Kapittelet gir regler for Datatilsynets og Personvernnemndas myndighet til å håndheve loven og er derfor særlig viktig når det er konflikt og uenighet om hva som er tillatt. Kapittelet har også bestemmelser om straff og erstatning ved brudd på lovens bestemmelser, men dette er kun aktuelt i sjeldne tilfelle.
Datatilsynet er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. Kongen og departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i enkelttilfeller etter loven.
Datatilsynet ledes av en direktør som utnevnes av Kongen. Kongen kan bestemme at direktøren ansettes på åremål.
Datatilsynet skal
1) føre en systematisk og offentlig fortegnelse over alle behandlinger som er innmeldt etter § 31 eller gitt konsesjon etter § 33, med opplysninger som nevnt i § 18 første ledd jf. § 23,
2) behandle søknader om konsesjoner, motta meldinger og vurdere om det skal gis pålegg der loven gir hjemmel for dette,
3) kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, og at feil eller mangler blir rettet,
4) holde seg orientert om og informere om den generelle nasjonale og internasjonale utviklingen i behandlingen av personopplysninger og om de problemer som knytter seg til slik behandling,
5) identifisere farer for personvernet, og gi råd om hvordan de kan unngås eller begrenses,
6) gi råd og veiledning i spørsmål om personvern og sikring av personopplysninger til dem som planlegger å behandle personopplysninger eller utvikle systemer for slik behandling, herunder bistå i utarbeidelsen av bransjevise atferdsnormer,
7) etter henvendelse eller av eget tiltak gi uttalelse i spørsmål om behandling av personopplysninger, og
8) gi Kongen årsmelding om sin virksomhet.
Avgjørelser som Datatilsynet fatter i medhold av § 9, § 12, § 27, § 28, § 30, § 33, § 34, § 35, § 44, § 46 og § 47 kan påklages til Personvernnemnda. Avgjørelser som fattes i medhold av § 27 eller § 28 kan påklages videre til Kongen dersom avgjørelsen gjelder personopplysninger som behandles for historiske formål.
Personvernnemnda avgjør klager over Datatilsynets avgjørelser, jf. § 42 fjerde ledd. Nemnda er et uavhengig forvaltningsorgan administrativt underordnet Kongen og departementet. § 42 første ledd annet punktum gjelder tilsvarende.
Personvernnemnda har syv medlemmer som oppnevnes for fire år med adgang til gjenoppnevning for ytterligere fire år. Lederen og nestlederen oppnevnes av Stortinget. De øvrige fem medlemmene oppnevnes av Kongen.
Personvernnemnda kan bestemme at lederen eller nestlederen sammen med to andre nemndsmedlemmer kan behandle klager over avgjørelser som må avgjøres uten opphold.
Personvernnemnda orienterer årlig Kongen om behandling av klagesakene.
Søksmål om gyldigheten av Personvernnemndas avgjørelser rettes mot staten ved Personvernnemnda.
Kongen kan gi nærmere regler om Personvernnemndas organisering og saksbehandling.
Datatilsynet og Personvernnemnda kan kreve de opplysningene som trengs for at de kan gjennomføre sine oppgaver.
Datatilsynet kan som ledd i sin kontroll med at lovens regler etterleves, kreve adgang til steder hvor det finnes personregistre, overvåkingsutstyr og billedopptak som nevnt i § 37, personopplysninger som behandles elektronisk og hjelpemidler for slik behandling. Tilsynet kan gjennomføre de prøver eller kontroller som det finner nødvendig og kreve bistand fra personalet på stedet i den grad dette må til for å få utført prøvene eller kontrollene.
Retten til å kreve opplysninger eller tilgang til lokaler og hjelpemidler i henhold til første og annet ledd gjelder uten hinder av taushetsplikt.
Kongen kan gi forskrift om unntak fra første til tredje ledd av hensyn til rikets sikkerhet. Kongen kan også gi forskrift om dekning av utgiftene ved kontroll.
Endret ved lov 9 jan 2009 nr. 3.
For ansatte i Datatilsynet, medlemmer av Personvernnemnda og andre som utfører tjeneste for tilsynsmyndighetene gjelder bestemmelsene om taushetsplikt i forvaltningsloven §§ 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. § 13.
Datatilsynet og Personvernnemnda kan uten hinder av taushetsplikten etter første ledd gi opplysninger til utenlandske tilsynsmyndigheter når det er nødvendig for å kunne treffe vedtak som ledd i tilsynsvirksomheten.
Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll.
Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på
a) hvor alvorlig overtredelsen har krenket de interesser loven verner,
b) graden av skyld,
c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen,
d) om overtredelsen er begått for å fremme overtrederens interesser,
e) om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen,
f) om det foreligger gjentakelse,
g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og
h) overtrederens økonomiske evne.
Oppfyllelsesfristen er 4 uker etter at vedtaket om overtredelsesgebyr er endelig. Dersom et vedtak om overtredelsesgebyr bringes inn for en domstol, kan den prøve alle sider av saken.
Datatilsynet kan gi pålegg om at behandling av personopplysninger i strid med bestemmelser i eller i medhold av denne loven skal opphøre, eller stille vilkår som må være oppfylt for at behandlingen skal være i samsvar med loven.
Endret ved lov 9 jan 2009 nr. 3 (overtredelsesgebyr kan bare ilegges for lovovertredelser begått etter at endringsloven trådte i kraft).
Ved pålegg etter § 12, § 27, § 28 og § 46 kan Datatilsynet fastsette en tvangsmulkt som løper for hver dag som går etter utløpet av den fristen som er satt for oppfylling av pålegget, inntil pålegget er oppfylt.
Tvangsmulkten løper ikke før klagefristen er ute. Hvis vedtaket påklages, løper ikke tvangsmulkt før Personvernnemnda har bestemt det.
Datatilsynet kan frafalle påløpt tvangsmulkt.
Refusjonskrav som nevnt i § 44, overtredelsesgebyr etter § 46 og tvangsmulkt etter § 47 er tvangsgrunnlag for utlegg.
Når Statens innkrevingssentral er pålagt å innkreve krav som nevnt i første ledd, kan kravene innkreves ved trekk i lønn og andre lignende ytelser etter reglene i dekningsloven § 2-7. Innkrevingssentralen kan også innkreve gebyrene og avgiftene ved å stifte utleggspant for kravet dersom panteretten kan gis rettsvern ved registrering i et register eller ved underretning til tredjeperson, jf. panteloven kapittel 5, og utleggsforretningen kan holdes på Innkrevingssentralens kontor etter tvangsfullbyrdelsesloven § 7-9 første ledd.
Tilføyd ved lov 9 jan 2009 nr. 3.
Med bøter eller fengsel inntil ett år eller begge deler straffes den som forsettlig eller grovt uaktsomt
a) unnlater å sende melding etter § 31,
b) behandler personopplysninger uten nødvendig konsesjon etter § 33,
c) overtrer vilkår fastsatt etter § 35 eller § 46,
d) unnlater å etterkomme pålegg fra Datatilsynet etter § 12, § 27, § 28 eller § 46,
e) behandler personopplysninger i strid med § 13, § 15, § 26 eller § 39, eller
f) unnlater å gi opplysninger etter § 19, § 20, § 21, § 40 eller § 44.
Ved særdeles skjerpende omstendigheter kan fengsel inntil tre år idømmes. Ved avgjørelsen av om det foreligger særdeles skjerpende omstendigheter skal det blant annet legges vekt på faren for stor skade eller ulempe for den registrerte, den tilsiktede vinningen ved overtredelsen, overtredelsens varighet og omfang, utvist skyld, og om den behandlingsansvarlige tidligere er straffet for å ha overtrådt tilsvarende bestemmelser.
Medvirkning straffes på samme måte.
I forskrift som gis i medhold av loven, kan det fastsettes at den som forsettlig eller grovt uaktsomt overtrer forskriften skal straffes med bøter eller fengsel inntil ett år eller begge deler.
Den behandlingsansvarlige skal erstatte skade som er oppstått som følge av at personopplysninger er behandlet i strid med bestemmelser i eller i medhold av loven, med mindre det godtgjøres at skaden ikke skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Behandlingsansvarlige som formidler kredittopplysninger og som har meddelt opplysninger som viser seg uriktige eller åpenbart misvisende, skal erstatte skade som er oppstått som følge av den feilaktige meddelelsen, uten hensyn til om skaden skyldes feil eller forsømmelse på den behandlingsansvarliges side.
Erstatningen skal svare til det økonomiske tapet som den skadelidte er påført som følge av den ulovlige behandlingen. Den behandlingsansvarlige kan også pålegges å betale slik erstatning for skade av ikke-økonomisk art (oppreisning) som synes rimelig.