En ny visselblåsarlag, lag (2021:890) om skydd för personer som rapporterar om missförhållanden (”Visselblåsarlagen”), började gälla den 17 december 2021 och ersatte den tidigare lagen på området.
Visselblåsarlagen uppställer krav på att vissa verksamheter implementerar ett s.k. visselblåsarsystem, dvs. en rapporteringskanal för information om missförhållanden och oegentligheter på arbetsplatsen. Offentliga arbetsgivare med fler än 50 anställda samt privata arbetsgivare med fler än 249 anställda har sedan den 17 juli 2022 en skyldighet att ha visselblåsarkanaler på plats. Från och med den 17 december 2023 gäller även kravet för privata arbetsgivare med minst 50 anställda. Mer om Visselblåsarlagen går att läsa i Lindahls tidigare genomgång här.
När ett visselblåsarsystem inrättas behöver verksamheterna säkerställa att eventuell behandling av personuppgifter som förekommer i rapporteringssystemet efterlever kraven i tillämplig dataskyddslagstiftning. I denna artikel kommer vi att belysa centrala delar i dessa regelverk, samt vad arbetsgivare som träffas av Visselblåsarlagen behöver tänka på avseende personuppgiftsbehandling.
Vilket regelverk gäller för personuppgiftsbehandling i visselblåsarkanaler?
Vid behandling av personuppgifter enligt Visselblåsarlagen gäller dataskyddsförordningen (”GDPR”), dataskyddslagen som kompletterar GDPR i svensk rätt samt de föreskrifter som meddelats i anslutning till dataskyddslagen. Vidare innehåller den nya Visselblåsarlagen särskilda bestämmelser om hur personuppgifter ska hanteras som kompletterar GDPR och dataskyddslagen. Både de grundläggande principerna i GDPR och de konkreta krav som följer av Visselblåsarlagen, t.ex. beträffande lagringstid för rapporter, ska alltså följas.
Sex vanliga frågor om behandling av personuppgifter i visselblåsarkanaler
Hur bestämmer vi ändamål med behandlingen?
Enligt Visselblåsarlagen får personuppgifter bara behandlas i ett visselblåsarsystem om behandlingen är nödvändig för ett uppföljningsärende. Med begreppet uppföljningsärende avses enligt lagen ett ärende som består i att
- ta emot rapporter och ha kontakt med den rapporterande personen;
- vidta åtgärder för att bedöma riktigheten i de påståenden som framställs i rapporten;
- överlämna uppgifter om de utredda påståendena för fortsatta åtgärder; och
- lämna återkoppling om uppföljningen till den rapporterande personen om den utförda utredningen och de slutsatser som följer av denna.
Enligt lagen är det således endast möjligt att behandla de personuppgifter som är nödvändiga för vart och ett av stegen i uppföljningen av ett visselblåsarärende.
Hur beslutar vi om rättslig grund för behandlingen?
Enligt GDPR måste det alltid finnas en rättslig grund för varje personuppgiftsbehandling. Det finns sex rättsliga grunder enligt artikel 6.1 i GDPR. För privata verksamhetsutövare med minst 50 anställda och för personuppgiftsansvariga myndigheter kan behandlingen stödjas på den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i GDPR, förutsatt att behandlingen av personuppgifter är nödvändig för att fullgöra skyldigheterna enligt Visselblåsarlagen. Så är självklart fallet för de ändamål som följer av lagen som angetts ovan. Planeras behandlingar för andra ändamål än de som listats ovan i systemet måste det således vila på någon annan rättslig grund än en rättslig förpliktelse enligt visselblåsarlagen.
Notera att en verksamhetsutövare har en rättslig förpliktelse först när det finns en skyldighet enligt Visselblåsarlagen att inrätta en visselblåsarkanal, dvs. först den 17 december 2023 för privata verksamhetsutövare med minst 50 anställda. Verksamhetsutövare med färre än 50 anställda är inte skyldiga att inrätta visselblåsarkanaler enligt lagen och kan därför inte stödja behandling av personuppgifter i frivilligt inrättade visselblåsarkanaler på den rättsliga grunden rättslig förpliktelse. Vid frivilligt inrättade visselblåsarkanaler måste den personuppgiftsansvariga därför hitta en annan rättslig grund att stödja behandlingen på för att denna ska vara tillåten enligt GDPR.
Får vi behandla uppgifter om lagöverträdelser i rapporteringskanalen utan att söka tillstånd?
Med uppgifter som rör lagöverträdelser avses information om att någon begått brott, blivit fälld i domstol för brott, blivit föremål för straffprocessuella tvångsmedel såsom häktning eller misstänkts för ett konkret brott. Huvudregeln enligt GDPR är att det enbart är de myndigheter som har i uppdrag att behandla sådana uppgifter som har en laglig grund för behandlingen.
Alla verksamhetsutövare som omfattas av skyldigheten att tillhandahålla visselblåsarkanaler får behandla uppgifter om lagöverträdelser inom ramen för den rättsliga förpliktelsen att tillhandahålla visselblåsarkanaler. Det innebär att inget tillstånd behöver sökas. Verksamhetsutövare som inte omfattas av skyldigheten att tillhandahålla interna visselblåsarkanaler måste som utgångspunkt för att få behandla uppgifter som rör lagöverträdelser, söka tillstånd hos Integritetsskyddsmyndigheten.
Hur ska vi hantera förekomsten av känsliga personuppgifter i visselblåsarkanalerna?
Det är som huvudregel inte tillåtet att behandla känsliga personuppgifter. När verksamheter tillhandahåller visselblåsartjänster innebär detta dock att känsliga personuppgifter kan förekomma i de av arbetstagare lämnade uppgifterna.
De verksamhetsutövare som omfattas av lagens krav på att inrätta en visselblåsartjänst är mot denna bakgrund undantagna från förbudet att behandla känsliga personuppgifter. Behandlingen grundar sig då på ett allmänt intresse enligt artikel 9.2 g i GDPR, som medger undantag från huvudregeln om förbud mot behandling av känsliga uppgifter. En behandling av känsliga personuppgifter ska dock enbart ske i den utsträckning som behandlingen är nödvändig för ett uppföljningsärende enligt Visselblåsarlagen.
En behandling av känsliga personuppgifter inom ramen för en visselblåsartjänst kan också ske med stöd av den rättsliga förpliktelse en arbetsgivare eller arbetstagare kan ha, att exempelvis följa upp ett påstående om att en arbetstagare misskött sin anställning eller utöva sina rättigheter inom arbetsrätten enligt artikel 9.2 b i GDPR.
Hur länge får vi spara personuppgifter i visselblåsarkanalerna?
Personuppgifter får enbart behandlas för att fullgöra de skyldigheter som grundar behandlingen – i detta fall för att följa kravet på att tillhandahålla en visselblåsarkanal. Personuppgifter får därför inte behandlas under en längre tid än vad som krävs för att fullgöra detta ändamål.
Personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning får som utgångspunkt inte samlas in. Samlas sådana uppgifter in av misstag ska de raderas så snart som möjligt.
Rapporter i uppföljningsärenden och de personuppgifter som förekommer i dessa kan behöva bevaras en viss tid. Exempelvis kan det finnas behov för handläggning en viss tid efter upprättandet av rapporten och det kan därför vara nödvändigt att även spara sådana uppgifter efter att en uppföljning avslutats. Visselblåsarlagen uppställer krav på att personuppgifterna måste raderas i vart fall senast två år efter behandlingen.
Något om anlitande av externa företag som tillhandahåller rapporteringskanaler
Företag som anlitas av en personuppgiftsansvarig verksamhetsutövare för att behandla personuppgifter för verksamhetsutövarens räkning i syfte att tillhandahålla visselblåsarkanaler, är normalt att se som ett personuppgiftsbiträde. Bedömningen av vem som är personuppgiftsansvarig och personuppgiftsbiträde för en viss behandling ska dock alltid göras mot bakgrund av omständigheterna i det enskilda fallet. Anlitas ett företag som är att betrakta som personuppgiftsbiträde ska parterna ingå ett personuppgiftsbiträdesavtal som reglerar behandlingen.
Praktisk checklista vid behandling av personuppgifter i visselblåsarkanaler
Nedan följer en praktisk checklista vid behandling av personuppgifter i visselblåsarkanaler.
✓ Informera de anställda. Informera i er integritetspolicy om att personuppgiftsbehandlingar kan förekomma till följd av visselblåsartjänsten och vilken rättslig grund som tillämpas.
✓ Gör en konsekvensbedömning. Genomför en konsekvensbedömning om visselblåsarsystemets påverkan enligt artikel 35 GDPR innan ni inrättar ett visselblåsarsystem, dvs. innan behandlingen påbörjas.
✓ Teckna personuppgiftsbiträdesavtal. Teckna personuppgiftsbiträdesavtal med företag som behandlar personuppgifter för er räkning i syfte att tillhandahålla visselblåsartjänster.
✓ För register. För register över er personuppgiftsbehandling. Såväl personuppgiftsansvariga som personuppgiftsbiträden är skyldiga att föra register över sina behandlingar av personuppgifter. Oavsett om ni som verksamhetsutövare har en intern eller extern visselblåsarkanal behöver en registerförteckning föras (genom ett s.k. artikel 30-register).
✓ Ansök om tillstånd. Ansök om tillstånd för att behandla brottsuppgifter om er verksamhet inte omfattas av skyldigheten att tillhandahålla visselblåsarkanaler.
✓ Gallra uppgifterna. Säkerställ att personuppgifter raderas senast två år efter att ett uppföljningsärende har avslutats.
Tveka inte med att kontakta någon av våra experter nedan vid frågor om personuppgiftsbehandling i visselblåsarkanaler. Ni kan också läsa mer om vår tjänst för inrättande av en visselblåsarkanal här.
