Sensitive personopplysninger
Opplysning om at en person har vært ”mistenkt, siktet, tiltalt eller dømt for en straffbar handling” er en sensitiv personopplysning (personopplysningsloven § 2 nr. 8, b).
Datatilsynet legger til grunn at denne typen opplysninger ofte blir samlet inn i forbindelse med varsling i arbeidslivet.
Meldeplikt eller konsesjonsplikt
Virksomhetens behandling av personopplysninger som følge av varslingsrutiner og varslingstiltak i tråd med kravene i arbeidsmiljøloven § 3-6 har hjemmel i lov, og har dermed også oppfylt kravet til rettslig grunnlag i personopplysningsloven §§ 8 og 9.
Som følge av dette er bruken av personopplysninger også unntatt konsesjonsplikt etter personopplysningsforskriften § 7-16. Bruk av personopplysninger i varslingsrutiner og varslingstiltak vil dermed kun være meldepliktig. Det er imidlertid en forutsetning at man ikke behandler flere opplysninger enn det som er nødvendig for å ivareta formålet med varslingsreglene.
Bestemmelsen i arbeidsmiljøloven § 3-6 gjelder bare intern varsling, dvs. varsling fra virksomhetens egne ansatte. Dersom det opprettes en varslingstjeneste som også kan benyttes av andre, for eksempel kunder eller samarbeidspartnere, må det søkes om konsesjon jf. personopplysningsloven § 33.
I forbindelse med revisjon av personopplysningsloven og personopplysningsforskriften vil det bli vurdert om det skal gjøres unntak fra konsesjon- og meldeplikten på dette området.
Andre plikter
Den behandlingsansvarlige (arbeidsgiveren) må ivareta de øvrige plikter som følger av loven ved behandling av personopplysninger. Følgende plikter fremheves særlig:
Internkontroll og informasjonssikkerhet
Den behandlingsansvarlige må etablere dokumentert informasjonssikkerhet og internkontroll for varslingsordningen (personopplysningsloven §§ 13 og 14, jf. personopplysningsforskriften kapittel 2 og 3). Rutinen skal være tilgjengelige for de den måtte angå jf. personopplysningsforskriften § 3-1. Dette innebærer at de ansatte i virksomheten som kan benytte ordningen skal gjøres kjent med rutinene.
Informasjonsplikt
Arbeidsgiver vil som hovedregel ha en plikt til å gi informasjon – både når det samles inn opplysninger fra den registrerte og når det samles inn opplysninger fra andre enn den registrerte, jf. personopplysningsloven §§ 19 og 20. Etter Datatilsynets vurdering vil ikke unntaket i personopplysningsloven § 20, 2. ledd bokstav a, komme til anvendelse ved varsling, fordi behandlingen ikke er ”uttrykkelig” fastsatt i lov.
Eventuelle unntak etter personopplysningsloven § 23 må vurderes konkret i hver sak (hvert varsel), og ikke for varslingstjenesten som sådan. Virksomheten kan for eksempel ikke unnlate å gi informasjon til en person med henvisning til § 23, b, dersom det forhold det er varslet om ikke er straffbart, men kun er å anse som uetisk, eller i strid med interne instrukser.
Rett til innsyn
Enhver registrert vil ha rett til innsyn i de personopplysninger som behandles i tilknytning til varslingen jf. personopplysningsloven § 18. Eventuelle unntak i § 23 må vurderes konkret for den enkelte innsynsbegjæring.
Sletting
Personopplysninger må slettes når de ikke lenger er nødvendig ut fra formålet med behandlingen, jf. personopplysningsloven § 11, 1. ledd, bokstav e. Etter Datatilsynets praksis vil det som hovedregel være tilstrekkelig å lagre opplysninger i to måneder etter avslutning av undersøkelsene knyttet til varselet.
Personopplysninger som fremgår av varsler som vurderes som ubegrunnede, bør slettes umiddelbart.
Utlevering m.m.
Utlevering av personopplysninger samlet inn i tilknytning til en varslingsordning kan skje dersom vilkårene for utlevering i personopplysningsloven §§ 8, 9 og 11 er oppfylt. Ved utlevering til utlandet må også kravene i §§ 29 og 30 være oppfylt.
Det regnes ikke som utlevering av personopplysninger dersom virksomheten setter ut håndtering av varsling til et eksternt firma. Firmaet vil da anses som en databehandler jf. personopplysningslovens § 2 nr. 5. Behandlingen av personopplysninger skal i slike tilfeller reguleres i en databehandleravtale, jf. personopplysningsloven § 15.
Les mer om databehandleravtale
Forholdet til The Sarbanes-Oxley Act of 2002
I USA gjelder strenge regler med hensyn til blant annet varsling om økonomisk kriminalitet. Selskaper som er børsnotert i USA kan være omfattet av The Sarbanes-Oxley Act of 2002 (SOX) som gir bestemmelser om dette.
Etter Datatilsynets vurdering favner varslingsreglene i arbeidsmiljøloven videre enn varslingsbestemmelsene etter SOX. Dette innebærer at norske virksomheter har tilstrekkelig hjemmel i arbeidsmiljøloven § 3-6 til også å oppfylle disse kravene. Likevel slik at eventuell utlevering av personopplysninger til USA må følge bestemmelsene om utlevering til utlandet i personopplysningsloven §§ 29 og 30. Om vilkårene er oppfylt vil måtte avgjøres konkret før en eventuell utlevering.