Personuppgiftsbehandling, tystnadsplikt m.m.

Uppdaterad 12 oktober 2021

Personuppgiftsbehandling, tystnadsplikt m.m. Hur förhåller sig den nya visselblåsarlagen till GDPR och behandling av personuppgifter?

Det finns särskilda regler om dataskydd och personuppgiftsbehandling i den nya visselblåsarlagen. Dessa regler kompletterar dataskyddsförordningens och den svenska dataskyddslagens bestämmelser som i övrigt gäller vid automatiserad personuppgiftsbehandling. Det innebär att den nya visselblåsarlagens bestämmelser om behandling av personuppgifter inte kan tillämpas fristående, utan gäller tillsammans med reglerna i dataskyddsförordningen och dataskyddslagen.

De kompletterande reglerna i den nya visselblåsarlagen tar framförallt sikte på hanteringen av personuppgifter i ett uppföljningsärende. Läs om vad som avses med uppföljningsärende i avsnittet “Viktiga definitioner i den nya visselblåsarlagen”. I den nya visselblåsarlagen finns t.ex. särskilda bestämmelser om begränsningar av tillgång till personuppgifter som förekommer i ett uppföljningsärende. Bestämmelsen innebär ett uttryckligt krav på att endast personer som har utsetts som behöriga eller personer som arbetar vid enheter som har utsetts som behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång personuppgifter som behandlas. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Tillgången till personuppgifter kan således variera inom personalgruppen beroende på vilka arbetsuppgifter som var och en ska utföra i uppföljningsärendet. I den nya visselblåsarlagen finns även regler om den längsta tid som personuppgifter får behandlas i ett uppföljningsärende (s.k. gallringsregler).

Det är viktigt att man som arbetsgivare, redan innan interna rapporteringskanaler införs i företaget, beaktar att det sannolikt kan komma att behandlas mycket känsliga personuppgifter inom företagets interna rapporteringssystem. Det är viktigt att man som verksamhetsutövare säkerställer att sådana personuppgifter behandlas i enlighet med reglerna i dataskyddslagstiftningen och enligt de särskilda regler som gäller vid personuppgiftsbehandling i den nya visselblåsarlagen. Frågor som behöver hanteras är bl.a. vilka som ska ha tillgång till rapporter och hur man bygger tillräckligt säkra rapporteringssystem. Väljer man att lägga ut delar av eller hela sitt interna rapporteringssystem på en extern leverantör är det viktigt att säkerställa att den leverantör man väljer kan hantera personuppgifterna korrekt enligt uppdrag från beställaren.

Vad gäller avseende tystnadsplikt för den som hanterar ett uppföljningsärende för verksamhetsutövarens, t.ex. en arbetsgivares, räkning?

Den som hanterar ett uppföljningsärende måste iaktta tystnadsplikt och får som huvudregel inte röja en uppgift som kan avslöja identiteten på den rapporterande personen eller på någon annan enskild som förekommer i ärendet. En förutsättning för att tystnadsplikten ska gälla är dock att uppgiften kan avslöja identiteten på en rapporterande person eller identiteten på någon annan enskild som förekommer i ett uppföljningsärende. Regeln om tystnadsplikt i lagen omfattar dock bara s.k. obehörigt röjande av någons identitet. Framgår det t.ex. av annan lag att viss uppgift måste lämnas ut är uppgiftslämnandet inte obehörigt. Om den som skyddas av tystnadsplikten samtycker till att de skyddade uppgifterna lämnas ut, är utlämnandet – ”röjandet” – behörigt. Detta gäller även när samtycket lämnas via en facklig organisation. Den som bryter mot tystnadsplikten i lagen kan dömas till ansvar för brott mot tystnadsplikten som är ett brott i brottsbalken med böter och fängelse i straffskalan.