Lukk

Når får vi ny personopplysninglov?

Les mer

Stortinget vedtok i mai 2018 en ny personopplysningslov som gjennomfører EUs personvernforordning (GDPR) i Norge.
Innholdet på våre nettsider er nå i tråd med den nye personopplysningloven som forventes å tre i kraft i løpet av juli måned.
Se Justis- og beredskapsdepartementet for nærmere informasjon om nøyaktig ikrafttredelsestidspunkt.

Varsling av kritikkverdige forhold på arbeidsplassen

Arbeidstakere kan varsle om kritikkverdige forhold uten å bli utsatt for gjengjeldelse. Arbeidsgiverne skal legge til rette for varsling.

Arbeidsmiljøloven inneholder flere regler om varsling, og er den sentrale loven på dette området. Personopplysningsretten regulerer behandlingen av personopplysninger som følger av håndteringen av varslingssaken.

Personopplysninger vil kunne bli behandlet ved innberetning av varsler om kritikkverdige forhold til virksomhetens varslingssystem/mottak. Det kan også bli behandlet opplysninger ved oppfølging av slike varsler for å avklare faktiske forhold og treffe nødvendige tiltak.

Hvem har plikt til å følge kravene om personvern?

Pliktene i personvernregelverket er knyttet til begrepene «behandlingsansvarlig» og «databehandler». I denne sammenheng vil arbeidsgiver normalt være å anse som behandlingsansvarlig. En ren teknisk leverandør av tjenester for mottak av varsler, for eksempel i form av en webportal, vil typisk være å anse som databehandler.

Hvem har rett til vern av sine personopplysninger?

I forbindelse med behandling av personopplysninger er det viktig både å ivareta hensynet til både varsleren og den det varsles om (den anklagde). Det er ikke sjeldent at varsleren kommer i en utsatt posisjon, for eksempel i form av fare for gjengjeldelse. Den anklagde er imidlertid også i en utsatt posisjon, og kan for eksempel bli stemplet i organisasjonen allerede for påstandene er blitt undersøkt.

Regler om personopplysningsvern ivaretar interesser og rettigheter både for varsleren og den anklagde. Behandlingen av personopplysninger ved innberetning og oppfølging av et varsel må skje innenfor de rammene som følger av personvernprinsippene og samtidig ivareta rettighetene til både den som varsler og den som anklagde.

Rett til informasjon og innsyn

Personvernforordningen gir som nevnt flere rettigheter for både varsler og den anklagde. I det følgende vil se spesielt på retten til informasjon og retten til innsyn.

Rett til informasjon

Både varsler og den anklagde har rett på informasjon etter personvernforordningen artikkel 13 og 14. Dette gjelder både ved innsamling av personopplysninger fra den registrerte eller fra andre enn den registrerte.

Varsleren må få informasjon om behandlingsansvarliges behandling av personopplysninger om han/henne. Artikkel 29 gruppen (EUs ekspertorgan for personvern) har særlig pekt på viktigheten av informasjon om at opplysninger om identiteten til varsler blir holdt konfidensiell under hele prosessen.

Den anklagde har rett på informasjon så snart som mulig og senest innen en måned etter at opplysningene om vedkommende er innsamlet (jf. personvernforordningen artikkel 14 nr. 1 til nr. 3). Artikkel 29 gruppen har særlig pekt på viktigheten av at den anklagde blir informert om mistanken og grunnlaget for denne.

Les mer om plikten til å gi informasjon

Retten til innsyn

Dersom den anklagde eller andre ber om innsyn (jf. personvernforordningen artikkel 15) har vedkommende i utgangspunktet rett til å få innsyn i alle personopplysninger om han/henne som behandles i anledning varslingssaken. Etter Datatilsynets praksis kan det imidlertid ikke gis innsyn i opplysninger om varsleres identitet eller opplysninger som kan avsløre identiteten. Arbeidsgiver har et særlig ansvar for å verne varsleren. Unntak kan tenkes i tilfeller hvor varsleren beviselig har fremsatt falske anklager med viten og vilje.

Datatilsynet understreker at selv om innsyn i varslerens identitet ikke skal gis etter personvernforordningens bestemmelser, utelukker ikke dette at innsyn vil kunne gis i andre sammenhenger, for eksempel hvis det blir politietterforsknings eller rettslig prosess. Retten til innsyn vil i så fall måtte vurdere etter rettspleielovene.

Les mer om retten til innsyn

Unntak fra informasjons- og innsynsrett

Det finnes noen unntak fra retten til informasjon og innsyn (jf. personopplysningsloven § 16). Unntak skal vurderes fra sak til sak. Det er ikke adgang til å gjøre generelle unntak. Dersom det er grunnlag for å gjøre unntak skal det alltid vurderes om unntaket skal gjelde helt eller delvis for de opplysningene som behandles i saken. Unntak skal aldri strekke seg lenger enn det som er nødvendig og forholdsmessig i den konkrete saken.

Informasjon og innsyn er også avgjørende for at den registrerte skal kunne benytte sine andre rettigheter etter personvernforordningen, slik som retten til å kreve uriktige eller ufullstendige opplysninger rettet. Retten til å kreve retting må her ses i sammenheng med prinsippet om at personopplysningene som behandles er korrekte og om nødvendig oppdaterte. I en sak hvor det foreligger mistanke om alvorlige misligheter, kan det være vanskelige å si noe med sikkerhet om hva som er korrekt fakta. Ansvaret for å få et så korrekt bilde og faktum som mulig tilsier at den registrerte må få anledning til å gi sitt syn på opplysningene i saken og på den måten korrigere opplysninger han måtte mene er uriktige eller ufullstendige.

Unntak kan først og fremst skje dersom det er betydelig risiko for at å gi informasjon til den anklagde kan forspille muligheten til å oppklare saken (bevisforspillelsesfare). I slike tilfeller kan virksomheten likevel ikke unnlate å informere eller gi innsyn i større utstrekning enn nødvendig.

Unntak kan også være nødvendig å gjøre av hensyn til andres åpenbare og grunnleggende interesser. Dette vil typisk kunne være andre involverte personer, som varsleren eller andre kilder, som det kan være nødvendig å beskytte. Unntak vil i så fall ikke kunne strekke seg lenger enn det som er nødvendig og forholdsmessig for å beskytte andres interesser.

I noen grad kan det også være grunnlag for å gjøre unntak for opplysninger som er utarbeidet for interne saksforberedelser. Et sentralt vilkår er at unntaket bare gjelder så langt det er nødvendig for å sikre forsvarlige interne avgjørelsesprosesser. De personopplysninger som danner grunnlaget for en mistanke kan dermed ikke holdes tilbake bare fordi opplysningene befinner seg i en i utgangspunktet intern rapport. Unntaket kan derfor ikke alene brukes for å holde tilbake informasjon om mistanken som kommer frem i for eksempel rapporten som utarbeides på bakgrunn av et mottatt varsel. Annerledes kan være interne vurderinger av hvordan virksomheten skal forholde seg til den anklagde – eksempelvis om arbeidsrettslige sanksjoner bør iverksettes eller om saken skal anmeldes til politiet – eller utkast til oppsigelse/avskjed eller politianmeldelse.

Nærmere om varsling og personvernprinsippene

Vi har laget en oversikt over personvernprinsippene på en egen side, her følger en gjennomgang av de relevante i forhold til varsling.

Lovlighet

Enhver behandling av personopplysninger må ha et såkalt rettslig grunnlag for å være lovlig. Hvis det behandles sensitive personopplysninger (særlige kategorier) personopplysninger etter artikkel 9, er behandling i utgangspunktet ulovlig, med mindre et av unntakene er oppfylt. Les mer om unntakene

For etablering av varslingssystem/mottak er det spesielt to rettslige grunnlag som er aktuelle:

  • at behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (artikkel 6 bokstav c) eller
  • at det er nødvendig for å ivareta en berettiget interesse (artikkel 6 bokstav f).

Etter Datatilsynets praksis vil behandling av personopplysninger som er nødvendig for å oppfylle forpliktelsene etter arbeidsmiljøloven bestemmelse utgjøre et rettslig grunnlag.

Det er også viktig å være oppmerksom på at også behandling av personopplysninger i forbindelse med oppfølgingen av et varsel også må være lovlig. Dette kan for eksempel være oppfølging ved:

  • gjennomgang av egne informasjonssystemer (for eksempel e-postsystem)
  • innhenting av opplysninger fra eksterne registre
  • intervju med varsler og andre som kan antas å kunne opplyse saken

Gjennomsiktighet

Personvernregelverket bygger på et grunnleggende prinsipp om at behandling av personopplysninger skal være gjennomsiktig. Dette innebærer krav om åpenhet om varslingssystemet ovenfor de ansatte. Etter Datatilsynets praksis må behandlingsansvarlig ved etablering av varslingssystemer gi informasjon til alle ansatte i virksomheten om hvem som er behandlingsansvarlig, formålet med tjenesten, hvordan den i hovedtrekk fungerer og hvordan varsling vil bli fulgt opp, herunder at virksomheten i sine undersøkelser vil kunne innhente ytterligere opplysninger eller ta i bruk opplysninger som allerede er innhentet.

Krav til gjennomsiktighet må videre ses i sammenheng med personvernforordningens krav om informasjonsplikt (se artikkel 13 og 14), samt regler i arbeidsmiljøloven.

Formålsbegrensning

Prinsippet om formålsbegrensning innebærer at personopplysninger skal samles inn for:

  • spesifikke, uttrykkelige og angitte berettigede formål og
  • ikke viderebehandles for på en måte som er uforenelige med disse formålene.

Formålet med et varslingssystem følger av arbeidsmiljøloven. I praksis etableres varslingssystem normalt for innberetning av varsler om kritikkverdige forhold, samt for oppfølging av slike varsler for å avklare faktiske forhold og treffe nødvendige tiltak.

Forbudet mot uforenelig gjenbruk av personopplysninger vil legge føringer på adgangen til videre bruk av opplysninger som innberettes til et varslingssystem. Forbudet er også relevant ved oppfølging av et varsel. Da kan det være aktuelt å innhente opplysninger som allerede er innsamlet for andre formål, for eksempel fra egne informasjonssystemer eller eksterne registre.

Dataminimering

Prinsippet innebærer at behandlingen av personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for.

Formålet med varslingssystemet/mottaket legger rammer for hvilken type informasjon som bør innberettes. Arbeidsgiver bør derfor informere om at varslingstjenesten er relatert til personopplysninger om kritikkverdige forhold.

Prinsippet legger også rammer for innhenting av personopplysninger ved oppfølgingen av et varsel. Oppfølgingen bør være begrenset til innhenting av opplysninger som er strengt nødvendig for å avklare, herunder eventuelt verifisere, et varsel. Poenget er at omfanget av opplysninger som samles skal være så lite som mulig. Overdreven datainnsamling er ikke lov.

Sletting

Prinsippet innebærer at personopplysninger ikke skal lagres lengre enn det som er nødvendig for formålene.

Lagringsperioden for personopplysninger som angår varsling kan variere. Artikkel 29 gruppen har pekt på at personopplysninger i et varslingssystem bør slettes så snart som mulig og vanligvis innen to måneder etter at en undersøkelse av de faktiske forhold er gjennomført. Det er imidlertid pekt på at perioden kan variere dersom det tas rettslige eller disiplinære skritt mot den anklagde eller mot varsleren i tilfeller hvor innberetningen er falske eller ærekrenkende. I slike tilfeller bør personopplysningene lagres til endelig avgjørelse er tatt, og hvor ankefrist/klageadgangen er utløpt.

Videre lagringsperiode kan også være hjemlet i annen lovgivning, slik som arkivloven.

Informasjonssikkerhet

Både personvernforordningen artikkel 5 om personvernprinsipper og artikkel 32 stiller krav til sikkerhet ved behandling av personopplysninger.

Krav til sikkerhet gjelder både for innberetningen og behandlingen av personopplysninger i varslingstjenesten og behandling gjennom videre oppfølging av et varsel.

Les mer om informasjonssikkerhet