Lov om behandling av personopplysninger (personopplysningsloven)

EUROPAPARLAMENTS- OG RÅDSFORORDNING (EU) 2016/679 av 27. april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (generell personvernforordning) [PVF, GDPR]

KAPITTEL VIII Rettsmidler, ansvar og sanksjoner

Artikkel 77.Rett til å klage til en tilsynsmyndighet

1. Uten at det berører annen administrativ eller rettslig prøving, skal enhver registrert ha rett til å klage til en tilsynsmyndighet, særlig i den medlemsstat der vedkommende har sitt vanlige bosted, har sitt arbeidssted eller der den påståtte overtredelsen har funnet sted, dersom den registrerte anser at behandlingen av personopplysninger som gjelder vedkommende, er i strid med denne forordning.
2. Tilsynsmyndigheten som klagen er inngitt til, skal underrette klageren om klagebehandlingsforløpet og utfallet av klagen, herunder muligheten for rettslig prøving i henhold til artikkel 78.

Artikkel 78.Rett til et effektivt rettsmiddel overfor en tilsynsmyndighet

1. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver fysisk eller juridisk person ha rett til et effektivt rettsmiddel overfor en rettslig bindende avgjørelse som gjelder dem, og som er truffet av en tilsynsmyndighet.
2. Uten at det berører annen administrativ eller ikke-rettslig prøving, skal enhver registrert ha rett til et effektivt rettsmiddel dersom tilsynsmyndigheten som har kompetanse i henhold til artikkel 55 og 56, ikke behandler en klage eller ikke underretter den registrerte innen tre måneder om klagebehandlingsforløpet eller utfallet av klagen som er inngitt i henhold til artikkel 77.
3. En sak mot en tilsynsmyndighet skal bringes inn for domstolene i medlemsstaten der tilsynsmyndigheten er etablert.
4. Dersom det anlegges sak mot en tilsynsmyndighets avgjørelse som ble truffet etter en uttalelse eller en avgjørelse fra Personvernrådet innenfor rammen av konsistensmekanismen, skal tilsynsmyndigheten framlegge nevnte uttalelse eller avgjørelse for domstolen.

Artikkel 79.Rett til et effektivt rettsmiddel overfor en behandlingsansvarlig eller databehandler

1. Uten at det berører annen tilgjengelig administrativ eller ikke-rettslig prøving, herunder retten til å klage til en tilsynsmyndighet i henhold til artikkel 77, skal enhver registrert ha rett til et effektivt rettsmiddel dersom vedkommende anser at vedkommendes rettigheter i henhold til denne forordning er krenket som følge av at vedkommendes personopplysninger er blitt behandlet på en måte som ikke er i samsvar med denne forordning.
2. En sak mot en behandlingsansvarlig eller databehandler skal bringes inn for domstolene i medlemsstaten der den behandlingsansvarlige eller databehandleren er etablert. Alternativt kan en slik sak bringes inn for domstolene i medlemsstaten der den registrerte til vanlig er bosatt, med mindre den behandlingsansvarlige eller databehandleren er en offentlig myndighet som handler innenfor rammen av sin offentlige myndighet.

Artikkel 80.Representasjon av registrerte

1. Den registrerte skal ha rett til å gi et ideelt organ eller en ideell organisasjon eller sammenslutning som er opprettet i samsvar med nasjonal rett i en medlemsstat, som har vedtektsfestede formål som er i allmennhetens interesse, og som er aktiv på området vern av registrertes rettigheter og friheter med hensyn til vern av deres personopplysninger, fullmakt til å klage på vedkommendes vegne, utøve rettighetene nevnt i artikkel 77, 78 og 79 på vedkommendes vegne og utøve retten til å motta erstatning nevnt i artikkel 82 på vedkommendes vegne dersom det er fastsatt i medlemsstatenes nasjonale rett.
2. Medlemsstatene kan fastsette at ethvert organ eller enhver organisasjon eller sammenslutning nevnt i nr. 1 i denne artikkel, uavhengig av en registrerts fullmakt, i nevnte medlemsstat har rett til å klage til tilsynsmyndigheten som har kompetanse i henhold til artikkel 77, og til å utøve rettighetene nevnt i artikkel 78 og 79 dersom den/det anser at den registrertes rettigheter i henhold til denne forordning er blitt krenket som følge av behandlingen.

Artikkel 81.Utsettelse av en sak

1. Dersom vedkommende domstol i en medlemsstat har informasjon om at det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av den samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, skal den kontakte nevnte domstol i den andre medlemsstaten for å få bekreftet at foreligger en slik sak.
2. Dersom det verserer en sak om samme saksgjenstand med hensyn til behandling foretatt av samme behandlingsansvarlige eller databehandler ved en domstol i en annen medlemsstat, kan enhver annen vedkommende domstol enn den som saken først ble brakt inn for, utsette saken.
3. Dersom nevnte sak verserer ved første instans, kan enhver annen domstol enn den som saken først ble brakt inn for, på anmodning fra en av partene også erklære at den ikke er domsmyndig dersom domstolen som saken først ble brakt inn for, har domsmyndighet til å behandle de aktuelle sakene, og dens lovgivning tillater forening av dette.

Artikkel 82.Rett til erstatning og erstatningsansvar

1. Enhver person som har lidd materiell eller ikke-materiell skade som følge av en overtredelse av denne forordning, skal ha rett til å motta erstatning fra den behandlingsansvarlige eller databehandleren for den forvoldte skaden.
2. Enhver behandlingsansvarlig som vært involvert i behandlingen, skal være ansvarlig for skaden forårsaket av behandling som er i strid med denne forordning. En databehandler skal være ansvarlig for en skade forårsaket av behandling bare dersom vedkommende ikke har oppfylt forpliktelsene i denne forordning som særlig er rettet mot databehandlere, eller dersom vedkommende har opptrådt utenfor eller i strid med databehandlerens lovlige instrukser.
3. En behandlingsansvarlig eller databehandler skal fritas for erstatningsansvar i henhold til nr. 2 dersom vedkommende godtgjør at vedkommende på ingen måte er ansvarlig for hendelsen som førte til skaden.
4. Dersom flere enn én behandlingsansvarlig eller databehandler eller både en behandlingsansvarlig og en databehandler er involvert i samme behandling, og dersom de i henhold til nr. 2 og 3 er ansvarlige for eventuelle skader som forårsakes av behandlingen, skal hver behandlingsansvarlig eller databehandler holdes ansvarlig for hele skaden for å sikre at den registrerte mottar effektiv erstatning.
5. Dersom en behandlingsansvarlig eller databehandler i samsvar med nr. 4 har betalt full erstatning for den forvoldte skaden, skal nevnte behandlingsansvarlig eller databehandler fra de andre behandlingsansvarlige eller databehandlere som har vært involvert i samme behandling, ha rett til å kreve tilbake den delen av erstatningen som svarer til deres del av ansvaret for skaden, i samsvar med vilkårene fastsatt i nr. 2.
6. Retterganger med henblikk på utøvelse av retten til å motta erstatning, skal bringes inn for domstolene som har kompetanse i henhold til nasjonal rett i medlemsstaten nevnt i artikkel 79 nr. 2.

Artikkel 83.Generelle vilkår for ilegging av overtredelsesgebyr

1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.
2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)-h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:
a.karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd,
b.hvorvidt overtredelsen ble begått forsettlig eller uaktsomt,
c.eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,
d.den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført i henhold til artikkel 25 og 32,
e.eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren,
f.graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,
g.kategoriene av personopplysninger som er berørt av overtredelsen,
h.på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,
i.dersom tiltak nevnt i artikkel 58 nr. 2 tidligere er blitt truffet overfor den berørte behandlingsansvarlige eller databehandler med hensyn til samme saksgjenstand, at nevnte tiltak overholdes,
j.overholdelse av godkjente atferdsnormer i henhold til artikkel 40 eller godkjente sertifiseringsmekanismer i henhold til artikkel 42 og
k.enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.
3. Dersom en behandlingsansvarlig eller databehandler i forbindelse med samme eller tilknyttede behandlingsaktiviteter forsettlig eller uaktsomt overtrer flere av bestemmelsene i denne forordning, skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen.
4. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 10 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 2% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
a.den behandlingsansvarliges og databehandlerens forpliktelser i henhold til artikkel 8, 11, 25-39 samt 42 og 43,
b.sertifiseringsorganets forpliktelser i henhold til artikkel 42 og 43,
c.kontrollorganets forpliktelser i henhold til artikkel 41 nr. 4.
5. Ved overtredelser av følgende bestemmelser skal det i samsvar med nr. 2 ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes:
a.de grunnleggende prinsippene for behandling, herunder vilkår for samtykke, i henhold til artikkel 5, 6, 7 og 9,
b.de registrertes rettigheter i henhold til artikkel 12-22,
c.overføring av personopplysninger til en mottaker i en tredjestat eller en internasjonal organisasjon i henhold til artikkel 44-49,
d.eventuelle forpliktelser i henhold til medlemsstatenes nasjonale rett vedtatt i henhold til kapittel IX,
e.manglende overholdelse av et pålegg om eller en midlertidig eller definitiv begrensning av behandling eller en avgjørelse om midlertidige opphold i datastrømmen truffet av tilsynsmyndigheten i henhold til artikkel 58 nr. 2 eller dersom det ikke gis tilgang i strid med artikkel 58 nr. 1.
6. Ved manglende overholdelse av et pålegg fra tilsynsmyndigheten som nevnt i artikkel 58 nr. 2 skal det i samsvar med nr. 2 i denne artikkel ilegges overtredelsesgebyr på opptil 20 000 000 euro eller, dersom det dreier seg om et foretak, på opptil 4% av den samlede globale årsomsetningen i forutgående regnskapsår, der det høyeste beløpet anvendes.
7. Uten at det berører tilsynsmyndighetenes myndighet til å beslutte korrigerende tiltak i henhold til artikkel 58 nr. 2, kan hver medlemsstat fastsette regler om når og i hvilken grad offentlige myndigheter og organer som er etablert i nevnte medlemsstat, kan ilegges overtredelsesgebyr.
8. Tilsynsmyndighetens utøvelse av myndighet i henhold til denne artikkel skal være omfattet av nødvendige prosessuelle garantier i samsvar med unionsretten og medlemsstatenes nasjonale rett, herunder effektive rettsmidler og rettferdig rettergang.
9. Dersom medlemsstatens rettsorden ikke gir mulighet til å ilegge overtredelsesgebyr, kan denne artikkel anvendes på en slik måte at gebyret initieres av vedkommende tilsynsmyndighet og ilegges av vedkommende nasjonale domstoler, idet det sikres at nevnte beføyelser er effektive og har samme virkning som overtredelsesgebyrene som ilegges av tilsynsmyndigheter. I alle tilfeller skal gebyrene som ilegges, være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til dette nummer, og uten opphold om eventuelle senere endringslover eller endringer som påvirker dem.

Artikkel 84.Sanksjoner

1. Medlemsstatene skal fastsette regler om andre sanksjoner for overtredelser av denne forordning, særlig for overtredelser som ikke omfattes av overtredelsesgebyrer i henhold til artikkel 83, og skal treffe alle nødvendige tiltak for å sikre at de gjennomføres. Sanksjonene skal være virkningsfulle, stå i rimelig forhold til overtredelsen og virke avskrekkende.
2. Medlemsstatene skal senest 25. mai 2018 underrette Kommisjonen om de lovbestemmelser de vedtar i henhold til nr. 1, og uten opphold om eventuelle senere endringer som påvirker dem.