Innsikt
Hjem / Innsikt / Varslingssaker og personvernet

Varslingssaker og personvernet

Når et varsel om kritikkverdige forhold kommer inn til arbeidsgiver, utløser det en undersøkelsesplikt for arbeidsgiver. Samtidig har arbeidsgiver en omsorgsplikt for både varsler og innvarslet, og andre ansatte som eventuelt blir berørt av undersøkelsene. I tillegg reiser varslingssaker særlige personvernrettslige problemstillinger, og personvernet til de berørte skal ivaretas.
| Artikkel | Skrevet av Nicolay Skarning og Camilla Hagelien
Dialog_9
  1. Innledning

Når et varsel om kritikkverdige forhold kommer inn til arbeidsgiver, har han eller hun en plikt til å foreta nødvendige undersøkelser av varselet innen rimelig tid, jf. arbeidsmiljøloven § 2 A-3. Kritikkverdige forhold kan være helseskadelig arbeidsmiljø, trakassering, brudd på rettsregler, som korrupsjon, brudd på skatte- eller mva-regler mm. “Kritikkverdige forhold” er et vidt begrep, og det blir til syvende og sist arbeidsgiver, som i kraft av arbeidsgivers styringsrett, bestemmer om og hvordan varselet skal følges opp.

Arbeidsgiver som har fem ansatte eller flere har plikt til å ha rutiner for varsling. I rutinen skal bl.a. arbeidsgivers saksbehandling og oppfølging beskrives, jf. arbeidsmiljøloven § 2 A-6 (4). Da kan det samtidig være hensiktsmessig å beskrive noe om behandlingen av personopplysningene, hvem man kan henvende seg til for innsyn mv. Arbeidsgiver bør passe på at hans eller hennes handlefrihet beholdes, fordi varslingssakene kan være så forskjellige, og hver undersøkelse må legges opp i forhold til varselets innhold og alvor.

Arbeidsgiver er underlagt særskilte plikter ved behandling av personopplysninger om sine ansatte. Personvernreglene finnes først og fremst i personopplysningsloven, som også gjennomfører EUs rådsforordning om personopplysninger (“GDPR”) i norsk rett. GDPR-reglene er generelle og er ikke spesielt tilpasset varslingssakene. Reglene om varsling i arbeidsmiljøloven og personvernreglene må derfor anvendes i harmoni med hverandre, noe som kan reise enkelte særlige problemstillinger nærmere diskutert under.

  1. Rutinene for behandling av varslinger

Rutinene for varslinger skal drøftes med tillitsvalgte og være tilgjengelige for alle ansatte, jf. arbeidsmiljøloven § 2 A-6. Arbeidsgiver har en undersøkelsesplikt, men bestemmer selv hvordan saken skal undersøkes og konkluderes.

Hvordan varselet skal sendes inn, og til hvem, må fremgå av varslingsrutinene. Varslingsrutinene skal legge til rette for varslinger, og de fleste virksomheter vil ønske at dette gjøres internt, og legge opp til det. Gjelder varselet ledelsen i virksomheten, vil det, uavhengig av hvem som står som formell mottaker i rutinene, være styret som er rett sted å sende varselet.

Virksomheten vil normalt ønske seg åpne varsler, som er lettere å undersøke, og hvor det er lettere med kontradiksjon i forhold til den som er omvarslet. Den omvarslede har en grunnleggende rett til å uttale seg om et varsel mot seg, i alle fall der arbeidsgiver finner grunn til å gå videre med varselet.

Varselet om kritikkverdige forhold sendes til den som er angitt som mottaker for varsler etter de skriftlige rutiner virksomheten har. Her vil likevel styret i virksomheten være øverste instans, avhengig av hvem eller hva i virksomheten varselet gjelder.

Omvarslet skal informeres om varselet mot ham eller henne, når arbeidsgiver finner grunn til å undersøke varselet. Ved innsamling eller annen behandling av personopplysninger som ikke er gitt av den personen personopplysningene gjelder, skal vedkommende informeres senest innen en måned, jf. GDPR artikkel 14 nr.3.

  1. Varsler og omvarsledes rett til informasjon, innsyn og retting

Parallelt med at arbeidsgiver må følge arbeidsmiljølovens regler om rutiner ved varsling, må pliktene i personvernregelverket følges.  Arbeidsgiver er som det klare utgangspunkt behandlingsansvarlig for personopplysninger som behandles om ansatte på arbeidsplassen. Både begrepet “personopplysninger” og “behandling” er underlagt en vid fortolkning i GDPR, noe som påvirker rekkevidden av arbeidsgivers plikter. I konteksten av en varslingssak kan behandling av personopplysninger kan for eksempel være innhenting, lagring og utlevering av informasjon som direkte eller indirekte identifiserer varsleren, den omvarslede eller andre ansatte på arbeidsplassen.

Rollen som behandlingsansvarlig innebærer blant annet at arbeidsgiver må påse at personopplysningene behandles for et angitt formål og ikke utover dette, at det ikke behandles mer personopplysninger enn nødvendig for å oppnå dette formålet og at man har et lovlig grunnlag (såkalt behandlingsgrunnlag) for å behandle disse personopplysningene, jf. GDPR artikkel 5 og 6. Den behandlingsansvarlige har dessuten plikt til å på nærmere angitte vilkår gi informasjon og innsyn om behandlingen til den behandlingen gjelder. Rett og plikt til å gi innsyn og informasjon springer ut av åpenhetsprinsippet i personvernregelverket, noe som blant annet kommer til uttrykk i GDPR fortalepunkt 39, artikkel 5, 14 og 15.

I varslingssaker har varsler og omvarslet i utgangspunktet rett til informasjon og innsyn i hva arbeidsgiver vil foreta seg i forhold til varselet. De har også rett til innsyn i de personopplysninger som samles inn i forhold til dem, jf. GDPR artikkel 15 nr. 1. For omvarslet vil dette ikke minst være viktig for å kunne kommentere opplysningene og ivareta egne interesser (kontradiksjon). Både varsler og omvarslet vil også måtte få informasjon, slik at de kan be om retting av eventuell feilinformasjon, jf. GDPR artikkel 16.  Denne retten innebærer imidlertid ikke at de har rett til å få innsyn i personopplysninger om andre. Dermed kan det bli behov for sladding av dokumenter før overføring til varsler eller omvarslet.

Retten til informasjon og innsyn gjelder heller ikke absolutt. Det er derfor viktig å undersøke hvorvidt unntaksreglene i GDPR kan være aktuelle. Unntakene finnes i personopplysningsloven § 16, samt GDPR artikkel 15 nr. 4 og artikkel 14 nr. 5. I personopplysningsloven § 16 er det blant annet innført unntak fra innsynsretten ved etterforskning av straffbare forhold, tekst som er utarbeidet for intern saksforberedelse mm. Arbeidsgiver må derfor gjøre en konkret vurdering av hvorvidt en innsynsbegjæring skal imøtekommes, og eventuelt hvor langt.

Et varsel kan også berøre andre enn varsler og omvarslet. Samles det inn personopplysninger om andre, vil også disse kunne ha slik rett til innsyn og eventuelt krav på retting som for varsler og omvarslet.

  1. Kan varsler kreve å være anonym?

Et spørsmål som kan reise seg i varslingssaker er om varsler kan kreve anonymitet. Sett hen til at varslere risikerer å bli utsatt for negative reaksjoner, er det ofte forståelig at det ønskes å varsle anonymt. Ved noen arbeidsplasser er det en egen kanal for anonyme varsler. Da sikres i utgangspunktet anonymiteten. Men arbeidsgiver har anledning til å forespørre vedkommende om han eller hun likevel vil stå frem med varselet.

Dersom varsler står frem med sin identitet overfor arbeidsgiver, er spørsmålet om han eller hun kan kreve å være anonym. Hvordan en slik forespørsel vil bli behandlet kan fremgå av virksomhetens varslingsrutiner. Fordi formålet med varslingsreglene er å få frem kritikkverdige forhold, taler det for å godta varslerens krav om å være anonym. Men der dette ikke er regulert, vil det være opp til arbeidsgivers styringsrett å bestemme dette. Den varsler som ønsker å beholde sin anonymitet er således best henvist til å sende inn varselet anonymt og med et innhold som ikke avslører vedkommendes identitet.

Anonyme varslingssaker har også en side til personvernreglene. Lovgiver er med hjemmel i GDPR artikkel 88 gitt hjemmel til å fastsette nærmere regler på arbeidsrettens område. Lovgiver har imidlertid ikke tatt stilling til hvordan åpenhetsprinsippet står seg der varsler ønsker å være anonym. Det er derfor de generelle reglene i GDPR som gjelder.

Den omvarsledes rett til informasjon om varselet fremgår av GDPR artikkel 14. I henhold til GDPR artikkel 14 nr. 2 f har omvarslede blant annet rett til informasjon om “hvilke kilde personopplysningene kommer fra“. Det er uavklart hvorvidt dette omfatter informasjon om hvem varsler er og Datatilsynet påpeker i sin veiledning at de ikke har tatt stilling til om dette omfatter varslers identitet. Omvarsledes innsynsrett i GDPR artikkel 15 synes å strekke seg noe lengre.

Etter GDPR artikkel 15 nr. 1 g, skal arbeidsgiver som behandlingsansvarlig som utgangspunkt gi den registrerte innsyn i “all tilgjengelig informasjon om hvor personopplysningene stammer fra“.  Formålet med bestemmelsen er å tilrettelegge for at den registrerte kan kontrollere at den behandlingsansvarlige behandler personopplysningene i tråd med GDPR, samt i overenstemmelse med de opplysninger som den behandlingsansvarlige tidligere har gitt om behandlingen.

Datatilsynet uttaler følgende om bestemmelsen:

All tilgjengeleg informasjon” talar for at retten til innsyn som eit utgangspunkt inneber retten til å få vite kven varslaren er, så lenge arbeidsgivaren sjølv veit dette.[…] Inntil spørsmålet blir løyst i lovgivinga må arbeidsgivarar i varslingssaker vurdere om dei oppfyller nokon av unntaka frå retten til informasjon og innsyn etter personvernforordninga, dersom dei skal halde unna varslarens identitet. Vi tilrår som nemnd at arbeidsgivarar beskriv korleis dei vil handtere personopplysningar i rutinane om varsling.[1]

Ordlyden i GDPR artikkel 15 nr. 1 g sammenholdt med det alminnelige åpenhetsprinsippet i GDPR og Datatilsynets uttalelser, trekker i retning av at omvarslede som utgangspunkt har rett til å vite hvem varsler er, også der varsler har fremsatt et ønske om anonymitet. Her bør likevel unntaksreglene for innsyn og informasjon i henholdsvis GDPR og personopplysningsloven også vurderes. Ettersom de fleste av unntaksbestemmelsene er skjønnsmessige og fordrer konkrete vurderinger, kan det oppstå vanskelige grensedragninger om når hensynet til varsler skal veie tyngre enn omvarsledes rett til åpenhet og kontradiksjon. For å styrke forutberegneligheten i slike saker mener vi derfor det er nødvendig med en tydeligere, rettslig avklaring av spørsmålet.

I forlengelse av dette er det verdt å merke seg at i EUs varslingsdirektiv[2], som foreløpig ikke er gjennomført i norsk rett, innfører et tydeligere krav til konfidensialitet om varslers identitet, se direktivets artikkel 16 nr. 1 om taushetsplikt, som sier:

“Medlemsstaterne sikrer, at den indberettende persons identitet ikke videregives til andre end autoriserede medarbejdere, der er kompetente til at modtage eller følge op på indberetninger, uden denne persons udtrykkelige samtykke. Dette gælder også andre oplysninger, ud fra hvilke den indberettende persons identitet direkte eller indirekte kan udledes.”

Varslingsdirektivet er for tiden under behandling i Norge. I forbindelse med en høring knyttet til en utredning av direktivet i juni 2022 har både Datatilsynet og Arbeidstilsynet uttalt seg om behovet for tydeligere regelverk om personvern og taushetsplikt om identiteten til varsler.[3]

Den 16.9.22 uttalte Datatilsynet på s. 3 i sitt høringssvar:

“Datatilsynets støttar forslaget om teieplikt om identiteten til varslaren ved intern varsling. Den som er skulda for regelbrot ønskjer ofte å vite kven som har varsla, medan varslaren ønskjer å vere anonym. Dagens reglar i arbeidsmiljølova og personopplysingslova er uklare og fører til unødvendige konfliktar.”

Vi oppfatter uttalelsen dit hen innsynretten ikke må tolkes så vidt at omvarslede gis en uavkortet rett til å vite hvem varsler er. Tatt i betraktning de særlige hensynene som gjør seg gjeldende i varslingssaker, er det derfor god grunn til å legge til grunn en restriktiv praktisering av innsyn i varslers identitet. I påvente av et tydeligere regelverk anbefaler vi at arbeidsgiver tar stilling til spørsmålet i virksomhetens varslingsrutiner. Hvis det er viktig for varsler å være anonym, vil det mest hensiktsmessige være å be varsler melde ifra gjennom en anonym varslingskanal. Om ikke en slik varslingskanal finnes, bør arbeidsgiver vurdere om det foreligger særlige hensyn i saken som tilsier at innsyn i varslers identitet ikke burde gis. Her vil unntaksbestemmelsene i GDPR og personopplysningsloven være førende.

  1. Innsyn i e-post og annet datamateriale

Innsyn i e-post og annet datamateriale er regulert i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale. Her er personvernet ivaretatt ved at arbeidsgiver må ha grunnlag for innsyn bl.a. der det er begrunnet mistanke om forhold som kan grunnlag for oppsigelse eller avskjed, jf. forskriften § 2. I tillegg er det lagt opp til en prosedyre der arbeidstaker får uttale seg på forhånd, og eventuelt være til stede ved innsynet, jf. forskriften § 3.

  1. Lagring, lagringstid og sletting

GDPR-regelverket stiller krav til at personopplysningene skal lagres på forsvarlig vis og at ikke uvedkommende får tilgang til materialet. De fleste virksomheters HR-systemer sikrer dette. Imidlertid kan en rapport etter undersøkelsene inneholde mange personopplysninger, slik at også selve rapporten må holdes konfidensiell.

GDPR-regelverket stiller også krav til at personopplysningene ikke skal lagres lenger enn nødvendig. I forbindelse med varsler, kan det bli behov for arbeidsrettslige tiltak, advarsel, oppsigelse, avskjed, med derpå følgende rettstvister. I tillegg kommer at den alminnelige foreldelsesfrist er tre år. Alt dette taler for at materialet i forbindelse med en varslingsundersøkelse tas vare på i flere år.

GDPR-regelverket gir også berørte rett til å få sine personopplysninger slettet etter nærmere angitte vilkår. Dette omfatter blant annet tilfeller der hvor personopplysningene ikke lenger er nødvendige med å oppnå formålet eller der man ikke lenger har et behandlingsgrunnlag for å oppbevare opplysningene.

  1. Oppsummering

Arbeidsgiver har en plikt til å undersøke det varsler som kommer inn om kritikkverdige forhold, selv om åpenbare grunnløse varsler antagelig kan avvises med en gang. Når undersøkelse settes i gang, skal berørte informeres om undersøkelsen og gis rett til å uttale seg. Personvernreglene gir videre rett til et visst innsyn i de personopplysninger som samles inn om vedkommende, og stiller krav til arbeidsgivers behandling av opplysningene, lagring, retting og eventuell senere bruk av opplysningene. Spørsmålet om hvorvidt varsler kan kreve å være anonym er ikke helt avklart i autoritative rettskilder. Selv om innsynsretten i GDPR synes å kunne omfatte informasjon om hvem varsler er, peker rettsutviklingen i retning av at denne rettigheten ikke er ment å gjelde uavkortet. I påvente av en rettslig avklaring og tatt i betraktning av hensynene bak varslingsreglene, mener vi derfor det er gode grunner til å praktisere en restriktiv innsynsrett med hensyn informasjon om varslers identitet.

 

[1] https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/rett-til-informasjon-og-innsyn/ (nedlastningsdato 6. juli 2023)

[2] Direktiv (EU) 2019/1937 of the European Parliament and of the Council af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten

[3] Alle høringssvar er tilgjengelig her: https://www.regjeringen.no/no/dokumenter/horing-utredning-om-gjennomforing-av-direktiv-eu-20191937-varslingsdirektivet-i-norsk-rett/id2919283/

 

Les mer om bedriftens oppfølgning av varslingssaker her.