Varsling av kritikkverdige forhold på arbeidsplassen

Arbeidstakere kan varsle om kritikkverdige forhold uten å bli utsatt for gjengjeldelse. Arbeidsgiverne skal legge til rette for varsling.

Intern varsling

Arbeidsgiveren skal utarbeide rutiner for intern varsling eller sette i verk andre tiltak som legger forholdene til rette for intern varsling om kritikkverdige forhold i virksomheten.

Det er virksomheten selv som i første omgang må vurdere om forholdene tilsier at man skal utarbeide rutiner eller sette i verk andre tiltak som legger til rette for varsling. Hvilke tiltak som bør iverksettes må tilpasses behovet og situasjonen i den enkelte bransje og virksomhet. Det som i arbeidsmiljøloven omtales som ”kritikkverdige forhold” favner relativt vidt. Denne formuleirngen omfatter blant annet opplysninger om kriminelle forhold og mislighold av lovbestemte påbud eller forbud. Brudd på virksomhetens etikkbestemmelser eller instrukser kan også være omfattet.

Sensitive personopplysninger

Opplysning om at en person har vært ”mistenkt, siktet, tiltalt eller dømt for en straffbar handling” er en sensitiv personopplysning.

Datatilsynet legger til grunn at denne typen opplysninger ofte blir samlet inn i forbindelse med varsling i arbeidslivet.

Skal man melde eller søke konsesjon?

Intern eller ekstern varsling om kritikkverdige forhold er unntatt melde- og konsesjonsplikt. Se personopplysningsforskriften §7-21e (lovdata.no).

Arbeidsgiveren er behandlingsansvarlig og må ivareta de øvrige plikter som følger av loven ved behandling av personopplysninger. Følgende plikter fremheves særlig:

Internkontroll og informasjonssikkerhet

Den behandlingsansvarlige må etablere dokumentert informasjonssikkerhet og internkontroll for varslingsordningen. Rutinen skal være tilgjengelige for de den måtte angå. Dette innebærer at de ansatte i virksomheten som kan benytte ordningen skal gjøres kjent med rutinene.

Informasjonsplikt

Arbeidsgiver vil ha en plikt til å gi informasjon – både når det samles inn opplysninger fra den registrerte og når det samles inn opplysninger fra andre enn den registrerte. Det finnes et unntak i personopplysningsloven § 20, 2. ledd bokstav a, men etter Datatilsynets syn vil ikke dette komme til anvendelse ved varsling, fordi behandlingen ikke er ”uttrykkelig” fastsatt i lov.

Se mer i personopplysningsloven §§ 19 og 20. 

Eventuelle unntak etter personopplysningsloven må vurderes konkret ved ver varsling, og ikke for varslingstjenesten som sådan. Virksomheten kan for eksempel ikke unnlate å gi informasjon til en person dersom det forhold det er varslet om ikke er straffbart, men kun er å anse som uetisk, eller i strid med interne instrukser.  

Rett til innsyn

Enhver registrert vil ha rett til innsyn i de personopplysninger som behandles i tilknytning til varslingen (personopplysningsloven § 18). Eventuelle unntak må vurderes konkret for den enkelte innsynsbegjæring.

Sletting

Personopplysninger må slettes når de ikke lenger er nødvendig ut fra formålet med behandlingen, se personopplysningsloven § 11. Etter Datatilsynets praksis vil det som hovedregel være tilstrekkelig å lagre opplysninger i to måneder etter avslutning av undersøkelsene knyttet til varselet.

Personopplysninger som fremgår av varsler som vurderes som ubegrunnede, bør slettes umiddelbart.

Utlevering

Utlevering av personopplysninger samlet inn i forbindelse med varsling kan skje dersom vilkårene for utlevering i personopplysningsloven §§ 8, 9 og 11 er oppfylt. Ved utlevering til utlandet må også kravene i §§ 29 og 30 være oppfylt.

Det regnes ikke som utlevering av personopplysninger dersom virksomheten setter ut håndtering av varsling til et eksternt firma, en databehandler. Behandlingen av personopplysninger skal i slike tilfeller reguleres i en databehandleravtale.

Forholdet til The Sarbanes-Oxley Act of 2002

I USA gjelder strenge regler med hensyn til blant annet varsling om økonomisk kriminalitet. Selskaper som er børsnotert i USA kan være omfattet av The Sarbanes-Oxley Act of 2002 (SOX) som gir bestemmelser om dette.

Etter Datatilsynets vurdering favner varslingsreglene i arbeidsmiljøloven videre enn varslingsbestemmelsene etter SOX. Dette innebærer at norske virksomheter har tilstrekkelig hjemmel i arbeidsmiljøloven § 3-6 til også å oppfylle disse kravene. Det er likevel slik at eventuell utlevering av personopplysninger til USA må følge bestemmelsene om utlevering til utlandet i personopplysningsloven §§ 29 og 30. Om vilkårene er oppfylt vil måtte avgjøres konkret før en eventuell utlevering.

Les mer:

På Arbeidstilsynets faktaside om varsling finner du mer informasjon