Glemt Passord?

Personopplysningsloven

noen viktige arkivfaglige paragrafer

§ 8. Vilkår for å behandle personopplysninger

Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for

a) å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås,
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,
c) å vareta den registrertes vitale interesser,
d) å utføre en oppgave av allmenn interesse,
e) å utøve offentlig myndighet, eller
f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen.

§ 9. Behandling av sensitive personopplysninger

Sensitive personopplysninger (jf. § 2 nr. 8) kan bare behandles dersom behandlingen oppfyller et av vilkårene i § 8 og

a) den registrerte samtykker i behandlingen,
b) det er fastsatt i lov at det er adgang til slik behandling,
c) behandlingen er nødvendig for å beskytte en persons vitale interesser, og den registrerte ikke er i stand til å samtykke,
d) det utelukkende behandles opplysninger som den registrerte selv frivillig har gjort alminnelig kjent,
e) behandlingen er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav,
f) behandlingen er nødvendig for at den behandlingsansvarlige kan gjennomføre sine arbeidsrettslige plikter eller rettigheter,
g) behandlingen er nødvendig for forebyggende sykdomsbehandling, medisinsk diagnose, sykepleie eller pasientbehandling eller for forvaltning av helsetjenester, og opplysningene behandles av helsepersonell med taushetsplikt, eller
h) behandlingen er nødvendig for historiske, statistiske eller vitenskapelige formål, og samfunnets interesse i at behandlingen finner sted klart overstiger ulempene den kan medføre for den enkelte.

Ideelle sammenslutninger og stiftelser kan behandle sensitive personopplysninger innenfor rammen av sin virksomhet selv om behandlingen ikke oppfyller et av vilkårene i første ledd bokstav a - h. Behandlingen kan bare omfatte opplysninger om medlemmer eller personer som på grunn av sammenslutningens eller stiftelsens formål frivillig er i regelmessig kontakt med den, og bare opplysninger som innsamles gjennom denne kontakten. Personopplysningene kan ikke utleveres uten at den registrerte samtykker.

Datatilsynet kan bestemme at sensitive personopplysninger kan behandles også i andre tilfeller dersom viktige samfunnsinteresser tilsier det og det settes i verk tiltak for å sikre den registrertes interesser.

§ 11. Grunnkrav til behandling av personopplysninger

Den behandlingsansvarlige skal sørge for at personopplysningene som behandles

a) bare behandles når dette er tillatt etter § 8 og § 9,
b) bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet,
c) ikke brukes senere til formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker,
d) er tilstrekkelige og relevante for formålet med behandlingen, og
e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. § 27 og § 28.

Senere behandling av personopplysningene for historiske, statistiske eller vitenskapelige formål anses ikke uforenlig med de opprinnelige formålene med innsamlingen av opplysningene, jf. første ledd bokstav c, dersom samfunnets interesse i at behandlingen finner sted, klart overstiger ulempene den kan medføre for den enkelte.

 

§ 12. Bruk av fødselsnummer m.v.

Fødselsnummer og andre entydige identifikasjonsmidler kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering.

Datatilsynet kan pålegge en behandlingsansvarlig å bruke identifikasjonsmidler som nevnt i første ledd for å sikre at personopplysningene har tilstrekkelig kvalitet.

Kongen kan gi forskrift med nærmere regler om bruk av fødselsnummer og andre entydige identifikasjonsmidler.

 

§ 31. Meldeplikt

Den behandlingsansvarlige skal gi melding til Datatilsynet før

a) behandling av personopplysninger med elektroniske hjelpemidler,
b) opprettelse av manuelt personregister som inneholder sensitive personopplysninger.

Meldingen skal gis senest 30 dager før behandlingen tar til. Datatilsynet skal gi den behandlingsansvarlige kvittering for at melding er mottatt.

Ny melding må gis før behandling som går ut over den rammen for behandling som er angitt i medhold av § 32. Selv om det ikke har skjedd endringer, skal det gis ny melding tre år etter at forrige melding ble gitt.

Kongen kan gi forskrift om at visse behandlingsmåter eller behandlingsansvarlige er unntatt fra meldeplikt, underlagt forenklet meldeplikt eller underlagt konsesjonsplikt. For behandlinger som unntas fra meldeplikt kan det gis forskrift for å begrense ulemper som behandlingen ellers kan medføre for den registrerte.

 

Hele loven finner du på Lovdata