Personopplysningslovens fulle tittel er Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (tilgjengelig på http://lovdata.no/all/hl-20000414-031.html; åpner i eget vindu).

”Loven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpe­midler, og annen behandling av personopplysninger når disse inngår eller skal inngå i et personregister”, § 3 første ledd, bokstav a og b.

Med ”behandling av personopplysninger” menes ”enhver bruk av personopplysninger, som f.eks. inn­samling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter”, § 1‑2 nr. 2.

Personopplysningsloven inneholder bestemmelser om

  • vilkår for å behandle vanlige personopplysninger, § 8; og sensitive personopplysninger, § 9;
  • informasjonssikkerhet, § 13; og internkontroll, § 14;
  • når det er nødvendig å søke konsesjon for å behandle personopplysninger, § 33, og når det er tilstrekkelig med melding, § 31.

Dersom prosjektet skal behandle personopplysninger med elektroniske hjelpemider eller behandle sensitive opplysninger manuelt (uten å gjøre bruk av edb), skal prosjektet meldes til Datatilsynet, § 31.

Hvis prosjektet skal behandle sensitive personopplysninger, se personopplysningsloven § 2 nr. 8, skal prosjektet søke Datatilsynet om tillatelse fra Datatilsynet, § 33.

Datatilsynet kan sette vilkår for hvordan opplysningene kan behandles. Datatilsynet krever ofte at person­opplysninger behandles i avidentifisert form. Det vil si at de som er registrert bare kan være identifisert ved et tilfeldig valgt referansenummer. Referansenummeret kan knytte seg til en navneliste som bare skal finnes hos prosjektleder, som skal behandle listen som sensitivt materiale.

Visse typer behandlinger er fritatt fra konsesjons- og meldeplikt. Personopplysningsforskriften (Forskrift 15. des. 2000 nr. 1265 om behandling av personopplysninger, http://lovdata.no/for/sf/fa/xa-20001215-1265.html; åpner i eget vindu). Sentrale krav i forskriften er:

  • Informasjonssikkerhet: Alle personopplysninger skal sikres etter hvor sensitive de regnes for å være. Dette bestemmes av prosjektlederen selv etter en samlet risikovurdering, men Datatilsynet kan kreve at det iverksettes flere sikkerhetstiltak hvis tilsynet finner det nødvendig.
  • Fritak fra konsesjons- og meldeplikt: Forskriften inneholder en rekke bestemmelser som fritar behandling av personopplysninger fra plikten til å søke konsesjon eller melde behandlingen til Datatilsynet. Ett av disse unntakene gjelder bruk av personopplysninger til forskning, forskriften § 7‑27, der ett av vilkårene for fritaket er at prosjektet er tilrådd av et personvernombud for forskning.

(Se også Personopplysninger, Personvern og Taushetsplikt.)