Plikt til å tilrettelegge for intern varsling
I arbeidsmiljøloven slås det fast at arbeidsgiveren skal legge til rette eller utarbeide rutiner for intern varsling om kritikkverdige forhold i virksomheten. (Arbeidsmiljøloven § 3-6)
Det er virksomheten selv som i første omgang må vurdere om forholdene tilsier at man skal utarbeide rutiner eller sette i verk andre tiltak som legger til rette for varsling. Man må anta at ”kritikkverdige forhold” som nevnt i arbeidsmiljøloven § 2-4 favner relativt vidt. Opplysninger om kriminelle forhold og mislighold av lovbestemte påbud eller forbud, vil være omfattet. Videre kan brudd på virksomhetens etikkbestemmelser eller instrukser også være omfattet.
Sensitive personopplysninger
Opplysning om at en person har vært ”mistenkt, siktet, tiltalt eller dømt for en straffbar handling” være en sensitiv personopplysning (personopplysningslovens § 2 nr. 8, b).
Datatilsynet legger til grunn at denne typen opplysninger ofte blir samlet inn i forbindelse med varsling i arbeidslivet.
Meldeplikt eller konsesjonsplikt
Virksomhetens behandling av personopplysninger som følge av varslingsrutiner og varslingstiltak i tråd med kravene i arbeidsmiljølovens § 3-6 har hjemmel i lov, og har dermed også oppfylt kravet til rettslig grunnlag i personopplysningslovens §§ 8 og 9.
Som følge av dette er bruken av personopplysninger også unntatt konsesjonsplikt etter personopplysningsforskriftens § 7-16. Bruk av personopplysninger i varslingsrutiner og varslingstiltak vil dermed kun være meldepliktig. Det er imidlertid en forutsetning at man ikke behandler flere opplysninger enn det som er nødvendig for å ivareta formålet med varslingsreglene.
Bestemmelsen i arbeidsmiljøloven § 3-6 gjelder bare intern varsling, dvs. varsling fra virksomhetens egne ansatte. Dersom det opprettes en varslingstjeneste som også kan benyttes av andre, for eksempel kunder og samarbeidspartnere, må det søkes om konsesjon jf. personopplysningslovens § 33.
I forbindelse med revisjon av personopplysningsloven og personopplysningsforskriften vil det bli vurdert om det også skal gjøres unntak fra konsesjon- og meldeplikten på dette området.
Andre plikter
Den behandlingsansvarlige (arbeidsgiveren) må ivareta de øvrige plikter som følger av loven ved behandling av personopplysninger. Følgende plikter fremheves særlig:
Internkontroll og informasjonssikkerhet
Den behandlingsansvarlige må etablere dokumentert informasjonssikkerhet og internkontroll for varslingsordningen (personopplysningsloven §§ 13 og 14, jf. personopplysningsforskriftens kap. 2 og 3). Rutinene skal være tilgjengelige for de den måtte angå jf. personopplysningsforskriftens § 3-1. Dette innebærer at de ansatte i virksomheten som vil bli omfattet av ordningen skal kjenne disse rutinene.
Informasjonsplikt
Det er Datatilsynets oppfatning at unntaket i personopplysningslovens § 20, andre ledd bokstav a. ikke kommer til anvendelse i tilknytning til varsling, fordi behandlingen ikke er ”uttrykkelig” fastsatt i lov. Det vil blant annet kunne være uklart for de ansatte om virksomheten er omfattet av kravene i § 3-6.
Eventuelle unntak etter personopplysningslovens § 23 må vurderes konkret i forhold til hver sak (hvert varsel), og ikke for varslingstjenesten som sådan. Virksomheten kan for eksempel ikke unnlate å gi informasjon til en person med henvisning til § 23, b, dersom det forhold det er varslet om ikke er straffbart, men kun er å anse som uetisk, eller i strid med interne instrukser.
Rett til innsyn
Enhver registrert vil ha rett til innsyn i de personopplysninger som behandles i tilknytning til varslingen jf. personopplysningslovens § 18. Unntakene i § 23 må vurderes konkret i forhold til den enkelte innsynsbegjæring.
Sletting
Personopplysninger må slettes når de ikke lenger er nødvendig ut fra formålet med behandlingen, jf. personopplysningsloven § 11 første ledd, bokstav e). Datatilsynet antar at lagring i 2 måneder etter avslutning av undersøkelsene knyttet til varselet, vil være passelig i de fleste sammenhenger.
Personopplysninger som fremgår av varsler som vurderes som ubegrunnede, bør slettes umiddelbart.
Utlevering m.m.
Utlevering av personopplysninger samlet inn i tilknytning til en varslingsordning kan skje dersom vilkårene for utlevering i personopplysningslovens §§ 8, 9 og 11 er oppfylt. Ved utlevering til utlandet må også kravene i §§ 29 og 30 være oppfylt.
Det regnes ikke som utlevering av personopplysninger dersom virksomheten setter ut håndtering av varsling til et eksternt firma. Det eksterne firmaet vil da anses som en databehandler jf. personopplysningslovens § 2 nr. 5.
Forholdet til The Sarbanes-Oxley Act of 2002
I USA gjelder strenge regler med hensyn til blant annet varsling om økonomisk kriminalitet. Selskaper som er børsnotert i USA kan være omfattet av The Sarbanes-Oxley Act of 2002 (SOX) som gir bestemmelser om dette.
Det er Datatilsynets oppfatning at varslingsreglene i arbeidsmiljøloven favner videre enn varslingsbestemmelsene etter SOX, og at norske virksomheter har tilstrekkelig hjemmel i Aml. § 3-6 til også å oppfylle kravene etter denne bestemmelsen. Likevel slik at eventuell utlevering av personopplysninger til USA må følge bestemmelsene om utlevering til utlandet i personopplysningslovens § 29 og 30. Om vilkårene er oppfylt vil måtte avgjøres konkret i forhold til en eventuell utlevering.
Mer om bestemmelsene:
Ot. Prp. Nr. 84 (2005-2006) - Om lov om endringer i arbeidsmiljøloven (varsling)