En ny visselblåsarlag började gälla den 17 december 2021.1 Enligt lagen ska individer kunna larma om missförhållanden både på en arbetsplats och till en myndighet. Lagen gäller för offentliga arbetsgivare med minst 50 anställda och privata företag med minst 249 anställda från, från 17 juni 2022. För privata företag med 50 till 249 anställda gäller den från 17 december 2023. Detta blogginlägg syftar till att utreda de vanligaste frågorna som kan uppkomma gällande visselblåsning och GDPR.
Vad innebär visselblåsning?
En visselblåsare är någon som rapporterar eller slår larm om oegentligheter och missförhållanden, ofta på den egna arbetsplatsen. Det kan till exempel vara att mutor tagits emot i samband med en offentlig upphandling eller att skattepengar använts för dyra nöjesresor.
Vad säger lagen om visselblåsning? Utgör visselblåsning en behandling av personuppgift?
Vid behandling av personuppgifter enligt visselblåsarlagen gäller GDPR, lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (”dataskyddslagen”) och föreskrifter som meddelats med stöd av den. Det gäller om inte annat följer av visselblåsarlagen eller föreskrifter som meddelats i anslutning till visselblåsarlagen.
Av 7 kap. visselblåsarlagen framgår när, av vem och hur länge personuppgifter får behandlas vid visselblåsarärenden. Personuppgifter får endast behandlas om behandlingen är nödvändig för ett uppföljningsärende enligt lagen. Vad som avses med uppföljningsärende framgår av 1 kap 8§ punkt 4 i lagen. I korthet kan det beskrivas som åtgärder för att handlägga, utreda och kommunicera gällande visselblåsarens rapportering.
Vidare gäller att personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning inte får samlas in och snarast möjligt ska raderas om de samlats in av misstag. Personuppgifter får inte heller behandlas längre än två år efter att uppföljningsärendet avslutats.
För myndigheter hindrar det inte att myndigheten arkiverar och bevarar allmänna handlingar där personuppgifter förekommer eller att arkivmaterial lämnas till en arkivmyndighet. I visselblåsarlagen anges också att det endast är personer som är behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång till personuppgifter som behandlas i ett sådant ärende.
I ett visselblåsningsärende där någon rapporterar om missförhållanden anges ofta olika personuppgifter såsom namn, personnummer, bankuppgifter, IP-nummer, uppgifter om hälsa, sexuell läggning m.m.
Vilken rättslig grund har vi för behandling av personuppgifter i vår rapporteringskanal för visselblåsning?
Rättslig förpliktelse enligt artikel 6.1 c GDPR. Både ni som är privata verksamhetsutövare och ni som är myndighet eller annan offentlig aktör kan stödja sig på den rättsliga grunden rättslig förpliktelse i den utsträckning som behandlingen av personuppgifter är nödvändig för att fullgöra era skyldigheter enligt visselblåsarlagen.
Om ni som myndighet har fått särskilt uppdrag från regeringen att tillhandahålla en extern rapporteringskanal så är detta också en rättslig förpliktelse enligt visselblåsarlagen och förordning (2021:949) om skydd för personer som rapporterar om missförhållanden behandla personuppgifter i den externa rapporteringskanalen.
Kan intern visselblåsning ske anonymt?
Även om det idag finns många leverantörer av visselblåsarsystem som erbjuder ”anonyma” sätt att rapportera missförhållanden, innebär det inte per automatik att de uppgifter som anges är anonyma. Detta eftersom en anställd kan ange uppgifter om andra personer, även om de inte lämnar någon uppgift om sig själv.
Det kan således vara så att den som rapporterar visserligen är anonym men att de uppgifter som han eller hon anger kan identifiera en annan person, vilket medför att det är personuppgifter som behandlas och inte ”anonyma” eller ”anonymiserade uppgifter”.
Det kan också vara så att det är möjligt för någon inom organisationen att ta reda på vem som rapporterat, genom exempelvis använda uteslutningsmetoden utifrån inrapporterad information, och då är visselblåsaren inte anonym längre, d.v.s. det är inte en anonymiserad uppgift enligt GDPR.
Därför är det viktigt att ni har förståelse för att rapporteringen genom er visselblåsarkanal kan innehålla personuppgifter samt utreder om den som rapporterar verkligen kan vara helt anonym, annars behöver ni informera denne om hur ni kommer behandla dennes personuppgifter.
Tänk på! Det är viktigt att tänka på hur lösningen för att rapportera in missförhållanden konstrueras, för att bland annat säkerställa att den som visselblåser skyddas, men även de som inkluderas i rapporteringen.
Behöver vi göra en konsekvensbedömning för vår interna rapporteringskanal?
Ja! Av IMY:s förteckning över situationer när en konsekvensbedömning ska göras framgår att en konsekvensbedömning ska genomföras när en organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen (”visselblåsning”).
Behöver vi registrera behandlingen av personuppgifter inom ramen för vårt visselblåsarsystem i vår registerförteckning?
Ja! Detta gör ni enkelt i vårt digitala verktyg för registerförteckning som är utformat efter artikel 30 i GDPR. Det hjälper er uppfylla alla krav som ställs på registerförteckning. I verktyget förklaras pedagogiskt vilken information ni ska dokumentera för att uppfylla kravet i artikel 30 GDPR. Genom mallar och videos kan ni enkelt ta er igenom det steg-för-steg. När ni registerfört era personuppgiftsbehandlingar hjälper registerförteckningen er ha en överblick över era behandlingar, vilket är användbart vid ert övriga GDPR-arbete.
Vi har stor erfarenhet av att hjälpa organisationer med att implementera dataskyddsprocesser och upprätta registerförteckningar. Vi ställer höga krav på att vår tjänst ska underlätta GDPR-arbetet!
Vill du boka en kostnadsfri demo av vårt verktyg? Klicka här!