Sikkerhetsloven har bestemmelser om håndtering av opplysninger fra tilsyn i:

§ 3-3. Generelle prinsipper for tilsyn (andre ledd)

Opplysninger som tilsynsmyndigheten innhenter, kan bare brukes i forbindelse med tilsynet og i det forebyggende sikkerhetsarbeidet.

Sikkerhetsloven har i tillegg bestemmelser om behandling av personopplysninger fremkommet i forbindelse med tilsyn:

§ 3-5. Tilsynsmyndighetens behandling av personopplysninger

Tilsynsmyndigheten kan behandle personopplysninger dersom det er nødvendig for å utføre sine oppgaver.

Behandlingen av personopplysninger må ikke utgjøre et uforholdsmessig inngrep i personvernet.

Personopplysninger skal om mulig behandles ved hjelp av virksomhetens informasjonssystem, uten at de blir kopiert eller overført til tilsynsmyndigheten. Tilsynsmyndigheten kan likevel kreve kopi av personopplysninger når dette er nødvendig for å dokumentere om bestemmelser i loven er brutt.

Kongen kan gi forskrift om tilsynsmyndighetens behandling av personopplysninger.

Kravet om at opplysninger fra tilsyn kun skal benyttes i forbindelse med forebyggende sikkerhetsarbeid må forstås slik at opplysningene kan benyttes av:

  • virksomhetene – som grunnlag for sitt forbedringsarbeid
  • sektordepartement – for ivaretagelse av forebyggende sikkerhetsarbeid i egen sektor
  • tilsynsmyndigheter – som grunnlag for det forebyggende sikkerhetsarbeidet
  • NSM – for oppfølgning og for å etablere oversikt over forebyggende sikkerhetsarbeid i virksomhet, sektor og landet som helhet

Som ledd i tilsynsvirksomheten vil tilsynsmyndigheten få tilgang til personopplysninger. Behandling av slike opplysninger skal kun skje der dette, etter en konkret vurdering, fremstår som nødvendig og proporsjonalt med inngrepet behandlingen representerer.

Som hovedregel skal personopplysninger kun behandles ved hjelp av virksomhetens egne informasjonssystemer. Tilsynsmyndigheten kan kun kreve kopi av personopplysninger i den utstrekning dette er nødvendig for å påvise eller avkrefte lovbrudd. Dersom det tas slik kopi av personopplysninger, plikter tilsynsmyndigheten å varsle virksomheten at dette er gjort.

Bestemmelsene skal motvirke unødig spredning av personopplysninger, både av hensyn til grunnleggende sikkerhetsinteresser, den enkeltes personvern og tilliten til tilsynsmyndigheten.