• Om oss
    • Om Lindahl
    • Vårt arbetssätt
    • Sagt om Lindahl
    • Pressrum
    • Hitta till oss
    • Personuppgifter
  • Områden
    • Aktiemarknadsrätt
    • Fastighetsrätt
    • Företags­överlåtelser
    • Immaterialrätt
    • IT/Tech
    • Tvistlösning
    • Alla områden
    • Notarius Publicus
  • Medarbetare
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg
  • Aktuellt
    • Event
    • Insikter
    • Nyheter
    • Uppdrag
  • Karriär
    • Lediga tjänster
    • Att jobba på Lindahl
    • Student
    • Business Law Challenge
  • Kontor
    • Stockholm
    • Göteborg
    • Malmö
    • Uppsala
    • Örebro
    • Helsingborg

Sex vanliga frågor om personuppgifts­­­behandling i visselblåsar­kanaler

  • Hem
  • Aktuellt
  • Insikter
  • 2022
  • Sex vanliga frågor om personuppgifts­behandling i visselblåsarkanaler

En ny visselblåsarlag, lag (2021:890) om skydd för personer som rapporterar om missförhållanden (”Visselblåsarlagen”), började gälla den 17 december 2021 och ersatte den tidigare lagen på området.

Visselblåsarlagen uppställer krav på att vissa verksamheter implementerar ett s.k. visselblåsarsystem, dvs. en rapporteringskanal för information om missförhållanden och oegentligheter på arbetsplatsen. Offentliga arbetsgivare med fler än 50 anställda samt privata arbetsgivare med fler än 249 anställda har sedan den 17 juli 2022 en skyldighet att ha visselblåsarkanaler på plats. Från och med den 17 december 2023 gäller även kravet för privata arbetsgivare med minst 50 anställda. Mer om Visselblåsarlagen går att läsa i Lindahls tidigare genomgång här.

När ett visselblåsarsystem inrättas behöver verksamheterna säkerställa att eventuell behandling av personuppgifter som förekommer i rapporteringssystemet efterlever kraven i tillämplig dataskyddslagstiftning. I denna artikel kommer vi att belysa centrala delar i dessa regelverk, samt vad arbetsgivare som träffas av Visselblåsarlagen behöver tänka på avseende personuppgiftsbehandling. 


Vilket regelverk gäller för personuppgifts­behandling i visselblåsar­kanaler?

Vid behandling av personuppgifter enligt Visselblåsarlagen gäller dataskyddsförordningen (”GDPR”), dataskyddslagen som kompletterar GDPR i svensk rätt samt de föreskrifter som meddelats i anslutning till dataskyddslagen. Vidare innehåller den nya Visselblåsarlagen särskilda bestämmelser om hur personuppgifter ska hanteras som kompletterar GDPR och dataskyddslagen. Både de grundläggande principerna i GDPR och de konkreta krav som följer av Visselblåsarlagen, t.ex. beträffande lagringstid för rapporter, ska alltså följas.


Sex vanliga frågor om behandling av personuppgifter i visselblåsar­kanaler

Hur bestämmer vi ändamål med behandlingen?

Enligt Visselblåsarlagen får personuppgifter bara behandlas i ett visselblåsarsystem om behandlingen är nödvändig för ett uppföljningsärende. Med begreppet uppföljningsärende avses enligt lagen ett ärende som består i att

  • ta emot rapporter och ha kontakt med den rapporterande personen;
  • vidta åtgärder för att bedöma riktigheten i de påståenden som framställs i rapporten;
  • överlämna uppgifter om de utredda påståendena för fortsatta åtgärder; och
  • lämna återkoppling om uppföljningen till den rapporterande personen om den utförda utredningen och de slutsatser som följer av denna.

Enligt lagen är det således endast möjligt att behandla de personuppgifter som är nödvändiga för vart och ett av stegen i uppföljningen av ett visselblåsarärende.


Hur beslutar vi om rättslig grund för behandlingen?

Enligt GDPR måste det alltid finnas en rättslig grund för varje personuppgiftsbehandling. Det finns sex rättsliga grunder enligt artikel 6.1 i GDPR. För privata verksamhetsutövare med minst 50 anställda och för personuppgiftsansvariga myndigheter kan behandlingen stödjas på den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i GDPR, förutsatt att behandlingen av personuppgifter är nödvändig för att fullgöra skyldigheterna enligt Visselblåsarlagen. Så är självklart fallet för de ändamål som följer av lagen som angetts ovan. Planeras behandlingar för andra ändamål än de som listats ovan i systemet måste det således vila på någon annan rättslig grund än en rättslig förpliktelse enligt visselblåsarlagen.

Notera att en verksamhetsutövare har en rättslig förpliktelse först när det finns en skyldighet enligt Visselblåsarlagen att inrätta en visselblåsarkanal, dvs. först den 17 december 2023 för privata verksamhetsutövare med minst 50 anställda. Verksamhetsutövare med färre än 50 anställda är inte skyldiga att inrätta visselblåsarkanaler enligt lagen och kan därför inte stödja behandling av personuppgifter i frivilligt inrättade visselblåsarkanaler på den rättsliga grunden rättslig förpliktelse. Vid frivilligt inrättade visselblåsarkanaler måste den personuppgiftsansvariga därför hitta en annan rättslig grund att stödja behandlingen på för att denna ska vara tillåten enligt GDPR.


Får vi behandla uppgifter om lagöverträdelser i rapporteringskanalen utan att söka tillstånd? 

Med uppgifter som rör lagöverträdelser avses information om att någon begått brott, blivit fälld i domstol för brott, blivit föremål för straffprocessuella tvångsmedel såsom häktning eller misstänkts för ett konkret brott. Huvudregeln enligt GDPR är att det enbart är de myndigheter som har i uppdrag att behandla sådana uppgifter som har en laglig grund för behandlingen.

Alla verksamhetsutövare som omfattas av skyldigheten att tillhandahålla visselblåsarkanaler får behandla uppgifter om lagöverträdelser inom ramen för den rättsliga förpliktelsen att tillhandahålla visselblåsarkanaler. Det innebär att inget tillstånd behöver sökas. Verksamhetsutövare som inte omfattas av skyldigheten att tillhandahålla interna visselblåsarkanaler måste som utgångspunkt för att få behandla uppgifter som rör lagöverträdelser, söka tillstånd hos Integritetsskyddsmyndigheten.


Hur ska vi hantera förekomsten av känsliga personuppgifter i visselblåsarkanalerna?

Det är som huvudregel inte tillåtet att behandla känsliga personuppgifter. När verksamheter tillhandahåller visselblåsartjänster innebär detta dock att känsliga personuppgifter kan förekomma i de av arbetstagare lämnade uppgifterna.

De verksamhetsutövare som omfattas av lagens krav på att inrätta en visselblåsartjänst är mot denna bakgrund undantagna från förbudet att behandla känsliga personuppgifter. Behandlingen grundar sig då på ett allmänt intresse enligt artikel 9.2 g i GDPR, som medger undantag från huvudregeln om förbud mot behandling av känsliga uppgifter. En behandling av känsliga personuppgifter ska dock enbart ske i den utsträckning som behandlingen är nödvändig för ett uppföljningsärende enligt Visselblåsarlagen.

En behandling av känsliga personuppgifter inom ramen för en visselblåsartjänst kan också ske med stöd av den rättsliga förpliktelse en arbetsgivare eller arbetstagare kan ha, att exempelvis följa upp ett påstående om att en arbetstagare misskött sin anställning eller utöva sina rättigheter inom arbetsrätten enligt artikel 9.2 b i GDPR.


Hur länge får vi spara personuppgifter i visselblåsarkanalerna?

Personuppgifter får enbart behandlas för att fullgöra de skyldigheter som grundar behandlingen – i detta fall för att följa kravet på att tillhandahålla en visselblåsarkanal. Personuppgifter får därför inte behandlas under en längre tid än vad som krävs för att fullgöra detta ändamål.

Personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning får som utgångspunkt inte samlas in. Samlas sådana uppgifter in av misstag ska de raderas så snart som möjligt.

Rapporter i uppföljningsärenden och de personuppgifter som förekommer i dessa kan behöva bevaras en viss tid. Exempelvis kan det finnas behov för handläggning en viss tid efter upprättandet av rapporten och det kan därför vara nödvändigt att även spara sådana uppgifter efter att en uppföljning avslutats. Visselblåsarlagen uppställer krav på att personuppgifterna måste raderas i vart fall senast två år efter behandlingen.


Något om anlitande av externa företag som tillhandahåller rapporteringskanaler

Företag som anlitas av en personuppgiftsansvarig verksamhetsutövare för att behandla personuppgifter för verksamhetsutövarens räkning i syfte att tillhandahålla visselblåsarkanaler, är normalt att se som ett personuppgiftsbiträde. Bedömningen av vem som är personuppgiftsansvarig och personuppgiftsbiträde för en viss behandling ska dock alltid göras mot bakgrund av omständigheterna i det enskilda fallet. Anlitas ett företag som är att betrakta som personuppgiftsbiträde ska parterna ingå ett personuppgiftsbiträdesavtal som reglerar behandlingen.


Praktisk checklista vid behandling av personuppgifter i visselblåsar­kanaler

Nedan följer en praktisk checklista vid behandling av personuppgifter i visselblåsarkanaler.

✓ Informera de anställda. Informera i er integritetspolicy om att personuppgiftsbehandlingar kan förekomma till följd av visselblåsartjänsten och vilken rättslig grund som tillämpas.

✓ Gör en konsekvensbedömning. Genomför en konsekvensbedömning om visselblåsarsystemets påverkan enligt artikel 35 GDPR innan ni inrättar ett visselblåsarsystem, dvs. innan behandlingen påbörjas.

✓ Teckna personuppgiftsbiträdesavtal. Teckna personuppgiftsbiträdesavtal med företag som behandlar personuppgifter för er räkning i syfte att tillhandahålla visselblåsartjänster.

✓ För register. För register över er personuppgiftsbehandling. Såväl personuppgiftsansvariga som personuppgiftsbiträden är skyldiga att föra register över sina behandlingar av personuppgifter. Oavsett om ni som verksamhetsutövare har en intern eller extern visselblåsarkanal behöver en registerförteckning föras (genom ett s.k. artikel 30-register).

✓ Ansök om tillstånd. Ansök om tillstånd för att behandla brottsuppgifter om er verksamhet inte omfattas av skyldigheten att tillhandahålla visselblåsarkanaler.

✓ Gallra uppgifterna. Säkerställ att personuppgifter raderas senast två år efter att ett uppföljningsärende har avslutats.

 


Tveka inte med att kontakta någon av våra experter nedan vid frågor om personuppgiftsbehandling i visselblåsarkanaler. Ni kan också läsa mer om vår tjänst för inrättande av en visselblåsarkanal här.  

Registrera dig för e-postutskick

Vill du ta del av liknande information i framtiden? Prenumerera på Lindahls nyhetsbrev!

Besök sidan

GDPR & Dataskydd

I samband med samhällets digitalisering har behandlingen av personuppgifter blivit en förutsättning – och ett självständigt värde – för företags, myndigheters och andra organisationers verksamheter. Parallellt med detta har kraven på att skydda anställdas och kunders integritet ökat väsentligt.

Besök sidan

Lindahls visselblåsar­tjänst

Lindahl kan hjälpa er i alla delar med att implementera ett visselblåsarsystem enligt lagens krav. Bland annat uppställs krav på oberoende och självständiga mottagare av rapporter i systemet och återkoppling på rapporter inom vissa tidsfrister liksom krav på dokumentation och kommunikationsåtgärder. Även frågor kopplade till personuppgiftshantering behöver hanteras.

Besök sidan

Relaterat

  • 2022-05-17 09:22:10 Sanktionsavgift mot Klarna – vikten av transparens och tydlighet i en s.k. "personuppgiftspolicy”
  • 2022-03-11 16:23:45 E-handlare med försäljning av varor eller tjänster till privatpersoner? Hög tid att förbereda er för en ny konsumentköplag som föreslås träda i kraft i maj 2022
  • 2021-12-13 12:22:49 Nya riktlinjer från EDPB om vad som utgör en tredjelandsöverföring
  • 2021-12-09 17:21:45 Påminnelse: nya standardavtalsklausuler från EU-kommissionen – hög tid att uppdatera avtalsmallar och förhandla om befintliga avtal
  • 2021-11-29 16:06:04 Visselblåsarlagen – så förbereder du din verksamhet
  • 2021-06-18 16:28:55 Nyheter inom IT/Tech | juni 2021
  • 2021-04-06 16:28:41 Vad gäller vid kamerabevakning?
  • 2021-04-06 16:28:55 Nyheter inom IT/Tech | april 2021

Kontakt

  • Asta Schulz

    Stockholm

    asta.schulz@lindahl.se +46 733 998 029
  • Pontus Etéus

    Göteborg

    pontus.eteus@lindahl.se +46 731 472 786
  • Felicia Olsson

    Göteborg

    felicia.olsson@lindahl.se +46 731 472 789
  • Max Stenberg

    Malmö

    max.stenberg@lindahl.se +46 723 571 457
  • Gabriel Miller

    Malmö

    gabriel.miller@lindahl.se +46 725 007 004
  • Mikael Olsson

    Uppsala

    mikael.olsson@lindahl.se +46 730 915 170
  • Ida Karlsson

    Örebro

    ida.karlsson@lindahl.se +46 736 721 753
  • Ida Hjorth

    Helsingborg

    ida.hjorth@lindahl.se +46 701 435 850
Sidor
  • Start
  • Om oss
  • Områden
  • Medarbetare
  • Nyheter
  • Karriär
  • Personuppgifter
Våra kontor
  • Stockholmreception.stockholm@lindahl.se +46 8 527 70 800
  • Göteborgreception.goteborg@lindahl.se +46 31 799 10 00
  • Malmöreception.malmo@lindahl.se +46 40 664 66 50
  • Uppsalareception.uppsala@lindahl.se +46 18 16 18 50
  • Örebroreception.orebro@lindahl.se +46 19 20 89 00
  • Helsingborgreception.helsingborg@lindahl.se +46 42 17 53 00
Sociala medier
  • Följ oss i sociala medier: Instagram, Linkedin, Youtube, Facebook eller prenumerera på vårt nyhetsbrev.

Disclaimer

The material and information on this site is intended for general informational purposes only and does not constitute legal advice on any specific matter. Please note that all images on Lindahl's website, www.lindahl.se, are subject to intellectual property protection and downloading, publication, copying and/or other use of the images requires the written consent of the rights holder. You'll find Advokatfirman Lindahl KB's general terms and conditions here.

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse