5 Personvern
Personvernforordningen, som etter personopplysningsloven § 1 gjelder som norsk lov, gjelder for behandling, herunder innsamling og registrering av personopplysninger i forbindelse med registreringsordningen. Den enkelte virksomhet er ansvarlig for at behandlingen har et tilfredsstillende behandlingsgrunnlag etter personvernforordningen.
De registrerte opplysningene skal behandles på en lovlig, åpen og rettferdig måte. De skal kun samles inn og benyttes til å gi arbeidsgiver tilstrekkelig informasjon for å kunne fordele oppgaver på en slik måte at interessekonflikter unngås. Dette innebærer at opplysningene ikke skal inneholde mer informasjon, eller lagres i en lengre periode, enn hva som er nødvendig for å oppnå dette formålet. Se likevel nedenfor om lagring til arkivformål. Virksomhetene må også sørge for at opplysningene er korrekte og oppdaterte. Dette innebærer en plikt til å rette opplysninger dersom arbeidsgiver får kjennskap til at det registrerte ikke er korrekt. Arbeidsgiver kan pålegge ansatte som er omfattet av registreringsplikt å melde fra om eventuelle endringer, for at arbeidsgiver kan sørge for retting.
Den ansatte skal, på tidspunktet for innsamlingen av personopplysningene, gis informasjon om det rettslige grunnlaget for behandlingen, altså statsansatteloven § 39 a. Den ansatte skal også gis informasjon om hvem i virksomheten som behandler opplysningene, og kontaktinformasjon til personvernombudet. Det skal informeres om at opplysningene lagres frem til det ikke lengre er en risiko for interessekonflikter, og behovet for å registrere dem har opphørt. Sletting skal i utgangspunktet skje når vervet eller den økonomiske interessen er opphørt, eller den ansatte ikke lengre har oppgaver eller ansvar som gjør at det er en reell fare for interessekonflikter.
Sletting skal også skje når den ansatte slutter i virksomheten. Det må likevel legges til grunn at det som er registrert kan lagres noe tid etter at den ansatte har sluttet eller fått nye oppgaver. For eksempel der en sak den ansatte har behandlet ikke er avsluttet, eller er til behandling i en klageinstans. Selv om registrerte opplysninger er slettet fra virksomhetens register, kan de lagres til arkivformål, jf. personvernforordningen artikkel 5 nr. 1 bokstav e.
Den ansatte skal også informeres om retten til innsyn i de registrerte opplysningene, og retten til å be om retting eller sletting av opplysningene. Det må også gjøres en vurdering av om den ansatte må gis annen nødvendig informasjon som vist til i personvernforordningen artikkel 13 og 15.
Retningslinjene for registreringsordningen som fastsettes i virksomheten, bør utformes slik at det alltid kan gjøres unntak fra registreringsplikt, dersom sterke personvernhensyn taler for det.
Behandling av særlige kategorier av personopplysninger er forbudt, jf. personvernforordningen artikkel 9 nr. 1, og en ansatt kan ikke pålegges å registrere opplysninger som omfattes av disse særlige kategoriene. Dette er opplysninger om en persons rasemessige eller etniske opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Dette forbudet gjelder også der opplysningen gjelder et verv eller en interesse som i utgangspunktet kan registreres. Det vil for eksempel ikke være tillatt å registrere et verv i en religiøs organisasjon, selv om denne har økonomisk formål.