Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL VI Uavhengige tilsynsmyndigheter

Avsnitt 1 Uavhengig stilling

Artikkel 51.Tilsynsmyndighet
1. Hver medlemsstat skal sikre at en eller flere uavhengige offentlige myndigheter har ansvar for å føre tilsyn med anvendelsen av denne forordning for å verne fysiske personers grunnleggende rettigheter og friheter i forbindelse med behandling, og for å fremme den frie flyten av personopplysninger i Unionen («tilsynsmyndighet»).
2. Hver tilsynsmyndighet skal bidra til en ensartet anvendelse av denne forordning i hele Unionen. For dette formål skal tilsynsmyndighetene samarbeide med hverandre og med Kommisjonen i samsvar med kapittel VII.
3. Dersom mer enn én tilsynsmyndighet er etablert i en medlemsstat, skal nevnte medlemsstat utpeke en tilsynsmyndighet som skal representere disse myndighetene i Personvernrådet, og fastsette en mekanisme for å sikre at de andre myndighetene overholder reglene for konsistensmekanismen nevnt i artikkel 63.
4. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette kapittel, og uten opphold om eventuelle senere endringer som påvirker dem.
Artikkel 52.Uavhengighet
1. Hver tilsynsmyndighet skal utføre sine oppgaver og utøve sin myndighet etter denne forordning i full uavhengighet.
2. Når medlemmet/medlemmene av hver tilsynsmyndighet utfører sine oppgaver og utøver sin myndighet i samsvar med denne forordning, skal de ikke utsettes for påvirkninger utenfra, verken direkte eller indirekte, og skal ikke anmode om eller motta instrukser fra noen.
3. Medlemmet/medlemmene av hver tilsynsmyndighet skal avstå fra enhver handling som ikke er forenlig med vedkommendes oppgaver, og skal så lenge utnevnelsesperioden varer, ikke utøve en uforenlig yrkesvirksomhet, verken lønnet eller ulønnet.
4. Hver medlemsstat skal sikre at hver tilsynsmyndighet har de menneskelige, tekniske og økonomiske ressurser og lokaler samt infrastruktur som er nødvendig for å kunne utføre sine oppgaver og utøve sin myndighet på en effektiv måte, herunder i forbindelse med gjensidig bistand, samarbeid og deltaking i Personvernrådet.
5. Hver medlemsstat skal sikre at hver tilsynsmyndighet velger og har sitt eget personell som utelukkende skal stå under ledelse av medlemmet/medlemmene av den berørte tilsynsmyndighet.
6. Hver medlemsstat skal sikre at hver tilsynsmyndighet er underlagt finansiell kontroll som ikke påvirker dens uavhengighet, og at den har separate, offentlige årsbudsjetter som kan være en del av det samlede statsbudsjettet eller nasjonalbudsjettet.
Artikkel 53.Generelle vilkår for medlemmer av tilsynsmyndigheten
1. Medlemsstatene skal ved hjelp av en åpen framgangsmåte sikre at hvert medlem av deres tilsynsmyndigheter utnevnes av
deres parlament,
deres regjering,
deres statsoverhode
eller et uavhengig organ som har fått ansvar for utnevnelsen i henhold til medlemsstatens nasjonale rett.
2. Hvert medlem skal ha de kvalifikasjoner, den erfaring og den kompetanse, særlig på området vern av personopplysninger, som er nødvendig for å utføre sine oppgaver og utøve sin myndighet.
3. Et medlems oppgaver opphører ved utløpet av utnevnelsesperioden, ved avgang eller ved avsettelse i samsvar med nasjonal rett i den berørte medlemsstat.
4. Et medlem kan bare avskjediges ved alvorlig forsømmelse eller dersom medlemmet ikke lenger oppfyller vilkårene for å utføre oppgavene.
Artikkel 54.Regler om opprettelse av tilsynsmyndigheten
1. Hver medlemsstat skal ved lov fastsette følgende:
a.opprettelse av hver tilsynsmyndighet,
b.de nødvendige kvalifikasjonene og utvelgelseskriteriene for å kunne bli utnevnt som medlem av en tilsynsmyndighet,
c.reglene om og framgangsmåtene for utnevnelse av medlemmet/medlemmene av hver tilsynsmyndighet,
d.varigheten av mandatet til medlemmet/medlemmene av hver tilsynsmyndighet, som skal være minst fire år, bortsett fra den første utnevnelsen etter 24. mai 2016, som kan ha kortere varighet dersom det er nødvendig for å sikre tilsynsmyndighetens uavhengighet ved hjelp av en trinnvis utnevnelsesprosess,
e.om mandatet til medlemmet/medlemmene av hver tilsynsmyndighet kan fornyes, og eventuelt hvor mange ganger,
f.de vilkår som gjelder for forpliktelsene til medlemmet/medlemmene av og personellet hos hver tilsynsmyndighet, forbud mot aktiviteter, yrkesvirksomhet og fordeler som er uforenlige med disse i og etter utnevnelsesperioden, samt regler om avslutning av arbeidsforholdet.
2. Medlemmet/medlemmene og personellet hos hver tilsynsmyndighet skal, i samsvar med unionsretten eller medlemsstatenes nasjonale rett, både i og etter utnevnelsesperioden være bundet av taushetsplikt med hensyn til eventuell konfidensiell informasjon de får kjennskap til under utførelsen av sine oppgaver eller utøvelsen av sin myndighet. I utnevnelsesperioden skal taushetsplikten særlig omfatte fysiske personers varsling om overtredelser av denne forordning.

Avsnitt 2 Kompetanse, oppgaver og myndighet

Artikkel 55.Kompetanse
1. Hver tilsynsmyndighet skal ha kompetanse til å utføre de oppgaver og utøve den myndighet den gis i samsvar med denne forordning, på sin medlemsstats territorium.
2. Dersom behandlingen utføres av offentlige myndigheter eller private organer som handler på grunnlag av artikkel 6 nr. 1 bokstav c) eller e), er det tilsynsmyndighetene i den berørte medlemsstaten som skal ha kompetanse. I slike tilfeller får artikkel 56 ikke anvendelse.
3. Tilsynsmyndigheter skal ikke ha kompetanse til å føre tilsyn med domstolers behandlingsaktiviteter når disse handler innenfor rammen av sin domsmyndighet.
Artikkel 56.Den ledende tilsynsmyndighets kompetanse
1. Uten at det berører artikkel 55, skal tilsynsmyndigheten for den behandlingsansvarliges eller databehandlerens hovedvirksomhet eller eneste virksomhet ha kompetanse til å fungere som ledende tilsynsmyndighet i forbindelse med grenseoverskridende behandling som utføres av nevnte behandlingsansvarlig eller databehandler i samsvar med framgangsmåten fastsatt i artikkel 60.
2. Som unntak fra nr. 1 skal hver tilsynsmyndighet ha kompetanse til å behandle en mottatt klage eller en mulig overtredelse av denne forordning dersom klagens gjenstand bare gjelder en virksomhet i dens medlemsstat eller i vesentlig grad påvirker registrerte bare i dens medlemsstat.
3. I tilfellene nevnt i nr. 2 i denne artikkel skal tilsynsmyndigheten uten opphold underrette den ledende tilsynsmyndigheten om forholdet. Innen en frist på tre uker etter å ha mottatt underretning skal den ledende tilsynsmyndigheten beslutte om den skal behandle saken eller ikke i samsvar med framgangsmåten fastsatt i artikkel 60, idet det tas hensyn til hvorvidt den behandlingsansvarlige eller databehandleren har en virksomhet eller ikke i medlemsstaten til tilsynsmyndigheten som har gitt underretningen.
4. Dersom den ledende tilsynsmyndigheten beslutter å behandle saken, får framgangsmåten fastsatt i artikkel 60 anvendelse. Tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, kan legge fram et utkast til avgjørelse for den ledende tilsynsmyndigheten. Den ledende tilsynsmyndigheten skal i størst mulig grad ta hensyn til nevnte utkast ved utarbeiding av utkastet til avgjørelse nevnt i artikkel 60 nr. 3.
5. Dersom den ledende tilsynsmyndigheten beslutter å ikke behandle saken, skal tilsynsmyndigheten som underrettet den ledende tilsynsmyndigheten, behandle saken i henhold til artikkel 61 og 62.
6. Den ledende tilsynsmyndigheten skal være den behandlingsansvarliges eller databehandlerens eneste kontaktpunkt i forbindelse med den grenseoverskridende behandlingen som utføres av nevnte behandlingsansvarlig eller databehandler.
Artikkel 57.Oppgaver
1. Uten at det berører andre oppgaver fastsatt i denne forordning, skal hver tilsynsmyndighet på sitt territorium
a.føre tilsyn med og håndheve anvendelsen av denne forordning,
b.fremme allmennhetens kjennskap til og forståelse for risikoer, regler, garantier og rettigheter i forbindelse med behandling. Aktiviteter rettet spesielt mot barn skal vies særlig oppmerksomhet,
c.rådgi, i samsvar med medlemsstatenes nasjonale rett, det nasjonale parlament, regjeringen og andre institusjoner og organer om lovgivning og administrative tiltak knyttet til vern av fysiske personers rettigheter og friheter ved behandling,
d.fremme de behandlingsansvarliges og databehandlernes kjennskap til de forpliktelsene de har i henhold til denne forordning,
e.på anmodning informere registrerte om utøvelse av de rettighetene de har i henhold til denne forordning og, dersom det er relevant, samarbeide med tilsynsmyndighetene i andre medlemsstater om dette,
f.behandle klager som er inngitt av en registrert eller et organ, en organisasjon eller en sammenslutning i samsvar med artikkel 80, og undersøke, i den grad det er hensiktsmessig, klagens gjenstand og underrette klageren om forløpet og utfallet av undersøkelsen innen en rimelig frist, særlig dersom det er behov for videre undersøkelse eller samordning med en annen tilsynsmyndighet,
g.samarbeide med andre tilsynsmyndigheter, herunder ved å utveksle informasjon og yte gjensidig bistand, for å sikre ensartet anvendelse og håndheving av denne forordning,
h.gjennomføre undersøkelser om anvendelsen av denne forordning, herunder på grunnlag av informasjon mottatt fra en annen tilsynsmyndighet eller en annen offentlig myndighet,
i.følge relevant utvikling, i den grad den har innvirkning på personvern, særlig utviklingen innen informasjons- og kommunikasjonsteknologi og handelspraksis,
j.vedta standardavtalevilkår som nevnt i artikkel 28 nr. 8 og artikkel 46 nr. 2 bokstav d),
k.opprette og vedlikeholde en liste i forbindelse med kravene til vurderingen av personvernkonsekvenser i henhold til artikkel 35 nr. 4,
l.gi råd om behandlingsaktivitetene nevnt i artikkel 36 nr. 2,
m.oppmuntre til utarbeiding av atferdsnormer i henhold til artikkel 40 nr. 1 og avgi uttalelse om og godkjenne slike atferdsnormer som gir tilstrekkelige garantier, i henhold til artikkel 40 nr. 5,
n.oppmuntre til innføring av mekanismer for personvernsertifisering samt personvernsegl og -merker i henhold til artikkel 42 nr. 1, og å godkjenne kriteriene for sertifisering i henhold til artikkel 42 nr. 5,
o.dersom det er relevant, foreta en regelmessig gjennomgåelse av sertifiseringene utstedt i samsvar med artikkel 42 nr. 7,
p.utarbeide et utkast til og offentliggjøre kravene for akkreditering av et organ med ansvar for tilsyn med atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
q.foreta akkreditering av et organ med ansvar for overvåking av atferdsnormer i henhold til artikkel 41 og et sertifiseringsorgan i henhold til artikkel 43,
r.godkjenne avtalevilkår og bestemmelser som nevnt i artikkel 46 nr. 3,
s.godkjenne bindende virksomhetsregler i henhold til artikkel 47,
t.bidra i Personvernrådets arbeid,
u.føre interne registre over overtredelser av denne forordning og over tiltak som er truffet i samsvar med artikkel 58 nr. 2, og
v.utføre enhver annen oppgave knyttet til vern av personopplysninger.
2. Hver tilsynsmyndighet skal legge til rette for inngivelse av klager som nevnt i nr. 1 bokstav f) ved hjelp av tiltak som f.eks. et klageskjema som også kan fylles ut elektronisk, uten å utelukke andre kommunikasjonsmidler.
3. Oppgavene som hver tilsynsmyndighet utfører, skal være gratis for den registrerte og, dersom det er relevant, for personvernombudet.
4. Dersom anmodninger er åpenbart grunnløse eller overdrevne, især fordi de gjentas, kan tilsynsmyndigheten kreve et rimelig gebyr basert på administrasjonskostnadene, eller nekte å etterkomme anmodningen. Tilsynsmyndigheten skal bære bevisbyrden for at en anmodning er åpenbart grunnløs eller overdreven.
Artikkel 58.Myndighet
1. Hver tilsynsmyndighet skal ha følgende undersøkelsesmyndighet:
a.pålegge den behandlingsansvarlige og databehandleren og, dersom det er relevant, disses representant, å framlegge all informasjon den trenger for å kunne utføre sine oppgaver,
b.utføre undersøkelser i form av personvernrevisjoner,
c.foreta en gjennomgåelse av sertifiseringer utstedt i henhold til artikkel 42 nr. 7,
d.underrette den behandlingsansvarlige eller databehandleren om en påstått overtredelse av denne forordning,
e.få tilgang, fra den behandlingsansvarlige og databehandleren, til alle personopplysninger og all informasjon som er nødvendig for å kunne utføre oppgavene den er gitt,
f.få adgang til alle lokaler hos den behandlingsansvarlige eller databehandleren, herunder til alt databehandlingsutstyr og -midler, i samsvar med unionsretten eller medlemsstatenes prosessrett.
2. Hver tilsynsmyndighet skal ha myndighet til å beslutte følgende korrigerende tiltak:
a.utstede advarsler til en behandlingsansvarlig eller databehandler om at de planlagte behandlingsaktivitetene sannsynligvis er i strid med bestemmelsene i denne forordning,
b.utstede irettesettelser til en behandlingsansvarlig eller databehandler dersom behandlingsaktivitetene er i strid med bestemmelsene i denne forordning,
c.pålegge den behandlingsansvarlige eller databehandleren å imøtekomme den registrertes anmodninger om å utøve sine rettigheter i henhold til denne forordning,
d.pålegge den behandlingsansvarlige eller databehandleren å sørge for at behandlingsaktivitetene skjer i samsvar med bestemmelsene i denne forordning og, dersom det er relevant, på en bestemt måte og innen en bestemt frist,
e.pålegge den behandlingsansvarlige å underrette den registrerte om brudd på personopplysningssikkerheten,
f.innføre en midlertidig eller varig begrensning av, herunder et forbud mot, behandling,
g.pålegge retting eller sletting av personopplysninger eller begrensning av behandlingen i henhold til artikkel 16, 17 og 18 og underretning av mottakere som personopplysningene er utlevert til i henhold til artikkel 17 nr. 2 og artikkel 19, om nevnte tiltak,
h.trekke tilbake en sertifisering eller pålegge sertifiseringsorganet å trekke tilbake en sertifisering utstedt i henhold til artikkel 42 og 43, eller pålegge sertifiseringsorganet å ikke utstede sertifisering dersom kravene til sertifisering ikke lenger er oppfylt,
i.ilegge overtredelsesgebyrer i henhold til artikkel 83 i tillegg til, eller i stedet for, tiltak som det vises til i dette nummer, avhengig av omstendighetene i hvert enkelt tilfelle,
j.gi påbud om et midlertidig opphold i datastrømmene til en mottaker i en tredjestat eller til en internasjonal organisasjon.
3. Hver tilsynsmyndighet skal ha følgende myndighet til å godkjenne og gi råd:
a.rådgi den behandlingsansvarlige i samsvar med framgangsmåten for forhåndsdrøftinger nevnt i artikkel 36,
b.avgi uttalelse, på eget initiativ eller på anmodning, til det nasjonale parlamentet, medlemsstatens regjering eller, i samsvar med medlemsstatenes nasjonale rett, til andre institusjoner og organer samt allmennheten om eventuelle spørsmål knyttet til vern av personopplysninger,
c.godkjenne behandlingen nevnt i artikkel 36 nr. 5 dersom det i medlemsstatens nasjonale rett kreves slik forhåndsgodkjenning,
d.avgi uttalelse om og godkjenne utkast til atferdsnormer i henhold til artikkel 40 nr. 5,
e.akkreditere sertifiseringsorganer i henhold til artikkel 43,
f.utstede sertifiseringer og godkjenne kriterier for sertifisering i samsvar med artikkel 42 nr. 5,
g.vedta standard personvernbestemmelser nevnt i artikkel 28 nr. 8 og i artikkel 46 nr. 2 bokstav d),
h.godkjenne avtalevilkår som nevnt i artikkel 46 nr. 3 bokstav a),
i.godkjenne administrative ordninger som nevnt i artikkel 46 nr. 3 bokstav b),
j.godkjenne bindende virksomhetsregler i henhold til artikkel 47.
4. Utøvelse av den myndighet som tilsynsmyndigheten gis i henhold til denne artikkel, skal være underlagt nødvendige garantier, herunder effektive rettsmidler og rettferdig rettergang, fastsatt i unionsretten og medlemsstatenes nasjonale rett i samsvar med pakten.
5. Hver medlemsstat skal ved lov fastsette at dens tilsynsmyndighet skal ha myndighet til å opplyse rettshåndhevende myndigheter om overtredelser av denne forordning og, der det er relevant, til å innlede eller på annen måte opptre i rettssaker med det som mål å håndheve bestemmelsene i denne forordning.
6. Hver medlemsstat kan ved lov fastsette at dens tilsynsmyndighet skal ha mer omfattende myndighet enn det som angis i nr. 1, 2 og 3. Utøvelsen av nevnte myndighet skal ikke hindre en effektiv anvendelse av kapittel VII.
Artikkel 59.Årsrapporter

Hver tilsynsmyndighet skal utarbeide en årlig rapport om sin virksomhet som kan inneholde en liste over hvilke typer overtredelser som er meldt, og hvilke typer tiltak som er truffet i samsvar med artikkel 58 nr. 2. Nevnte rapporter skal oversendes til det nasjonale parlamentet, regjeringen og andre myndigheter som er utpekt i henhold til medlemsstatens nasjonale rett. De skal gjøres tilgjengelig for allmennheten, Kommisjonen og Personvernrådet.