Kort om personopplysningsloven og GDPR-forordningen

Lov om behandling av personopplysninger av 15. Juni 2018 nr. 38 (personopplysningsloven) består både av nasjonale regler og EU-reglement gjennom EUs personvernforordning (GDPR, som er en forkortelse for General Data Protection Regulation). Personvernforordningen (2016/679) gjelder for alle EU/EØS-land. Sammen med særlovgivning om personvern på enkelte områder, utgjør dette personvernregelverket.

GDPR-forordningens hovedformål er å styrke og harmonisere personvernet ved behandling av sensitive personopplysninger. Forordningen trådte i kraft våren 2018, og avløste personverndirektivet (95/46/EF). GDPR-forordningen gir bl.a. nærmere regler om virkeområde, gyldig samtykke, personvernombud, sikkerhetsbrudd, databehandleravtale, sanksjoner, rett til sletting og dataportabilitet.

 

Lovkommentarforfattere

Eva Jarbekk har kommentert personopplysningsloven og den tilhørende GDPR-forordningen. Danske ekspertkommentatorer har kommentert GDPR-forordningen i EU-Karnov.

 

Få gratis prøvetilgang

 

Lovkommentar #1 (Stjernenote)

Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) hører under Justis- og beredskapsdepartementet (JD). Loven angir at forordning (EU) 2016/679 (personvernforordningen eller forordningen), gjelder som norsk lov. Både personopplysningsloven og forordningen har omfattende bestemmelser om behandling av personopplysninger som har stor innvirkning på både individer, privat næringsliv og offentlig sektor. Personopplysningsloven erstatter tidligere lov 14. april 2000 nr. 31. Forarbeidene til loven er Prop. 56 LS 2017-2018.

Det finnes flere norske kommentarutgaver til personopplysningsloven, men den mest omfattende kommentaren er på engelsk og omfatter kun selve personvernforordningen, se Christopher Kuner, Lee A. Bygrave og Christopher Docksey (red.), The EU General Data Protection Regulation (GDPR) - A Commenatry, Oxford University Press, 2020. De har også utgitt en oversikt over endringer mellom 1. august 2019 til 1. januar 2021 som er tilgjengelig her: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3839645.

Annen litteratur som er sentral for norske brukere, er Åste Marie Bergseng Skullerud, Cecilie Rønnevik, Jørgen Skorstad og Marius Engh Pellerud, Personvernforordningen (GDPR) Kommentarutgave, Universitetsforlaget, 2018; Eva Jarbekk (red.), Personopplysninger og personvernforordningen (GDPR) med kommentarer, Gyldendal Norsk Forlag AS, 2019; Eva Jarbekk og Simen Sommerfeldt, Personvern og GDPR i praksis, Cappelen Damm AS, 2019; Roy Johansen, Håndbok - Behandling av kundeopplysninger i forsikring - Innhenting, bruk og utlevering av person- og bedriftsopplysninger i lys av GDPR og taushetsplikt, Frende forsikring, 2019; Dag Wiese Schartum og Lee A. Bygrave, Personvern i informasjonssamfunnet, 3. utg., Fagbokforlaget, 2016 og David Frydlinger, Tobias Edvardsson, Caroline Olstedt Calström og Sandra Beyer, GDPR - Juridik, organisation och säkerhet enligt dataskyddsförordningen, Nordstedts Juridik AB, 2018.  

Det er en stor og økende mengde avgjørelser fra norske og europeiske tilsynsmyndigheter og domstoler som er viktige når man skal tolke regelverket. Ettersom det er et europeisk regelverk, er også kilder fra andre EFTA-land relevante. I Norge er også avgjørelser fra Personvernnemnda viktige, disse er tilgjengelig på https://www.personvernnemnda.no/. Retningslinjer fra Personvernrådet (på engelsk European Data Protection Board, EDPB) er også sentrale rettskilder og er tilgjengelige her https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_en.

Enkelte veiledere gitt av den tidligere såkalte article 29 Working Party (også ofte benevnt WP29-gruppen eller bare WP29) under det tidligere europeiske personverndirektivet 95/46/EF, er også relevante fremdeles da de gir uttrykk for tolkninger som fremdeles er aktuelle for prinsipper som er videreført i personvernforordningen. Personvernrådets beslutning om å videreføre (endorse) endel av de eldre veiledningene er tilgjengelig her https://edpb.europa.eu/sites/default/files/files/news/endorsement_of_wp29_documents_en_0.pdf

De enkelte veilederene som er videreført (endorsed) er tilgjengelig her: https://edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_e

Det danske Datatilsynet har laget en standard databehandleravtale, som er tilgjengelig på engelsk og dansk. Det norske Datatilsynet har laget en norsk uoffisiell oversettelse. Avtalen har vært lagt frem for Personvernrådet, som har sikret at den oppfyller kravene etter personvernforordningen. Avtalen kan dermed også brukes som en mal i Norge. Klikk her for å laste ned malen, med lovkommentarforfatters merknader og innspill.