EØS-avtalen vedlegg XI nr. 5e (forordning (EU) 2016/679) om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) gjelder som lov med de tilpasningene som følger av vedlegg XI, protokoll 1 og avtalen for øvrig.

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.

Loven og personvernforordningen gjelder ikke

• a) ved behandling av personopplysninger som utføres av en fysisk person som ledd i rent personlige eller familiemessige aktiviteter

• b )for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.).

Personvernforordningen artikkel 56 og kapittel VII gjelder bare innenfor EØS-avtalens virkeområde.

Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.

Kongen kan gi forskrift om at loven eller deler av den ikke skal gjelde for bestemte institusjoner og saksområder.

For behandling av personopplysninger utelukkende for journalistiske formål eller med henblikk på akademiske, kunstneriske eller litterære ytringer gjelder bare bestemmelsene i personvernforordningen artikkel 24, 26, 28, 29, 32 og 40 til 43, jf. personvernforordningen kapittel VI og VIII og kapittel 6 og 7 i loven her.

Loven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke.

Loven og personvernforordningen gjelder for behandling av personopplysninger om registrerte som befinner seg i Norge, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i EØS, dersom behandlingen er knyttet til

• a) tilbud av varer eller tjenester til slike registrerte i Norge, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller

• b) monitorering av deres atferd, i den grad deres atferd finner sted i Norge.

Loven og personvernforordningen gjelder også for behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Norge, men på et sted der norsk rett får anvendelse i henhold til folkeretten.

Kongen kan i forskrift bestemme at loven og personvernforordningen helt eller delvis skal gjelde for Svalbard og Jan Mayen, og fastsette særlige regler om behandling av personopplysninger for disse områdene.

Aldersgrensen er 13 år for samtykke etter personvernforordningen artikkel 6 nr. 1 bokstav a i forbindelse med formål som nevnt i personvernforordningen artikkel 8 nr. 1.

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles når det er nødvendig for å gjennomføre arbeidsrettslige plikter eller rettigheter.

Datatilsynet kan i særlige tilfeller gi tillatelse til å behandle personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 dersom behandling er nødvendig av hensyn til viktige allmenne interesser. Datatilsynet skal fastsette vilkår for å verne den registrertes grunnleggende rettigheter og interesser.

Kongen kan i forskrift åpne for behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 når det er nødvendig av hensyn til viktige allmenne interesser. I en slik forskrift skal det fastsettes egnede og særlige tiltak for å verne den registrertes grunnleggende rettigheter og interesser.

Personopplysninger kan behandles på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e dersom det er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 kan behandles uten samtykke fra den registrerte dersom behandlingen er nødvendig for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål og samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene for den enkelte. Behandlingen skal være omfattet av nødvendige garantier i samsvar med personvernforordningen artikkel 89 nr. 1.

Før det foretas behandling på grunnlag av første ledd, skal den behandlingsansvarlige rådføre seg med personvernombudet etter personvernforordningen artikkel 37 eller en annen som oppfyller vilkårene i personvernforordningen artikkel 37 nr. 5 og 6 og artikkel 38 nr. 3 første og annet punktum. Ved rådføringen skal det vurderes om behandlingen vil oppfylle kravene i personvernforordningen og øvrige bestemmelser fastsatt i eller med hjemmel i loven her. Rådføringsplikten gjelder likevel ikke dersom det er utført en vurdering av personvernkonsekvenser etter personvernforordningen artikkel 35.

Kongen kan gi forskrift om behandling av særlige kategorier av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende når personopplysninger som nevnt i personvernforordningen artikkel 9 nr. 1 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av den registrertes samtykke.

Personvernforordningen artikkel 9 nr. 2 bokstav a og c til f samt §§ 6, 7 og 9 i loven her gjelder tilsvarende for behandling av personopplysninger som nevnt i personvernforordningen artikkel 10 som ikke utføres under en offentlig myndighets kontroll. Omfattende registre over straffedommer kan bare føres under en offentlig myndighets kontroll.

Rådføringsplikten etter § 9 annet ledd gjelder tilsvarende også når personopplysninger som nevnt i personvernforordningen artikkel 10 skal behandles for vitenskapelige eller historiske forskningsformål på grunnlag av

• a)den registrertes samtykke, uten hensyn til om behandlingen utføres under en offentlig myndighets kontroll eller ikke

• b)§ 8 i loven her, dersom behandlingen utføres under en offentlig myndighets kontroll.

Fødselsnummer og andre entydige identifikasjonsmidler kan bare behandles når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Kongen kan gi forskrift om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

Kongen kan gi forskrift om overføring av personopplysninger til tredjestater eller internasjonale organisasjoner.

Kongen kan gi forskrift om forhåndsdrøfting med Datatilsynet og om forhåndsgodkjenning fra Datatilsynet.

Kongen kan gi forskrift om gjennomføring av delegerte rettsakter og gjennomføringsrettsakter.

Retten til informasjon og innsyn etter personvernforordningen artikkel 13, 14 og 15 omfatter ikke opplysninger som

• a) er av betydning for Norges utenrikspolitiske interesser eller nasjonale forsvars- og sikkerhetsinteresser, når den behandlingsansvarlige kan unnta opplysningene etter offentleglova §§ 20 eller 21

• b) det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger

• c) det må anses utilrådelig at den registrerte får kjennskap til av hensyn til vedkommendes helse eller forholdet til personer som står vedkommende nær

• d) i lov eller med hjemmel i lov er underlagt taushetsplikt

• e) utelukkende finnes i tekst som er utarbeidet for intern saksforberedelse, og som heller ikke er utlevert til andre, så langt det er nødvendig å nekte innsyn for å sikre forsvarlige interne avgjørelsesprosesser

• f) det vil være i strid med åpenbare og grunnleggende private eller offentlige interesser å informere om.

Opplysninger som nevnt i første ledd bokstav c kan på anmodning likevel gjøres kjent for en representant for den registrerte når ikke særlige grunner taler mot det.

Den som nekter å gi innsyn i medhold av første ledd, må begrunne dette skriftlig og gi en presis henvisning til unntakshjemmelen. Dersom innsyn nektes på grunnlag av første ledd bokstav f, skal det også angis hvilke hensyn som begrunner hemmelighold.

Plikten til å underrette den registrerte om brudd på personopplysningssikkerheten etter personvernforordningen artikkel 34 gjelder ikke i den utstrekning en slik underretning vil røpe opplysninger som nevnt i første ledd bokstav a, b og d.

Kongen kan gi forskrift om unntak fra og nærmere vilkår for informasjons- og innsynsrett og underretning om brudd på personopplysningssikkerheten.

Retten til innsyn etter personvernforordningen artikkel 15 gjelder ikke for behandling av personopplysninger for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt

• a) det vil kreve en uforholdsmessig stor innsats å gi innsyn eller

• b )innsynsrett sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Retten til retting og begrensning av behandling etter personvernforordningen artikkel 16 og 18 gjelder ikke for behandling for arkivformål i allmennhetens interesse, formål knyttet til vitenskapelig eller historisk forskning eller statistiske formål i samsvar med personvernforordningen artikkel 89 nr. 1 så langt rettighetene sannsynligvis vil gjøre det umulig eller i alvorlig grad hindre at målene med behandlingen nås.

Første og annet ledd gjelder ikke dersom behandlingen får rettsvirkninger eller direkte faktiske virkninger for den registrerte.

Personvernombud plikter å hindre at andre får adgang eller kjennskap til det de i forbindelse med utførelsen av sine oppgaver får vite om

• a) noens personlige forhold

• b) tekniske innretninger, produksjonsmetoder, forretningsmessige analyser og beregninger og forretningshemmeligheter ellers når opplysningene er av en slik art at andre kan utnytte dem i sin egen næringsvirksomhet

• c) sikkerhetstiltak etter personvernforordningen artikkel 32

• d) enkeltpersoners varsling om overtredelser av loven her.

Taushetsplikten gjelder ikke dersom personvernombudet får samtykke fra den opplysningene gjelder, til å legge dem frem, eller dette er nødvendig for gjennomføring av personvernombudets lovpålagte oppgaver.

Taushetsplikten gjelder også etter at personvernombudet har avsluttet tjenesten eller arbeidet. Opplysninger som nevnt i denne paragraf kan heller ikke utnyttes i egen virksomhet eller i tjeneste eller arbeid for andre.

Kongen kan gi forskrift om plikt til å utpeke personvernombud.

Datatilsynet er tilsynsmyndighet etter personvernforordningen artikkel 51 og er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Datatilsynet kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre Datatilsynets vedtak.

Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan gi forskrift om at direktøren for Datatilsynet skal ansettes på åremål, om lengden på åremålet og om adgangen til gjenutnevnelse.

Datatilsynets myndighet etter personvernforordningen artikkel 58 gjelder tilsvarende for tilsyn med overholdelsen av

• a) bestemmelser i loven her og i forskrifter gitt med hjemmel i loven her

• b) bestemmelser om behandling av personopplysninger i andre lover og forskrifter, så langt behandlingen faller innenfor lovens og personvernforordningens virkeområde etter § 2.

Kongen kan gi forskrift om dekning av Datatilsynets kostnader ved kontroll.

Datatilsynet skal sende sin årlige rapport etter personvernforordningen artikkel 59 til Kongen, som legger rapporten frem for Stortinget.

Personvernnemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Nemnda kan ikke instrueres om behandlingen av enkeltsaker eller om den faglige virksomheten for øvrig. Kongen og departementet kan ikke omgjøre nemndas vedtak.

Personvernnemnda avgjør klager over Datatilsynets vedtak med mindre noe annet er særskilt fastsatt. Datatilsynets vedtak etter personvernforordningen artikkel 56 og kapittel VII kan ikke påklages til Personvern-nemnda.

Personvernnemnda har syv medlemmer med personlige varamedlemmer. Medlemmene og varamedlemmene utnevnes av Kongen for fire år, med adgang til gjenutnevning for ytterligere fire år. Det skal være en leder og nestleder, som begge skal ha juridisk embetseksamen eller mastergrad i rettsvitenskap.

Personvernnemnda kan bestemme at klager som må avgjøres raskt, skal kunne avgjøres av lederen eller nestlederen sammen med to andre nemndsmedlemmer.

Personvernnemnda skal årlig orientere Kongen om sin virksomhet.

Kongen kan gi forskrift om Personvernnemndas organisering og saksbehandling.

Datatilsynet skal utøve sin undersøkelsesmyndighet etter personvernforordningen artikkel 58 nr. 1 uten hinder av taushetsplikt.

Personvernnemnda kan utøve myndighet etter personvernforordningen artikkel 58 nr. 1 bokstav a. Dette skal skje uten hinder av taushetsplikt.

Behandling av personopplysninger som er nødvendig av hensynet til rikets eller alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser, er unntatt fra personvernforordningen artikkel 58 nr. 1. Ved uenighet mellom den behandlingsansvarlige og Datatilsynet om utstrekningen av første punktum avgjøres spørsmålet av Personvernnemnda.

Bestemmelsene om taushetsplikt i forvaltningsloven § 13 flg. gjelder for ansatte i Datatilsynet, medlemmene i Personvernnemnda og alle andre som utfører tjeneste eller arbeid for Datatilsynet eller Personvernnemnda. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak etter personvernforordningen artikkel 32 og enkeltpersoners varsling om overtredelser av loven her.

Datatilsynet kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for at en tilsynsmyndighet som omfattes av forordningen, skal kunne treffe vedtak som et ledd i tilsynsvirksomheten.

Datatilsynet opptrer som part på vegne av staten i søksmål som er knyttet til tilsynsvirksomheten.

Søksmål om gyldigheten av Personvernnemndas vedtak rettes mot staten ved Personvernnemnda.

Personvernforordningen artikkel 83 nr. 4 gjelder tilsvarende for overtredelser av personvernforordningen artikkel 10 og artikkel 24.

Datatilsynet kan ilegge offentlige myndigheter og organer overtredelsesgebyr etter reglene i personvernforordningen artikkel 83, jf. artikkel 83 nr. 7.

Oppfyllelsesfristen for et vedtak om overtredelsesgebyr er fire uker fra vedtaket er endelig.

Retten kan prøve alle sider av saker om overtredelsesgebyr. Retten kan avsi dom for realiteten i saken dersom den finner det hensiktsmessig og forsvarlig.

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter overtredelsen er opphørt. Fristen avbrytes ved at Datatilsynet gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

Ved pålegg etter loven her kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfyllelse av pålegget, inntil pålegget er oppfylt.

Kongen kan i forskrift gi nærmere bestemmelser om tvangsmulkt, blant annet om tvangsmulktens størrelse og varighet, fastsettelse av tvangsmulkt og frafall av påløpt tvangsmulkt.

Den som er erstatningsansvarlig etter reglene i personvernforordningen artikkel 82, kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.

Når kameraovervåking vil være i strid med personvernforordningen eller loven her, er det heller ikke tillatt å benytte uekte kameraovervåkingsutstyr eller ved skilting, oppslag eller lignende gi inntrykk av at kameraovervåking finner sted. Personvernforordningen kapittel VI og artikkel 83 nr. 4 samt kapittel 6, § 26 annet ledd og §§ 27 til 29 i loven her gjelder tilsvarende.

Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Med uekte kameraovervåkingsutstyr menes utstyr som lett kan forveksles med en ekte kameraløsning.

Loven trer i kraft fra den tiden Kongen bestemmer. Fra samme tidspunkt oppheves lov 14. april 2000 nr. 31 om behandling av personopplysninger.

De ulike bestemmelsene kan settes i kraft og oppheves til ulik tid.

Reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet, skal legges til grunn når det treffes vedtak om overtredelsesgebyr. Lovgivningen på tidspunktet for avgjørelsen skal likevel anvendes når dette fører til et gunstigere resultat for den ansvarlige.

Kongen kan gi nærmere overgangsregler.

Fra den tiden loven her trer i kraft, gjøres følgende endringer i andre lover:

1. I lov 12. mai 1961 nr. 2 om opphavsrett til åndsverk m.v. oppheves § 56 a.

2. I lov 21. juni 1963 nr. 23 om vegar gjøres følgende endringer:

Vegstyremaktene etter kapittel II og tilsynsmyndigheita etter kapittel II A kan handsame personopplysningar når det er naudsynt for å utføre oppgåver gitt i eller i medhald av lova her, eller for å oppfylle internasjonale plikter under verkeområdet til lova. Det same gjeld eit statleg utbyggingsselskap for veg som er tildelt oppgåver i medhald av § 9 første ledd.

Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, krav til sletting og krav til samanstillingar av personopplysningar til bruk for forsking og statistiske formål.

Selskap eller andre juridiske personar som er gitt fullmakt frå departementet til å krevje inn bompengar, kan handsame personopplysningar når det er naudsynt for å utføre denne oppgåva. Det same gjeld selskap eller andre juridiske personar som utfører tenester på bompengeområdet i medhald av forskrift til denne lova, og når Statens vegvesen utfører oppgåver på bompengeområdet. Personopplysningar som nemnt i personvernforordninga artikkel 9 nr. 1 kan berre handsamast etter første og andre punktum dersom det er strengt naudsynt ut frå formålet med handsaminga. Dei som har heimel etter første og andre punktum til å handsame personopplysningar, kan levere ut opplysningar til tredjepartar når internasjonale rettsakter eller avtaler som Noreg er bunde av, opnar for ei slik utlevering.

Departementet kan gi forskrift om handsaming av personopplysningar, slik som føresegner om formålet med handsaminga, kva for opplysningar som kan handsamast, korleis opplysningar skal handsamast, vilkår for eventuell utlevering, bruk av datahandsamar, vilkår for handsaming av sensitive personopplysningar, krav til sletting og krav til eventuelle samanstillingar av personopplysningar til bruk for forsking og statistiske formål.

3. I lov 8. juni 1984 nr. 58 om gjeldsforhandling og konkurs oppheves § 156 femte ledd annet punktum.

4. I lov 16. juni 1989 nr. 69 om forsikringsavtaler gjøres følgende endringer:

Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.

Dersom selskapet ber om samtykke til innhenting av taushetsbelagte opplysninger fra en tredjeperson, skal samtykket begrenses til det som trengs på hvert trinn i saken. Samtykket skal oppfylle kravene i personopplysningsloven.

5. I lov 4. desember 1992 nr. 126 om arkiv gjøres følgende endringer:

• c. kasserast. Dette forbodet går framom føresegner om kassasjon i eller i medhald av andre lover. Personregister eller delar av personregister kan likevel slettast etter føresegnene i helseregisterlova og etter føresegner i medhald av helseregisterlova §§ 8 til 12. Slik sletting kan først gjerast etter at det er innhenta fråsegn frå Riksarkivaren. Personregister eller delar av personregister kan i tillegg slettast etter føresegner i medhald av politiregisterloven § 69 første ledd nr. 16.

• d. rettast på ein slik måte at tidlegare urette eller ufullstendige opplysningar vert sletta, dersom desse har hatt noko å seia for saksførebuinga, vedtak eller anna som etter føremålet med denne lova bør kunna dokumenterast. Føresegner om sletting gjevne i medhald av §§ 8 til 11 og § 25 andre leden i helseregisterlova, gjeld likevel uinnskrenka.

Reglane i helseregisterlova om retting og sletting av opplysningar vil likevel gjelda fullt ut.

6. I lov 11. juni 1993 nr. 101 om luftfart oppheves § 12-14.

7. I lov 3. juni 1994 nr. 15 om Enhetsregisteret skal § 22 annet ledd tredje punktum lyde:

Kredittopplysningsforetak kan likevel etter avtale godkjent av Datatilsynet få tilgang til slike numre til intern bruk.

8. I lov 4. august 1995 nr. 53 om politiet skal ny § 6 a lyde:

Politiet kan benytte kameraovervåking dersom det er nødvendig for å gjennomføre oppgaver som nevnt i § 2 nr. 1 til 4. Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert. Som kameraovervåking anses både overvåking med og uten mulighet for opptak av lyd- og bildemateriale.

Kameraovervåking kan bare benyttes dersom de hensyn som tilsier overvåking, overstiger hensynet til den registrertes personvern. Det skal særlig legges vekt på hvordan overvåkingen skal skje, samt hva slags område som skal overvåkes.

Det skal ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket av politiet, og om overvåkingen eventuelt inkluderer lydopptak.

Kongen kan gi forskrifter med nærmere bestemmelser om behandling av opplysninger innhentet ved kameraovervåking.

9. I lov 28. februar 1997 nr. 19 om folketrygd gjøres følgende endringer:

Helseopplysninger og andre opplysninger som omfattes av personvernforordningen artikkel 9 eller 10, kan ikke innhentes ved masseinnhenting.

Ved behandling av personopplysninger i saker etter kapittel 5 er Helsedirektoratet behandlingsansvarlig, jf. personvernforordningen artikkel 4 nr. 7.

10. I lov 19. juni 1997 nr. 62 om familievernkontorer oppheves § 11 tredje ledd.

Någjeldende fjerde ledd blir nytt tredje ledd.

11. I lov 2. juli 1999 nr. 63 om pasient- og brukerrettigheter gjøres følgende endringer:

Dersom helsepersonell tilgjengeliggjør opplysninger som er undergitt lovbestemt opplysningsplikt, skal den opplysningene gjelder, så langt forholdene tilsier det, informeres om at opplysningene er gjort tilgjengelige og hvilke opplysninger det dreier seg om.

Pasienten og brukeren har rett til innsyn i journalen sin med bilag og har etter særskilt forespørsel rett til kopi, jf. personvernforordningen artikkel 15.

Pasienten og brukeren har rett til å motsette seg overføring og tilgjengeliggjøring av journal eller opplysninger i journal. Opplysningene kan heller ikke overføres eller tilgjengeliggjøres dersom det er grunn til å tro at pasienten eller brukeren ville motsette seg det ved forespørsel. Overføring og tilgjengeliggjøring kan likevel skje dersom tungtveiende grunner taler for det. Overføring og tilgjengeliggjøring av journal eller opplysninger i journal skal skje i henhold til bestemmelsene i lov om helsepersonell.

12. I lov 2. juli 1999 nr. 64 om helsepersonell m.v. gjøres følgende endringer:

Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for forskning, og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene. Departementet kan sette vilkår for bruken av opplysningene for å verne den registrertes grunnleggende rettigheter og interesser.

Departementet kan i forskrift regulere helsepersonells rett til tilgjengeliggjøring og bruk av taushetsbelagte opplysninger til andre formål enn helsehjelp når pasienten har gitt samtykke.

Departementet kan bestemme at opplysninger kan eller skal gjøres tilgjengelige til bruk for helseanalyser og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten og at opplysningene skal kunne tilgjengeliggjøres og brukes uten hinder av taushetsplikt etter § 21. Reglene om taushetsplikt etter denne loven gjelder tilsvarende for den som mottar opplysningene.

Tilgjengeliggjøring kan bare skje dersom bruken av opplysningene er av vesentlig interesse for samfunnet og hensynet til pasientens integritet og velferd er ivaretatt. Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Kun i særskilte tilfeller kan det gis tillatelse til bruk av direkte personidentifiserbare opplysninger som for eksempel navn eller fødsels-nummer.

Departementet kan sette vilkår for bruken av opplysningene for å verne den registrertes grunnleggende rettigheter og interesser.

Med mindre pasienten motsetter seg det, kan taushetsbelagte opplysninger etter særskilt anmodning gjøres tilgjengelige for annet helsepersonell som tidligere har ytt helsehjelp til pasienten i et konkret behandlingsforløp, for kvalitetssikring av helsehjelpen eller egen læring. Behandlingen av anmodningen kan automatiseres. Første punktum omfatter opplysninger som er nødvendige og relevante for formålet. I pasientens journal skal det dokumenteres hvem opplysninger har blitt gjort tilgjengelige for, og hvilke opplysninger som har blitt gjort tilgjengelige, jf. § 40.

Helsepersonell som nevnt i § 39 skal etter krav fra den opplysningen gjelder, eller av eget tiltak, rette uriktige eller ufullstendige opplysninger, jf. personvernforordningen artikkel 16. Opplysningene skal etter krav fra den opplysningen gjelder, eller av eget tiltak, også rettes dersom de er utilbørlige. Retting skal skje ved at journalen føres på nytt, eller ved at en datert rettelse tilføyes i journalen. Retting skal ikke skje ved at opplysninger eller utsagn slettes.

Dersom et krav om retting avslås, skal kravet om retting og begrunnelse for avslaget nedtegnes i journalen. Avslag på krav om retting kan påklages til Fylkesmannen, som avgjør om retting kan foretas.

Departementet kan gi forskrift om fremgangsmåten ved retting.

Helseopplysninger som nevnt i første ledd kan gis av den dataansvarlige for opplysningene eller det helsepersonellet som har dokumentert opplysningene, jf. § 39.

13. I lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap gjøres følgende endringer:

Organet som etablerer registeret, er dataansvarlig.

Ved etableringen av registre skal den dataansvarlige dokumentere at helseopplysningene behandles i samsvar med helseregisterloven § 6, herunder beskrive formålet med behandlingen og hvilke helseopplysninger som behandles.

Opplysningene kan behandles uten samtykke fra den registrerte og tilgjengeliggjøres uten hinder av lovbestemt taushetsplikt dersom det er nødvendig for å oppnå registerets formål.

Den dataansvarlige kan uten hinder av lovbestemt taushetsplikt kreve opplysninger som er nødvendige for registerets formål fra helsepersonell, fra virksomheter i helse- og omsorgstjenesten og fra personell og virksomheter som nevnt i folkehelseloven § 29 andre og tredje ledd.

§ 2-4 femte ledd oppheves. Någjeldende sjette ledd blir nytt femte ledd.

14. I lov 15. juni 2001 nr. 81 om elektronisk signatur skal § 7 annet ledd annet punktum lyde:

I den utstrekning ikke annet følger av denne lov, kommer personopplysningsloven med forskrifter til anvendelse ved Datatilsynets kontroll etter første punktum.

15. I lov 21. februar 2003 nr. 12 om behandlingsbiobanker gjøres følgende endringer:

Med mindre annet følger av denne loven, skal helse- og personopplysninger som utledes fra humant biologisk materiale behandles etter reglene i personvernforordningen, personopplysningsloven, pasientjournalloven, helsepersonelloven og eventuelt annen lovgivning som særlig regulerer vern av personopplysninger.

7. hvem som er ansvarshavende etter § 7 og dataansvarlig etter pasientjournalloven

Dersom biobanken inneholder opplysninger som kan knyttes til enkeltpersoner, vil den også ha en dataansvarlig etter pasientjournalloven. Den dataansvarlige skal utpeke ansvarshavende.

Tilgang til personidentifiserbart materiale kan bare gis dersom mottakeren har adgang til å behandle det i henhold til pasientjournalloven, personopplysningsloven eller personvernforordningen.

Datatilsynet skal føre tilsyn med at behandling av de helse- og personopplysninger som utledes av materialet i en biobank, skjer i tråd med personvernforordningen, personopplysningsloven og pasientjournalloven.

16. I lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv. skal § 29 første ledd annet punktum lyde:

Slike registre kan ikke uten samtykke inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 nr. 1 om særlige kategorier av personopplysninger.

17. I lov 10. desember 2004 nr. 76 om arbeidsmarkedstjenester skal § 14 lyde:

Forvaltningsloven og personopplysningsloven gjelder med de særregler som er fastsatt i loven her.

18. I lov 17. juni 2005 nr. 62 om arbeidsmiljø, arbeidstid og stillingsvern mv. gjøres følgende endringer:

Departementet kan gi forskrift om arbeidsgivers rett til innsyn i arbeidstakers e-postkasse og annet elektronisk lagret materiale, blant annet om adgangen til innsyn, prosedyrer ved innsyn og plikten til å slette opplysninger.

Departementet kan gi forskrift om kameraovervåking i virksomheten, blant annet om adgangen til å iverksette kameraovervåking, varsling om at slik overvåking finner sted, og utlevering og sletting av opptak gjort ved slik overvåking.

19. I lov 17. juni 2005 nr. 101 om eigedomsregistrering gjøres følgende endringer:

Personvernforordninga artikkel 13 og 14 gjeld ikkje for føring av matrikkelen.

Denne paragrafen går framom personvernforordninga artikkel 16 om retting av personopplysningar.

Departementet kan i forskrift gi nærare reglar om behandling, utlevering og sal av opplysningar.

20. I lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd skal § 10 tredje ledd annet punktum lyde:

Kongen kan gi forskrift om tilgjengeleggjering av dokument på Internett og om at visse typar personopplysningar og dokument som ein tredjeperson har immaterielle rettar til, ikkje skal gjerast tilgjengelege på denne måten.

21. I lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen skal § 3 tredje ledd første punktum lyde:

Direktoratet er behandlingsansvarlig for etatens behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 7.

22. I lov 29. juni 2007 nr. 75 om verdipapirhandel gjøres følgende endringer:

2. krav til dokumentasjon, herunder bestemmelser som gjør unntak fra personopplysningsloven.

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i verdipapirforetak, tilknyttet agent, eller filial av utenlandsk foretak som yter investeringstjenester i Norge, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

23. I lov 21. desember 2007 nr. 119 om toll og vareførsel skal § 13-12 første ledd lyde:

(1) Ved planlegging, målretting og gjennomføring av kontroller kan tollmyndighetene innhente, lagre, sammenstille og bruke nødvendige personopplysninger, herunder helseopplysninger, jf. personvernforordningen artikkel 9 nr. 1, og opplysninger som nevnt i personvernforordningen artikkel 10. For samme formål kan grensekryssende trafikk på landeveien og fergeterminaler med utenlands trafikk overvåkes av tollmyndighetene ved bruk av skiltgjenkjenningssystem.

24. I lov 20. juni 2008 nr. 44 om medisinsk og helsefaglig forskning gjøres følgende endringer:

For behandling av helseopplysninger gjelder personvernforordningen og personopplysningsloven med forskrifter, i den utstrekning ikke annet følger av denne loven. For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer. Loven gjelder ikke for etablering av helseregistre.

For klinisk utprøvning av legemidler på mennesker gjelder legemiddelloven § 3 med forskrifter. For klinisk utprøvning av medisinsk utstyr gjelder lov om medisinsk utstyr med forskrifter. Loven her gjelder utfyllende så langt den passer.

Departementet kan gi forskrift om lovens anvendelse for særskilte områder innenfor medisinsk og helsefaglig forskning.

§ 3 annet ledd oppheves. Någjeldende tredje ledd blir nytt annet ledd.

• d)helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for godkjenning, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.

Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra deltakeren der vedkommende ved en erklæring eller tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger eller humant biologisk materiale.

Behandling av helseopplysninger i medisinsk og helsefaglig forskning skal være i samsvar med prinsippene i personvernforordningen artikkel 5 og ha uttrykkelig angitte formål.

Behandling av helseopplysninger i medisinsk og helsefaglig forskning krever forhåndsgodkjenning fra den regionale komiteen for medisinsk og helsefaglig forskningsetikk etter kapittel 3.

Behandling av helseopplysninger fra helseregistre etter helseregisterloven §§ 8 til 11 krever ikke forhåndsgodkjenning, med mindre annet følger av forskriftene til registrene.

Personopplysningsloven § 10 og § 11 andre ledd gjelder ikke for medisinsk og helsefaglig forskning.

Helseopplysninger kan sammenstilles, tilgjengeliggjøres og behandles på andre måter i tråd med forskningsprosjektets formål, eventuelle samtykker, forhåndsgodkjenningen etter § 33 og i samsvar med forskningsprotokollen.

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan ved godkjenningen etter kapittel 3 nekte slik sammenstilling, tilgjengeliggjøring eller annen behandling dersom denne finnes å være medisinsk eller etisk uforsvarlig.

Sammenstilling og tilgjengeliggjøring av helseopplysninger kan skje til dataansvarlige eller forskningsansvarlige som har adgang til å behandle personopplysningene etter personvernforordningen artikkel 6 og 9.

Den regionale komiteen for medisinsk og helsefaglig forskningsetikk kan sette vilkår for bruken, blant annet om tiltak for å verne de registrertes grunnleggende rettigheter og interesser.

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder.

Någjeldende § 36 første, annet og tredje ledd, blir henholdsvis nytt annet, tredje og fjerde ledd.

§ 37 oppheves.

Forskningsdeltakeren har rett til innsyn i helseopplysninger om seg selv etter personvernforordningen artikkel 15. Deltakeren har også rett til innsyn i sikkerhetstiltakene ved behandlingen av helseopplysningene så langt innsyn ikke svekker sikkerheten.

Unntakene i personopplysningsloven §§ 16 og 17 fra retten til informasjon og innsyn og fra plikten til underretning om brudd på personopplysningssikkerheten, gjelder tilsvarende for innsyn etter §§ 40 og 41 i loven her.

Avslag på krav om innsyn og informasjon kan overprøves av den regionale komiteen for medisinsk og helsefaglig forskningsetikk.

Datatilsynet fører tilsyn med bruken av helseopplysninger etter denne loven i samsvar med personvernforordningen og personopplysningsloven.

Når Datatilsynet har gitt pålegg, skal Statens helsetilsyn informeres om dette.

Den forskningsansvarlige skal erstatte skader som er oppstått som følge av at humant biologisk materiale er behandlet i strid med bestemmelser gitt i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den forskningsansvarliges side. Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen av det humant biologiske materialet. Den forskningsansvarlige kan også pålegges å betale slik erstatning for skader av ikke-økonomisk art (oppreisning) som synes rimelig.

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, jf. forordningen artikkel 82. Ansvaret gjelder tilsvarende ved behandling av helseopplysninger i strid med denne loven eller forskrifter gitt i medhold av loven.

For forskningsansvarlige og dataansvarlige som er private, skal det ved forsikring stilles sikkerhet for det økonomiske ansvaret som kan oppstå etter andre og tredje ledd.

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Når Datatilsynet har fattet vedtak etter første ledd, skal Statens helsetilsyn informeres om dette.

Statens helsetilsyn kan fastsette en løpende tvangsmulkt for hver dag, uke eller måned som går etter utløpet av den fristen som er satt for oppfylling av pålegget etter § 51, inntil pålegget er oppfylt. En tvangsmulkt kan også fastsettes som engangsmulkt. Statens helsetilsyn kan frafalle en påløpt tvangsmulkt. Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkten før klageinstansen har bestemt det.

Datatilsynet kan fastsette tvangsmulkt etter personopplysningsloven § 29.

25. I lov 17. oktober 2008 nr. 79 om utvalget for gjennomgang av stortingspensjoner oppheves § 3.

26. I lov 19. juni 2009 nr. 97 om dyrevelferd skal § 36 første ledd annet punktum lyde:

Slike registre kan ikke uten samtykke fra den det gjelder, inneholde personopplysninger som omfattes av personvernforordningen artikkel 9 eller 10.

27. I lov 25. november 2011 nr. 44 om verdipapirfond skal § 1-6 lyde:

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer ansatt i et forvaltningsselskap, tilknyttet agent, eller utenlandsk forvaltningsselskap som nevnt i §§ 3-3 første ledd eller 3-4 første ledd, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

28. I lov 24. august 2012 nr. 64 om bustøtte gjøres følgende endringer:

Informasjonsplikta i personvernforordninga artikkel 14 gjeld.

Opplysningar som nemnt i personvernforordninga artikkel 9 og 10 kan ikkje masseinnhentast.

Informasjonsplikta i personvernforordninga artikkel 14 gjeld.

Informasjonsplikta i personvernforordninga artikkel 14 gjeld for opplysningar som er henta inn etter paragrafen her, men den registrerte har først krav på informasjon når kontrollen er ferdig utført.

29. I lov 11. januar 2013 nr. 3 om Statens innkrevingssentral oppheves § 6 annet og tredje ledd.

30. I lov 7. mai 2004 nr. 21 om Riksrevisjonen skal § 17 annet ledd lyde:

Riksrevisjonens behandling av personopplysninger i revisjons- og kontrollarbeidet er unntatt fra artiklene 15, 16, 17, 18 og 19 i personvernforordningen.

31. I lov 20. juni 2014 nr. 28 om forvaltning av alternative investeringsfond skal § 1-6 lyde:

Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer personer som er ansatt hos en forvalter for et alternativt investeringsfond med tillatelse etter § 2-2, eller som er registreringspliktig etter § 1-4, kan behandle slike opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

32. I lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp gjøres følgende endringer:

I denne loven forstås med:

• a) helsehjelp: enhver handling som har forebyggende, diagnostisk, behandlende, helsebevarende, rehabiliterende eller pleie- og omsorgsformål, og som utføres av helsepersonell, jf. helsepersonelloven § 3 første ledd

• b) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, herunder om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

• c) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

• d) behandlingsrettet helseregister: pasientjournal- og informasjonssystem eller annet register, fortegnelse eller lignende, der helseopplysninger er lagret systematisk, slik at opplysninger om den enkelte kan finnes igjen, og som skal gi grunnlag for helsehjelp eller administrasjon av helsehjelp til enkeltpersoner

• e) dataansvarlig: ansvarlig for behandling av helseopplysninger etter personvernforordningen artikkel 4 nr. 7.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene i loven her om behandling av helseopplysninger så langt de passer.

Loven gjelder for dataansvarlige som er etablert i Norge.

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av loven her.

• d)dataansvar.

Forskriften skal gi nærmere bestemmelser om drift, behandling og sikring av helseopplysningene, om dataansvar, om tilgangskontroll og om hvordan rettighetene til pasienten eller brukeren skal ivaretas.

Forskriften skal gi nærmere bestemmelser om behandlingen av opplysningene, om hvilke opplysninger som kan behandles, om den enkeltes rett til å motsette seg behandling av opplysningene og om dataansvar.

Forskriften skal gi nærmere bestemmelser om formålet med behandlingen av opplysningene, hvilke opplysninger som skal behandles, og hvem som er dataansvarlig for opplysningene.

Kongen i statsråd kan i forskrift gi nærmere bestemmelser om drift og behandling av helseopplysninger, for eksempel hvilke opplysninger som skal behandles, hvem som er dataansvarlig, regler om sletting, tilgang og tilgangskontroll, samt pasientens rettigheter.

Pasienten eller brukeren har rett til informasjon og innsyn i henhold til pasient- og brukerrettighetsloven § 3-6 tredje ledd og § 5-1 og til personvernforordningen artikkel 13 og 15.

Innenfor rammen av taushetsplikten skal den dataansvarlige sørge for at relevante og nødvendige helseopplysninger er tilgjengelige for helsepersonell og annet samarbeidende personell når dette er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til den enkelte.

Den dataansvarlige bestemmer på hvilken måte opplysningene skal gjøres tilgjengelige. Opplysningene skal gjøres tilgjengelige på en måte som ivaretar informasjonssikkerheten.

Den dataansvarlige kan gjøre helseopplysninger tilgjengelige for andre formål enn helsehjelp når den enkelte samtykker eller dette er fastsatt i lov eller i medhold av lov. Med samtykke menes enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11.

Den dataansvarlige kan innhente personopplysninger fra Folkeregisteret når dette er nødvendig for å oppfylle den dataansvarliges plikter etter loven. Dette gjelder uten hensyn til om opplysningene er underlagt taushetsplikt etter folkeregisterloven.

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Den dataansvarlige skal dokumentere tiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den dataansvarlige og hos databehandleren.

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

33. I lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger gjøres følgende endringer:

I denne loven forstås med:

• a) helseopplysninger: personopplysninger om en fysisk persons fysiske eller psykiske helse, medregnet om ytelse av helsetjenester, som gir informasjon om vedkommendes helsetilstand, jf. personvernforordningen artikkel 4 nr. 15

• b) behandling av helseopplysninger: enhver operasjon eller rekke av operasjoner som gjøres med helseopplysninger, enten automatisert eller ikke, for eksempel innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring, jf. personvernforordningen artikkel 4 nr. 2

• c) helseregister: enhver strukturert samling av personopplysninger som er tilgjengelig etter særlige kriterier, og som inneholder helseopplysninger, jf. personvernforordningen artikkel 4 nr. 6

• d) dataansvarlig: ansvarlig for behandling av helseopplysninger, jf. personvernforordningen artikkel 4 nr. 7

• e) samtykke: enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av helseopplysninger som gjelder vedkommende, jf. personvernforordningen artikkel 4 nr. 11

• f) indirekte identifiserbare helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, men hvor opplysningene likevel kan knyttes til en enkeltperson.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Någjeldende § 3 tredje og fjerde ledd blir nytt fjerde og femte ledd.

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

Personvernforordningen og personopplysningsloven gjelder så langt ikke noe annet følger av denne loven.

Helseopplysninger skal behandles i samsvar med prinsippene for behandling i personvernforordningen artikkel 5.

Graden av personidentifikasjon skal ikke være større enn nødvendig for det aktuelle formålet. Graden av personidentifikasjon skal begrunnes. Tilsynsmyndigheten kan kreve at den dataansvarlige legger frem begrunnelsen.

Någjeldende § 6 femte ledd blir nytt tredje ledd.

• e) hvem som er dataansvarlig.

• b) opplysningene behandles uten at den dataansvarlige har tilgang til navn, fødselsnummer eller andre direkte personidentifiserende kjennetegn.

Riksarkivaren er dataansvarlig for opplysningene i Helsearkivregisteret, jf. arkivlova § 4.

Forskriften skal angi den dataansvarliges plikt til å gjøre data tilgjengelig.

Dataansvarlige kan innhente personopplysninger de har tillatelse til å behandle etter §§ 8 til 12, fra Folkeregisteret.

Den dataansvarlige kan tilgjengeliggjøre helseopplysninger for sammenstillingen. Med mindre annet følger av lov eller i medhold av lov, skal resultatet av sammenstillingen ikke inneholde navn, fødselsnummer eller andre direkte identifiserende kjennetegn. Sammenstillingen skal gjøres av den dataansvarlige for et av registrene eller en virksomhet departementet bestemmer.

Ut over dette kan helseopplysninger bare sammenstilles med andre opplysninger når dette er tillatt etter personvernforordningen, personopplysningsloven eller annen lov.

Taushetsplikt er ikke til hinder for at den dataansvarlige kan tilgjengeliggjøre indirekte identifiserbare helseopplysninger til forskning, helseanalyser, og kvalitetssikring, administrasjon, planlegging eller styring av helse- og omsorgstjenesten.

Helseopplysningene kan bare tilgjengeliggjøres dersom behandlingen av dem er av vesentlig interesse for samfunnet, hensynet til pasientens integritet og konfidensialitet er ivaretatt, og behandlingen er ubetenkelig ut fra etiske, medisinske og helsefaglige hensyn. Den dataansvarlige kan stille vilkår for tilgjengeliggjøringen for å verne den registrertes grunnleggende rettigheter og interesser.

Den dataansvarlige og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. personvernforordningen artikkel 32. Den dataansvarlige og databehandleren skal blant annet sørge for tilgangsstyring, logging og etterfølgende kontroll. I registre som er etablert med hjemmel i §§ 10 eller 11, skal direkte personidentifiserende kjennetegn lagres kryptert.

Departementet kan i forskrift fastsette nærmere krav til informasjonssikkerhet ved behandling av helseopplysninger.

Den dataansvarlige skal gjennomføre tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen, personopplysningsloven og denne loven, jf. forordningen artikkel 24.

Departementet kan i forskrift gi nærmere regler om tekniske og organisatoriske tiltak etter første ledd.

En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.

Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.

Den registrerte kan kreve retting eller sletting etter personvernforordningen artikkel 16 og 17. Unntaket i personopplysningsloven § 17 andre og tredje ledd gjelder. Den registrerte kan også kreve at helseopplysninger som behandles etter §§ 8 til 11, skal slettes eller sperres, dersom behandling av opplysningene føles sterkt belastende for den registrerte, og det ikke finnes sterke allmenne hensyn som tilsier at opplysningene behandles. Krav om retting, sletting eller sperring av opplysninger rettes til den dataansvarlige for opplysningene.

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller Fylkesmannen etter helsetilsynsloven.

Ved behandling av helseopplysninger i strid med loven eller forskrifter gitt i medhold av loven, kan Datatilsynet ilegge overtredelsesgebyr etter personvernforordningen artikkel 83 og personopplysningsloven §§ 26 og 27.

Den dataansvarlige og databehandleren skal erstatte skader som er oppstått som følge av at helseopplysninger er behandlet i strid med personvernforordningen, etter forordningen artikkel 82 og personopplysningsloven § 30. Ansvaret gjelder tilsvarende ved brudd på denne loven eller forskrifter gitt i medhold av loven.

34. I lov 10. april 2015 nr. 17 om finansforetak og finanskonsern skal § 9-8 første ledd lyde:

(1) Næringsorganisasjon eller tilknyttet juridisk enhet som gir opplæring til og autoriserer ansatte i finansforetak, foretak som opptrer som agent eller annen formidler for finansforetak og utenlandsk finansforetak som skal drive eller driver virksomhet her i riket, kan behandle opplysninger som nevnt i personvernforordningen artikkel 10 som ledd i vurderingen av om en ansatt skal gis autorisasjon, fratas autorisasjon eller gis advarsel.

35. I lov 4. september 2015 nr. 85 om gjennomføring av konvensjon 19. oktober 1996 om jurisdiksjon, lovvalg, anerkjennelse, fullbyrdelse og samarbeid vedrørende foreldremyndighet og tiltak for beskyttelse av barn skal § 3 lyde:

I tilfeller der norske myndigheter etter konvensjonen har plikt til å gi opplysninger, kan dette skje uten hinder av lovbestemt taushetsplikt. Tilsvarende gjelder der konvensjonen legger til rette for at opplysninger kan gis etter anmodning.

36. I lov 16. juni 2017 nr. 47 om gjeldsinformasjon ved kredittvurdering av privatpersoner gjøres følgende endringer:

• c) kredittopplysningsforetak: foretak som driver kredittopplysningsvirksomhet i samsvar med personopplysningsloven,

• c) kredittopplysningsforetak, når disse etter forespørsel fra kredittytere som nevnt i bokstav a og b skal foreta kredittvurdering, eller når disse skal utarbeide kredittscore etter forespørsel fra noen som har saklig behov for å innhente kredittopplysninger, og

Kredittopplysningsforetak kan også utlevere opplysning om kredittscore hvor gjeldsopplysninger inngår i beregningsgrunnlaget, til den som har saklig behov for opplysningen.

37. I lov 16. juni 2017 nr. 53 om endringar i pasient- og brukarrettslova, helsepersonellova m.m. (styrking av rettsstillinga til barn ved yting av helse- og omsorgstenester m.m.) gjøres følgende endringer:

I romertall VII endres følgende:

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 16, straffes med bøter eller fengsel inntil ett år.

Någjeldende annet ledd blir tredje ledd.

I romertall VIII endres følgende:

Den som forsettlig eller grovt uaktsomt overtrer forbudet mot urettmessig tilegnelse av helseopplysninger i § 18, straffes med bøter eller fengsel inntil ett år.

Någjeldende annet ledd blir tredje ledd.

38. I lov 15. desember 2017 nr. 112 om utprøving av selvkjørende kjøretøy skal § 3 første ledd lyde:

Vegtrafikkloven med forskrifter, yrkestransportlova med forskrifter og personopplysningsloven med forskrifter gjelder under utprøving av selvkjørende kjøretøy, med mindre annet følger av denne loven eller forskrifter gitt med hjemmel i denne.