Hvilke opplysninger blir behandlet og hvorfor?
Personopplysninger vil kunne bli behandlet ved formidling av varsler om kritikkverdige forhold til virksomhetens varslingssystem. Det kan også bli behandlet opplysninger ved oppfølging av varsler for å avklare faktiske forhold og treffe nødvendige tiltak. Siden et varsel kan omhandle påstander om lovbrudd, anser vi opplysningene som 'særlig kategori'-opplysninger. Dette betyr at det gjelder ekstra strenge regler om hvordan opplysninger behandles.
Dataminimeringsprinsippet innebærer at behandlingen av personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for. Vi oppfordrer derfor varslere til å kun gi informasjon som er relevante for å belyse det kritikkverdige forhold det varsles om og å unnlate å rapportere unødvendige personopplysninger.
Det er valgfritt om du som varsler, vil opptre anonymt eller ikke. Hvis en varsler velger ikke å være anonym, vil varslerens identitet være kjent for de personene som behandler saken.
Ved oppfølgingen av et varsel er innhenting av opplysninger begrenset til det som er strengt nødvendig for å avklare, herunder eventuelt verifisere, innholdet i et varsel. I undersøkelser det vil kunne innhentes ytterligere opplysninger eller tas i bruk opplysninger som allerede er innhentet. Omfanget av opplysninger som samles, skal være så lite som mulig.
Behandlingsgrunnlag
Enhver behandling av personopplysninger må ha et såkalt rettslig grunnlag for å være lovlig (personvernforordningen artikkel 6 og 9). For behandling av personopplysninger ved håndtering av varsler, er det rettslige grunnlag at dette er nødvendig for å oppfylle forpliktelsene etter arbeidsmiljølovens bestemmelser.
Informasjonssikkerhet
Personvernforordningen artikkel 5 om personvernprinsipper og artikkel 32 stiller krav til sikkerhet ved behandling av personopplysninger. Våre rutiner sikrer at disse krav etterkommes, både ved formidlingen og den videre oppfølgingen av et varsel.
Ved formidlingen av et varsel, er det eneste som blir registrert i det web-baserte varslingssystemet selve varselet. I tillegg er alle dataoverføringer kryptert, det vil si at det sendes ingen ukrypterte opplysninger over det åpne internettet. Det føres ingen logg over IP-adressen eller maskin-ID til enheten (nettbrett telefon, PC, Mac etc.), som varselet er sendt fra.
Hvis et varsel er innrapportert fra en datamaskin som er på virksomhetens nettverk, er det en (teoretisk) risiko for at de besøkte hjemmesidene blir registrert i virksomhetens logg. Dersom du ønsker å varsle anonymt, og vil eliminere den (teoretiske) risikoen for at loggen kan brukes for å identifisere deg, kan du foreta rapporteringen fra en datamaskin som ikke er tilknyttet virksomhetens nettverk.
Individuelle rettigheter
Rett til informasjon
Både varsler og den omvarslede har rett på informasjon etter personvernforordningen artikkel 13 og 14. Dette gjelder både ved innsamling av personopplysninger fra den registrerte eller ved innsamling av personopplysninger via andre.
Den omvarslede har rett på informasjon så snart som mulig, og senest innen en måned etter at opplysningene om vedkommende er innsamlet (jf. personvernforordningen artikkel 14 nr. 1 til nr. 3). Det er viktig at den anklagde blir informert om mistanken og grunnlaget for denne.
Rett til innsyn
Dersom den omvarslede eller andre ber om innsyn (jf. personvernforordningen artikkel 15), har vedkommende i utgangspunktet rett til å få innsyn i alle personopplysninger om han/henne som behandles i anledning varslingssaken. Det gis imidlertid ikke innsyn i opplysninger om varslerens identitet eller opplysninger som kan avsløre identiteten. Som arbeidsgiver har vi et særlig ansvar for å verne varsleren. Unntak kan tenkes i tilfeller hvor varsleren beviselig har fremsatt falske anklager med viten og vilje.
Det understrekes at selv om innsyn i varslerens identitet ikke skal gis etter personvernforordningens bestemmelser, utelukker ikke dette at innsyn vil kunne gis i andre sammenhenger, for eksempel hvis det blir politietterforskning eller rettslig prosess. Retten til innsyn vil i så fall måtte vurderes etter rettspleielovene.
Unntak fra informasjons- og innsynsrett
Det finnes noen unntak fra retten til informasjon og innsyn (jf. personopplysningsloven § 16). Unntak skal vurderes fra sak til sak. Det er ikke adgang til å gjøre generelle unntak. Dersom det er grunnlag for å gjøre unntak, skal det alltid vurderes om unntaket skal gjelde helt eller delvis for de opplysningene som behandles i saken. Unntak skal aldri strekke seg lenger enn det som er nødvendig og forholdsmessig i den konkrete saken.
Retting
Det er viktig at opplysninger vi behandler er riktige. Hvis opplysningene er feil eller ufullstendige, kan det kreves at opplysninger blir rettet, eller få dem supplert med korrekte opplysninger.
Sletting
Prinsippet innebærer at personopplysninger ikke skal lagres lengre enn det som er nødvendig for formålene. Lagringsperioden for personopplysninger som angår varsling kan variere. Personopplysninger i varslingssystemet skal slettes så snart som mulig og vanligvis innen to måneder etter at en undersøkelse av de faktiske forhold er gjennomført. Perioden kan variere dersom det tas rettslige eller disiplinære skritt mot den anklagde eller mot varsleren i tilfeller hvor formidlingen er falsk eller ærekrenkende. I slike tilfeller lagres personopplysningene til endelig avgjørelse er tatt, og hvor ankefrist/klageadgangen er utløpt. I enkelte tilfeller vil arkivloven kunne pålegge lengre lagringsperioder. Dette vurderes fra sak til sak.
Øvrig informasjon
Ansvar
Din arbeidsgiver er behandlingsansvarlig, og KPMG som drifter varslingssystemet er databehandler. KPMG behandler personopplysninger i henhold til databehandleravtalen som din virksomhet og KPMG har inngått.
Spørsmål
Hvis du har spørsmål vedrørende beskyttelsen av personopplysninger, kan du for eksempel kontakte personvernombudet i din virksomhet eller KPMG på varsling@kpmg.no.
Klage til Datatilsynet
Dersom du har opplevd noe du mener er brudd på regelverket, kan du klage ved å sende en skriftlig henvendelse til:
Datatilsynet
Postboks 8177
0034 Oslo
Informasjon om hvordan du går frem finner du på nettsidene til Datatilsynet. www.datatilsynet.no