjøring
av journal
Pasienten og brukeren
har rett til å motsette seg overføring
og tilgjengeliggjøring av journal eller opplysninger i
journal. Opplysningene kan heller ikke overføres eller tilgjengeliggjøres dersom
det er grunn til å tro at pasienten eller brukeren ville motsette
seg det ved forespørsel. Overføring
og tilgjengeliggjøring kan likevel skje dersom tungtveiende
grunner taler for det. Overføring og
tilgjengeliggjøring av journal eller opplysninger i journal
skal skje i henhold til bestemmelsene i lov om helsepersonell.
12. I lov 2.
juli 1999 nr. 64 om helsepersonell m.v. gjøres følgende endringer:
§ 29 første ledd skal lyde:
Departementet kan
bestemme at opplysninger kan eller skal gjøres tilgjengelige til
bruk for forskning, og at opplysningene
skal kunne tilgjengeliggjøres og brukes uten hinder av
taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven
gjelder tilsvarende for den som mottar opplysningene. Departementet kan sette vilkår for
bruken av opplysningene for å verne den registrertes grunnleggende
rettigheter og interesser.
§ 29 fjerde ledd første punktum
skal lyde:
Departementet kan
i forskrift regulere helsepersonells rett til tilgjengeliggjøring og
bruk av taushetsbelagte opplysninger til andre formål enn helsehjelp
når pasienten har gitt samtykke.
§ 29 b skal lyde:
§ 29 b Opplysninger til helseanalyser,
kvalitetssikring, administrasjon mv.
Departementet kan
bestemme at opplysninger kan eller skal gjøres tilgjengelige til
bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging
eller styring av helse- og omsorgstjenesten og at opplysningene skal kunne tilgjengeliggjøres
og brukes uten hinder av taushetsplikt etter § 21. Reglene
om taushetsplikt etter denne
loven gjelder tilsvarende for den som mottar opplysningene.
Tilgjengeliggjøring kan bare skje
dersom bruken av opplysningene er av vesentlig interesse for samfunnet
og hensynet til pasientens integritet og velferd er ivaretatt. Graden
av personidentifikasjon skal ikke være større enn nødvendig for
det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse
til bruk av direkte personidentifiserbare opplysninger som for eksempel
navn eller fødselsnummer.
Departementet kan
sette vilkår for bruken av opplysningene
for å verne den registrertes grunnleggende rettigheter og interesser.
§ 29 c skal lyde:
§ 29 c Opplysninger til bruk i læringsarbeid
og kvalitetssikring
Med mindre pasienten
motsetter seg det, kan taushetsbelagte opplysninger etter særskilt
anmodning gjøres tilgjengelige
for annet helsepersonell som tidligere har ytt helsehjelp
til pasienten i et konkret behandlingsforløp, for kvalitetssikring
av helsehjelpen eller egen læring. Behandlingen av anmodningen kan
automatiseres. Første punktum
omfatter opplysninger som er nødvendige og relevante for
formålet. I pasientens journal skal det dokumenteres hvem opplysninger
har blitt gjort tilgjengelige
for, og hvilke opplysninger som har blitt gjort tilgjengelige, jf.
§ 40.
§ 42 skal lyde:
§ 42 Retting av journal
Helsepersonell som
nevnt i § 39 skal etter krav fra den opplysningen gjelder, eller
av eget tiltak, rette uriktige
eller ufullstendige opplysninger, jf. personvernforordningen artikkel
16. Opplysningene skal etter krav fra den opplysningen gjelder,
eller av eget tiltak, også rettes dersom de er utilbørlige.
Retting skal skje ved at journalen føres på nytt, eller ved at en
datert rettelse tilføyes i journalen. Retting skal ikke skje ved
at opplysninger eller utsagn slettes.
Dersom et krav om retting avslås,
skal kravet om retting og begrunnelse for avslaget nedtegnes i journalen. Avslag
på krav om retting kan påklages til Fylkesmannen,
som avgjør om retting kan foretas.
Departementet kan gi forskrift om fremgangsmåten ved
retting.
§ 45 annet ledd skal lyde:
Helseopplysninger
som nevnt i første ledd kan gis av den dataansvarlige for opplysningene
eller det helsepersonellet som
har dokumentert opplysningene, jf. § 39.
13. I lov 23.
juni 2000 nr. 56 om helsemessig og sosial beredskap gjøres følgende
endringer:
§ 2-4 første ledd fjerde punktum
skal lyde:
Organet som etablerer
registeret, er dataansvarlig.
§ 2-4 annet ledd første punktum
skal lyde:
Ved etableringen
av registre skal den dataansvarlige dokumentere
at helseopplysningene behandles i samsvar med helseregisterloven
§ 6, herunder beskrive formålet med behandlingen og hvilke helseopplysninger som
behandles.
§ 2-4 tredje ledd første punktum
skal lyde:
Opplysningene kan
behandles uten samtykke fra den registrerte og tilgjengeliggjøres uten
hinder av lovbestemt taushetsplikt
dersom det er nødvendig for å oppnå registerets formål.
§ 2-4 fjerde ledd skal lyde:
Den dataansvarlige kan uten
hinder av lovbestemt taushetsplikt kreve opplysninger som er nødvendige
for registerets formål fra helsepersonell, fra virksomheter i helse-
og omsorgstjenesten og fra personell og virksomheter som nevnt i
folkehelseloven § 29 andre og tredje ledd.
§ 2-4 femte ledd
oppheves. Någjeldende sjette ledd blir nytt femte ledd.
14. I lov 15.
juni 2001 nr. 81 om elektronisk signatur skal § 7 annet ledd annet
punktum lyde:
I den utstrekning
ikke annet følger av denne lov, kommer personopplysningsloven med
forskrifter til anvendelse ved Datatilsynets kontroll etter første
punktum.
15. I lov 21.
februar 2003 nr. 12 om behandlingsbiobanker gjøres følgende endringer:
§ 3 annet ledd skal lyde:
Med mindre annet
følger av denne loven, skal helse- og personopplysninger som utledes
fra humant biologisk materiale behandles etter reglene i personvernforordningen,
personopplysningsloven, pasientjournalloven,
helsepersonelloven og eventuelt annen lovgivning som særlig regulerer
vern av personopplysninger.
§ 5 første ledd nr. 7 skal lyde:
7. hvem som er ansvarshavende
etter § 7 og dataansvarlig
etter pasientjournalloven
§ 7 første ledd annet og tredje
punktum skal lyde:
Dersom biobanken
inneholder opplysninger som kan knyttes til enkeltpersoner, vil
den også ha en dataansvarlig etter pasientjournalloven. Den dataansvarlige skal utpeke
ansvarshavende.
§ 15 tredje ledd skal lyde:
Tilgang til personidentifiserbart
materiale kan bare gis dersom mottakeren har adgang til å behandle
det i henhold til pasientjournalloven,
personopplysningsloven eller personvernforordningen.
§ 17 annet ledd skal lyde:
Datatilsynet skal
føre tilsyn med at behandling av de helse- og personopplysninger
som utledes av materialet i en biobank, skjer i tråd med personvernforordningen, personopplysningsloven
og pasientjournalloven.
16. I lov 19.
desember 2003 nr. 124 om matproduksjon og mattrygghet mv. skal § 29
første ledd annet punktum lyde:
Slike registre
kan ikke uten samtykke inneholde personopplysninger som omfattes av personvernforordningen
artikkel 9 nr. 1 om særlige kategorier av personopplysninger.
17. I lov 10.
desember 2004 nr. 76 om arbeidsmarkedstjenester skal § 14 lyde:
§ 14 Generelle saksbehandlingsregler
Forvaltningsloven og personopplysningsloven gjelder
med de særregler som er fastsatt i loven her.
18. I lov 17.
juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv.
gjøres følgende endringer:
§ 9-5 skal lyde:
§ 9-5 Innsyn i arbeidstakers e-postkasse
mv.
Departementet kan gi forskrift om
arbeidsgivers rett til innsyn i arbeidstakers e-postkasse og annet
elektronisk lagret materiale, blant annet om adgangen til innsyn,
prosedyrer ved innsyn og plikten til å slette opplysninger.
Ny § 9-6 skal lyde:
§ 9-6 Kameraovervåking
Departementet kan gi forskrift om
kameraovervåking i virksomheten, blant annet om adgangen til å iverksette
kameraovervåking, varsling om at slik overvåking finner sted, og
utlevering og sletting av opptak gjort ved slik overvåking.
19. I lov 17.
juni 2005 nr. 101 om eigedomsregistrering gjøres følgende endringer:
§ 22 femte ledd skal lyde:
Personvernforordninga artikkel 13
og 14 gjeld ikkje for føring av matrikkelen.
§ 26 femte ledd skal lyde:
Denne paragrafen
går framom personvernforordninga
artikkel 16 om retting av personopplysningar.
§ 30 syvende ledd skal lyde:
Departementet kan
i forskrift gi nærare reglar om behandling, utlevering og sal av opplysningar.
20. I lov 19.
mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd
skal § 10 tredje ledd annet punktum lyde:
Kongen kan gi forskrift
om tilgjengeleggjering av dokument på Internett og om at visse typar personopplysningar og
dokument som ein tredjeperson har immaterielle rettar til, ikkje
skal gjerast tilgjengelege på denne måten.
21. I lov 16.
juni 2006 nr. 20 om arbeids- og velferdsforvaltningen skal § 3 tredje
ledd første punktum lyde:
Direktoratet er
behandlingsansvarlig for etatens
behandling av personopplysninger, jf. personvernforordningen artikkel
4 nr. 7.
22. I lov 29.
juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:
§ 9-17 annet ledd nr. 2 skal
lyde:
2. krav til dokumentasjon,
herunder bestemmelser som gjør unntak fra personopplysningsloven.
§ 9-28 skal lyde:
Næringsorganisasjon
eller tilknyttet juridisk enhet som gir opplæring til og autoriserer
personer ansatt i verdipapirforetak, tilknyttet agent, eller filial
av utenlandsk foretak som yter investeringstjenester i Norge, kan
behandle slike opplysninger som nevnt i personvernforordningen artikkel
10 som ledd i vurderingen av om en ansatt skal gis autorisasjon,
fratas autorisasjon eller gis advarsel.
23. I lov 21.
desember 2007 nr. 119 om toll og vareførsel skal § 13-12 første
ledd lyde:
(1) Ved planlegging,
målretting og gjennomføring av kontroller kan tollmyndighetene innhente,
lagre, sammenstille og bruke nødvendige personopplysninger, herunder helseopplysninger, jf. personvernforordningen
artikkel 9 nr. 1, og opplysninger som nevnt i personvernforordningen
artikkel 10. For samme formål kan grensekryssende trafikk
på landeveien og fergeterminaler med utenlands trafikk overvåkes
av tollmyndighetene ved bruk av skiltgjenkjenningssystem.
24. I lov 20.
juni 2008 nr. 44 om medisinsk og helsefaglig forskning gjøres følgende
endringer:
§ 2 annet, tredje og fjerde
ledd skal lyde:
For behandling av helseopplysninger
gjelder personvernforordningen og personopplysningsloven
med forskrifter, i den utstrekning
ikke annet følger av denne loven. For opplysninger som er taushetsbelagte
etter helsepersonelloven § 21, og for opplysninger om avdøde personer
gjelder bestemmelsene i loven her om behandling av helseopplysninger
så langt de passer. Loven gjelder ikke for etablering av helseregistre.
For klinisk utprøvning
av legemidler på mennesker gjelder legemiddelloven § 3 med forskrifter.
For klinisk utprøvning av medisinsk utstyr gjelder lov om medisinsk
utstyr med forskrifter. Loven her gjelder utfyllende så langt den
passer.
Departementet kan gi forskrift om lovens
anvendelse for særskilte områder innenfor medisinsk og helsefaglig forskning.
§ 3 annet ledd
oppheves. Någjeldende tredje ledd blir nytt annet ledd.
§ 4 bokstav d skal lyde:
-
d)helseopplysninger: personopplysninger om en fysisk persons
fysiske eller psykiske helse, medregnet om ytelse av helsetjenester,
som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen
artikkel 4 nr. 15
§ 10 annet ledd annet punktum
skal lyde:
Den regionale komiteen
for medisinsk og helsefaglig forskningsetikk kan sette vilkår for
godkjenning, blant annet om
tiltak for å verne de registrertes grunnleggende rettigheter og
interesser.
§ 13 annet ledd første punktum
skal lyde:
Med samtykke menes enhver frivillig,
spesifikk, informert og utvetydig viljesytring fra deltakeren der
vedkommende ved en erklæring eller tydelig bekreftelse gir sitt samtykke
til behandling av helseopplysninger eller humant biologisk materiale.
§ 32 første ledd første punktum
skal lyde:
Behandling av helseopplysninger
i medisinsk og helsefaglig forskning skal være i samsvar med prinsippene i
personvernforordningen artikkel 5 og ha uttrykkelig angitte
formål.
§ 33 skal lyde:
§ 33 Krav om forhåndsgodkjenning
Behandling av helseopplysninger
i medisinsk og helsefaglig forskning krever forhåndsgodkjenning
fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk
etter kapittel 3.
Behandling av helseopplysninger
fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke forhåndsgodkjenning, med
mindre annet følger av forskriftene til registrene.
Personopplysningsloven § 10 og § 11
andre ledd gjelder ikke for medisinsk og helsefaglig forskning.
§ 34 skal lyde:
§ 34 Behandling av helseopplysninger
Helseopplysninger kan sammenstilles, tilgjengeliggjøres
og behandles på andre måter i tråd med forskningsprosjektets
formål, eventuelle samtykker, forhåndsgodkjenningen etter
§ 33 og i samsvar med forskningsprotokollen.
Den regionale komiteen
for medisinsk og helsefaglig forskningsetikk kan ved godkjenningen
etter kapittel 3 nekte slik sammenstilling, tilgjengeliggjøring eller annen
behandling dersom denne finnes å være medisinsk eller
etisk uforsvarlig.
Sammenstilling og tilgjengeliggjøring av
helseopplysninger kan skje til dataansvarlige eller
forskningsansvarlige som har adgang
til å behandle personopplysningene etter personvernforordningen
artikkel 6 og 9.
§ 35 første ledd fjerde punktum
skal lyde:
Den regionale komiteen
for medisinsk og helsefaglig forskningsetikk kan sette vilkår for
bruken, blant annet om tiltak
for å verne de registrertes grunnleggende rettigheter og interesser.
§ 36 nytt første ledd skal lyde:
Den registrerte kan kreve retting
eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket
i personopplysningsloven § 17 andre og tredje ledd gjelder.
Någjeldende § 36
første, annet og tredje ledd, blir henholdsvis nytt annet, tredje
og fjerde ledd.
§ 37 oppheves.
§ 40 første ledd skal lyde:
Forskningsdeltakeren
har rett til innsyn i helseopplysninger
om seg selv etter personvernforordningen artikkel 15. Deltakeren
har også rett til innsyn i sikkerhetstiltakene ved behandlingen
av helseopplysningene så langt innsyn ikke svekker sikkerheten.
§ 42 skal lyde:
§ 42 Unntak fra innsyn
Unntakene i personopplysningsloven
§§ 16 og 17 fra retten til informasjon og innsyn og fra plikten
til underretning om brudd på personopplysningssikkerheten, gjelder tilsvarende
for innsyn etter §§ 40 og 41 i loven her.
Avslag på krav om
innsyn og informasjon kan overprøves
av den regionale komiteen for medisinsk og helsefaglig
forskningsetikk.
§ 47 skal lyde:
§ 47 Datatilsynets myndighet
Datatilsynet fører
tilsyn med bruken av helseopplysninger etter denne loven i samsvar med personvernforordningen
og personopplysningsloven.
Når Datatilsynet har gitt pålegg,
skal Statens helsetilsyn informeres om dette.
§ 50 annet, tredje og fjerde
ledd skal lyde:
Den forskningsansvarlige
skal erstatte skader som er
oppstått som følge av at humant biologisk materiale er behandlet
i strid med bestemmelser gitt i
eller i medhold av loven, med mindre det godtgjøres at skaden ikke
skyldes feil eller forsømmelse på den forskningsansvarliges side. Erstatningen skal svare
til det økonomiske tapet som den skadelidte er påført som følge
av den ulovlige behandlingen av det humant biologiske materialet. Den forskningsansvarlige kan
også pålegges å betale slik erstatning for skader av ikke-økonomisk
art (oppreisning) som synes rimelig.
Den dataansvarlige og databehandleren
skal erstatte skader som er oppstått som følge av at helseopplysninger er
behandlet i strid med personvernforordningen, jf. forordningen artikkel
82. Ansvaret gjelder tilsvarende ved behandling av helseopplysninger
i strid med denne loven eller forskrifter gitt i medhold av loven.
For forskningsansvarlige og dataansvarlige som er private, skal
det ved forsikring stilles sikkerhet for det økonomiske ansvaret som kan oppstå
etter andre og tredje ledd.
§ 52 skal lyde:
§ 52 Datatilsynets adgang til å fatte
vedtak om overtredelsesgebyr
Ved behandling av helseopplysninger
i strid med loven eller forskrifter gitt i medhold av loven, kan
Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen
artikkel 83 og personopplysningsloven §§ 26 og 27.
Når Datatilsynet
har fattet vedtak etter første
ledd, skal Statens helsetilsyn informeres om dette.
§ 53 første og annet ledd skal
lyde:
Statens helsetilsyn kan fastsette
en løpende tvangsmulkt for hver dag, uke eller måned som går etter
utløpet av den fristen som er satt for oppfylling av pålegget etter
§ 51, inntil pålegget er oppfylt. En
tvangsmulkt kan også fastsettes som engangsmulkt. Statens helsetilsyn kan frafalle en påløpt tvangsmulkt. Tvangsmulkten løper ikke
før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkten før klageinstansen
har bestemt det.
Datatilsynet kan fastsette tvangsmulkt
etter personopplysningsloven § 29.
25. I lov 17.
oktober 2008 nr. 79 om utvalget for gjennomgang av stortingspensjoner
oppheves § 3.
26. I lov 19.
juni 2009 nr. 97 om dyrevelferd skal § 36 første ledd annet punktum
lyde:
Slike registre
kan ikke uten samtykke fra den det gjelder, inneholde personopplysninger
som omfattes av personvernforordningen
artikkel 9 eller 10.
27. I lov 25.
november 2011 nr. 44 om verdipapirfond skal § 1-6 lyde:
Næringsorganisasjon
eller tilknyttet juridisk enhet som gir opplæring til og autoriserer
personer ansatt i et forvaltningsselskap, tilknyttet agent, eller
utenlandsk forvaltningsselskap som nevnt i §§ 3-3 første ledd eller 3-4
første ledd, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel
10 som ledd i vurderingen av om en ansatt skal gis autorisasjon,
fratas autorisasjon eller gis advarsel.
28. I lov 24.
august 2012 nr. 64 om bustøtte gjøres følgende endringer:
§ 8 første ledd fjerde punktum
skal lyde:
Informasjonsplikta i personvernforordninga
artikkel 14 gjeld.
§ 8 a tredje ledd annet punktum
skal lyde:
Opplysningar som nemnt i personvernforordninga
artikkel 9 og 10 kan ikkje masseinnhentast.
§ 8 b syvende ledd skal lyde:
Informasjonsplikta i personvernforordninga
artikkel 14 gjeld.
§ 8 c annet ledd første punktum
skal lyde:
Informasjonsplikta i personvernforordninga
artikkel 14 gjeld for opplysningar som er henta inn etter
paragrafen her, men den registrerte har først krav på informasjon
når kontrollen er ferdig utført.
29. I lov 11.
januar 2013 nr. 3 om Statens innkrevingssentral oppheves § 6 annet
og tredje ledd.
30. I lov 7. mai
2004 nr. 21 om Riksrevisjonen skal § 17 annet ledd lyde:
Riksrevisjonens
behandling av personopplysninger i revisjons- og kontrollarbeidet
er unntatt fra artiklene 15, 16, 17, 18 og
19 i personvernforordningen.
31. I lov 20.
juni 2014 nr. 28 om forvaltning av alternative investeringsfond
skal § 1-6 lyde:
§ 1-6 Behandling av personopplysninger
i tilknytning til autorisasjonsordninger for ansatte
Næringsorganisasjon
eller tilknyttet juridisk enhet som gir opplæring til og autoriserer
personer som er ansatt hos en forvalter for et alternativt investeringsfond med
tillatelse etter § 2-2, eller som er registreringspliktig etter
§ 1-4, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel
10 som ledd i vurderingen av om en ansatt skal gis autorisasjon,
fratas autorisasjon eller gis advarsel.
32. I lov 20.
juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av
helsehjelp gjøres følgende endringer:
§ 2 skal lyde:
§ 2 Definisjoner
I denne loven forstås
med:
-
a) helsehjelp: enhver handling
som har forebyggende, diagnostisk, behandlende, helsebevarende,
rehabiliterende eller pleie- og omsorgsformål, og som utføres av
helsepersonell, jf. helsepersonelloven § 3 første ledd
-
b) helseopplysninger: personopplysninger
om en fysisk persons fysiske eller psykiske helse, herunder om ytelse
av helsetjenester, som gir informasjon om vedkommendes helsetilstand,
jf. personvernforordningen artikkel 4 nr. 15
-
c) behandling av helseopplysninger:
enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger,
enten automatisert eller ikke, for eksempel innsamling, registrering,
organisering, strukturering, lagring, tilpasning eller endring,
gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller
alle andre former for tilgjengeliggjøring, sammenstilling eller
samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen
artikkel 4 nr. 2
-
d) behandlingsrettet helseregister: pasientjournal-
og informasjonssystem eller annet register, fortegnelse eller lignende,
der helseopplysninger er lagret systematisk,
slik at opplysninger om den enkelte kan finnes igjen, og som skal gi
grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner
-
e) dataansvarlig: ansvarlig for behandling
av helseopplysninger etter personvernforordningen artikkel 4 nr. 7.
§ 3 nytt annet ledd skal lyde:
For opplysninger
som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger
om avdøde personer gjelder bestemmelsene i loven her om behandling
av helseopplysninger så langt de passer.
Någjeldende § 3 annet ledd
blir nytt tredje ledd.
§ 4 første ledd første punktum
skal lyde:
Loven gjelder for dataansvarlige som er
etablert i Norge.
§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen
og personopplysningsloven
Personvernforordningen og personopplysningsloven gjelder
så langt ikke noe annet følger av loven her.
§ 6 første ledd annet punktum
oppheves.
§ 10 annet ledd skal lyde:
Forskriften skal
gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene,
om dataansvar, om
tilgangskontroll og om hvordan rettighetene til pasienten eller
brukeren skal ivaretas.
§ 11 tredje ledd skal lyde:
Forskriften skal
gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke
opplysninger som kan behandles, om den enkeltes rett til å motsette seg
behandling av opplysningene og om dataansvar.
§ 12 tredje ledd skal lyde:
Forskriften skal
gi nærmere bestemmelser om formålet med behandlingen av opplysningene,
hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.
§ 13 femte ledd skal lyde:
Kongen i statsråd
kan i forskrift gi nærmere bestemmelser om drift og behandling av
helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem
som er dataansvarlig,
regler om sletting, tilgang og tilgangskontroll, samt pasientens
rettigheter.
§ 18 første ledd skal lyde:
Pasienten eller
brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6
tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og
15.
§ 19 første og annet ledd skal
lyde:
Innenfor rammen
av taushetsplikten skal den dataansvarlige sørge
for at relevante og nødvendige helseopplysninger er tilgjengelige
for helsepersonell og annet samarbeidende personell når dette er
nødvendig for å yte, administrere eller kvalitetssikre helsehjelp
til den enkelte.
Den dataansvarlige bestemmer
på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal
gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.
§ 20 skal lyde:
§ 20 Helseopplysninger til andre formål
enn helsehjelp
Den dataansvarlige kan gjøre
helseopplysninger tilgjengelige for andre formål enn helsehjelp
når den enkelte samtykker eller dette er fastsatt i lov eller i
medhold av lov. Med samtykke menes enhver
frivillig, spesifikk, informert og utvetydig viljesytring fra den
registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse
gir sitt samtykke til behandling av helseopplysninger som gjelder
vedkommende, jf. personvernforordningen artikkel 4 nr. 11.
§ 21 skal lyde:
§ 21 Personopplysninger fra Folkeregisteret
Den dataansvarlige kan innhente
personopplysninger fra Folkeregisteret når dette er nødvendig for
å oppfylle den dataansvarliges plikter
etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt
etter folkeregisterloven.
§ 22 skal lyde:
§ 22 Informasjonssikkerhet
Den dataansvarlige og databehandleren
skal gjennomføre tekniske og organisatoriske tiltak for å oppnå
et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen
artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge
for tilgangsstyring, logging og etterfølgende kontroll.
Departementet kan
i forskrift fastsette nærmere krav til informasjonssikkerhet ved
behandling av helseopplysninger.
§ 23 første ledd skal lyde:
Den dataansvarlige skal gjennomføre
tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres
i samsvar med personvernforordningen, personopplysningsloven og
denne loven, jf. forordningen artikkel 24.
§ 23 annet ledd første og annet
punktum skal lyde:
Den dataansvarlige skal dokumentere
tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne
hos den dataansvarlige og
hos databehandleren.
§ 26 skal lyde:
§ 26 Tilsyn
Datatilsynet fører tilsyn med overholdelsen
av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke
for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen
etter helsetilsynsloven
§ 29 skal lyde:
§ 29 Overtredelsesgebyr
Ved behandling av helseopplysninger
i strid med loven eller forskrifter gitt i medhold av loven, kan
Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen
artikkel 83 og personopplysningsloven §§ 26 og 27.
§ 30 annet og fjerde ledd oppheves.
Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning
Den dataansvarlige og databehandleren
skal erstatte skader som er oppstått som følge av at helseopplysninger er
behandlet i strid med personvernforordningen, etter forordningen
artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende
ved brudd på denne loven eller forskrifter gitt i medhold av loven.
33. I lov 20.
juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger
gjøres følgende endringer:
§ 2 skal lyde:
§ 2 Definisjoner
I denne loven forstås
med:
-
a) helseopplysninger: personopplysninger
om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse
av helsetjenester, som gir informasjon om vedkommendes helsetilstand,
jf. personvernforordningen artikkel 4 nr. 15
-
b) behandling av helseopplysninger:
enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger,
enten automatisert eller ikke, for eksempel innsamling, registrering,
organisering, strukturering, lagring, tilpasning eller endring,
gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller
alle andre former for tilgjengeliggjøring, sammenstilling eller
samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen
artikkel 4 nr. 2
-
c) helseregister: enhver strukturert
samling av personopplysninger som er tilgjengelig etter særlige
kriterier, og som inneholder helseopplysninger, jf. personvernforordningen
artikkel 4 nr. 6
-
d) dataansvarlig: ansvarlig for behandling
av helseopplysninger, jf. personvernforordningen artikkel 4 nr.
7
-
e) samtykke: enhver frivillig, spesifikk,
informert og utvetydig viljesytring fra den registrerte der vedkommende
ved en erklæring eller en tydelig bekreftelse gir sitt samtykke
til behandling av helseopplysninger som gjelder vedkommende, jf.
personvernforordningen artikkel 4 nr. 11
-
f) indirekte identifiserbare helseopplysninger: helseopplysninger
der navn, fødselsnummer og andre personentydige kjennetegn er fjernet,
men hvor opplysningene likevel kan knyttes til en enkeltperson.
§ 3 nytt annet og tredje ledd
skal lyde:
For opplysninger som er taushetsbelagte
etter helsepersonelloven § 21, og for opplysninger om avdøde personer
gjelder bestemmelsene her om behandling av helseopplysninger så
langt de passer.
Loven gjelder også tilsvarende for behandling
av opplysninger i
Helsearkivregisteret i Norsk helsearkiv.
Någjeldende
§ 3 tredje og fjerde ledd blir nytt fjerde og femte ledd.
§ 4 skal lyde:
§ 4 Geografisk virkeområde
Loven gjelder for dataansvarlige som er
etablert i Norge. Kongen kan i forskrift bestemme at loven helt
eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette
særlige regler om behandling av helseopplysninger for disse områdene.
§ 5 skal lyde:
§ 5 Forholdet til personvernforordningen
og personopplysningsloven
Personvernforordningen og personopplysningsloven gjelder
så langt ikke noe annet følger av denne loven.
§ 6 første og annet ledd skal
lyde:
Helseopplysninger skal behandles
i samsvar med prinsippene for behandling i personvernforordningen
artikkel 5.
Graden av personidentifikasjon
skal ikke være større enn nødvendig for det aktuelle formålet. Graden
av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve
at den dataansvarlige legger
frem begrunnelsen.
§ 6 tredje og fjerde ledd oppheves.
Någjeldende
§ 6 femte ledd blir nytt tredje ledd.
§ 8 fjerde ledd bokstav e skal
lyde:
§ 12 tredje ledd skal lyde:
Riksarkivaren er dataansvarlig for opplysningene
i Helsearkivregisteret, jf. arkivlova § 4.
§ 12 fjerde ledd annet punktum
skal lyde
Forskriften skal
angi den dataansvarliges plikt
til å gjøre data tilgjengelig.
§ 14 skal lyde:
§ 14 Opplysninger fra Folkeregisteret
Dataansvarlige kan innhente
personopplysninger de har tillatelse til å behandle etter §§ 8 til
12, fra Folkeregisteret.
§ 19 annet og tredje ledd skal
lyde:
Den dataansvarlige kan tilgjengeliggjøre helseopplysninger
for sammenstillingen. Med mindre annet følger av lov eller i medhold
av lov, skal resultatet
av sammenstillingen ikke inneholde navn, fødselsnummer eller andre
direkte identifiserende kjennetegn. Sammenstillingen skal gjøres
av den dataansvarlige for
et av registrene eller en virksomhet departementet bestemmer.
Ut over dette kan
helseopplysninger bare sammenstilles med andre opplysninger når
dette er tillatt etter personvernforordningen,
personopplysningsloven eller annen
lov.
§ 19 tredje ledd oppheves.
§ 20 første ledd første punktum
skal lyde:
Taushetsplikt er
ikke til hinder for at den dataansvarlige kan tilgjengeliggjøre indirekte
identifiserbare helseopplysninger til forskning, helseanalyser,
og kvalitetssikring, administrasjon, planlegging eller styring av helse-
og omsorgstjenesten.
§ 20 annet ledd skal lyde:
Helseopplysningene
kan bare tilgjengeliggjøres dersom
behandlingen av dem er av vesentlig interesse for samfunnet, hensynet
til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen
er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn.
Den dataansvarlige kan
stille vilkår for tilgjengeliggjøringen
for å verne den registrertes grunnleggende rettigheter og interesser.
§ 21 skal lyde:
§ 21 Informasjonssikkerhet
Den dataansvarlige og databehandleren
skal gjennomføre tekniske og organisatoriske tiltak for å oppnå
et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen
artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge
for tilgangsstyring, logging og etterfølgende kontroll. I registre
som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende
kjennetegn lagres kryptert.
Departementet kan
i forskrift fastsette nærmere krav til informasjonssikkerhet ved
behandling av helseopplysninger.
§ 22 skal lyde:
§ 22 Internkontroll
Den dataansvarlige skal gjennomføre
tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres
i samsvar med personvernforordningen, personopplysningsloven og
denne loven, jf. forordningen artikkel 24.
Departementet kan
i forskrift gi nærmere regler om tekniske
og organisatoriske tiltak etter første ledd.
§ 23 skal lyde:
§ 23 Informasjon til allmennheten om
behandling av helseopplysninger
En dataansvarlig som behandler
opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget
tiltak informere allmennheten om hva slags behandling av helseopplysninger
som foretas.
§ 24 skal lyde:
§ 24 Rett til informasjon og innsyn
Den registrerte har rett til informasjon
og innsyn i henhold til personvernforordningen artikkel 13 til 15.
Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes
av unntakene i personopplysningsloven §§ 16 og 17.
Den registrerte har også rett til innsyn
i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som
er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre
etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset
dispensasjon fra plikten til å gi innsyn etter dette leddet.
Når det er nødvendig
for å vurdere innsynskrav,
kan den dataansvarlige innhente
personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn
til taushetsplikt.
Kongen kan i forskrift
gi nærmere bestemmelser om retten til informasjon og innsyn.
§ 25 overskriften skal
lyde:
§ 25 Retting, sperring eller sletting
§ 25 første ledd skal lyde:
Den registrerte kan kreve retting
eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket
i personopplysningsloven § 17 andre og tredje ledd gjelder. Den
registrerte kan også kreve at helseopplysninger som behandles etter
§§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene
føles sterkt belastende for den registrerte, og det ikke finnes
sterke allmenne hensyn som tilsier at opplysningene behandles. Krav
om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.
§ 26 skal lyde:
§ 26 Tilsynsmyndighetene
Datatilsynet fører tilsyn med overholdelsen
av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke
for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen
etter helsetilsynsloven.
§ 29 skal lyde:
§ 29 Overtredelsesgebyr
Ved behandling av helseopplysninger
i strid med loven eller forskrifter gitt i medhold av loven, kan
Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen
artikkel 83 og personopplysningsloven §§ 26 og 27.
§ 30 annet og fjerde ledd oppheves.
Någjeldende tredje ledd blir nytt annet ledd.
§ 31 skal lyde:
§ 31 Erstatning
Den dataansvarlige og databehandleren
skal erstatte skader som er oppstått som følge av at helseopplysninger er
behandlet i strid med personvernforordningen, etter forordningen
artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende
ved brudd på denne loven eller forskrifter gitt i medhold av loven.
34. I lov 10.
april 2015 nr. 17 om finansforetak og finanskonsern skal § 9-8 første
ledd lyde:
(1) Næringsorganisasjon
eller tilknyttet juridisk enhet som gir opplæring til og autoriserer
ansatte i finansforetak, foretak som opptrer som agent eller annen
formidler for finansforetak og utenlandsk finansforetak som skal
drive eller driver virksomhet her i riket, kan behandle opplysninger
som nevnt i personvernforordningen
artikkel 10 som ledd i vurderingen av om en ansatt skal
gis autorisasjon, fratas autorisasjon eller gis advarsel.
35. I lov 4.
september 2015 nr. 85 om gjennomføring av konvensjon 19. oktober
1996 om jurisdiksjon, lovvalg, anerkjennelse, fullbyrdelse og samarbeid
vedrørende foreldremyndighet og tiltak for beskyttelse av barn skal § 3
lyde:
§ 3 Taushetsplikt
I tilfeller der norske myndigheter
etter konvensjonen har plikt til å gi opplysninger, kan dette skje
uten hinder av lovbestemt taushetsplikt. Tilsvarende gjelder der
konvensjonen legger til rette for at opplysninger kan gis etter anmodning.
36. I lov 16.
juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner
gjøres følgende endringer:
§ 12 første ledd bokstav c
skal lyde:
-
c) kredittopplysningsforetak,
når disse etter forespørsel fra kredittytere som nevnt i bokstav
a og b skal foreta kredittvurdering, eller når disse skal utarbeide
kredittscore etter forespørsel fra noen som har saklig behov for
å innhente kredittopplysninger,
og
§ 13 annet ledd første punktum
skal lyde:
Kredittopplysningsforetak
kan også utlevere opplysning om kredittscore hvor gjeldsopplysninger
inngår i beregningsgrunnlaget, til den som har saklig behov for opplysningen.
37. I lov 16.
juni 2017 nr. 53 om endringar i pasient- og brukarrettslova, helsepersonellova
m.m. (styrking av rettsstillinga til barn ved yting av helse- og
omsorgstenester m.m.) gjøres følgende endringer:
I romertall
VII endres følgende:
I § 30 skal nytt annet ledd
lyde:
Den som forsettlig eller grovt
uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger
i § 16, straffes med bøter eller fengsel inntil ett år.
Någjeldende
annet ledd blir tredje ledd.
I romertall
VIII endres følgende:
I § 30 skal nytt annet ledd
lyde:
Den som forsettlig eller grovt
uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger
i § 18, straffes med bøter eller fengsel inntil ett år.
Någjeldende
annet ledd blir tredje ledd.
38. I lov 15. desember
2017 nr. 112 om utprøving av selvkjørende kjøretøy skal § 3 første
ledd lyde:
Vegtrafikkloven med forskrifter, yrkestransportlova med
forskrifter og personopplysningsloven med
forskrifter gjelder under utprøving av selvkjørende kjøretøy, med
mindre annet følger av denne loven eller forskrifter gitt med hjemmel
i denne.