15/ /BSO Konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Lyngdal kommune

Like dokumenter
Gitt konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Klima og Miljødepartementet (KLD)

Klima- og miljødepartementet Dato: Versjon: 1.0 Side: 1 av 7

Retningslinjer for LYN Fotball Varslingsordning

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

BEHANDLING AV PERSONOPPLYSNINGER

Deres ref Vår ref (bes oppgitt ved svar) Dato

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Vår referanse (bes oppgitt ved svar)

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vår referanse (bes oppgitt ved svar)

GDPR HVA ER VIKTIG FOR HR- DATA

Deres referanse Vår referanse Dato / /EOL

Deres referanse Vår referanse Dato 15/ /JSK

Varsling i Ringebu kommune

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

2. Arbeidstakers rett til å varsle Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Varsling.

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Varsling av kritikkverdige forhold

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Prosedyre for personvern

3 Avklaring om det foreligger varsel om kritikkverdige forhold

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Rutine for varsling av kritikkverdige forhold

Lydopptak og personopplysningsloven

Varsling om kritikkverdige forhold i rettssubjektet Den norske kirke

Varsling.

Kort innføring i personopplysningsloven

Rutiner for varsling Longyearbyen lokalstyre Vedtatt i partssammensatt AU

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

RUTINER OG SKJEMA FOR VARSLING OM KRITIKKVERDIGE FORHOLD

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

OM PERSONVERN TRONDHEIM. Mai 2018

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Varslingsrutine i NOAH AS

Rutiner for varsling av kritikkverdige forhold i Øyer kommune. Vedtatt av KST i K - sak xx/

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

RUTINE FOR EKSTERN VARSLING AV KRITIKKVERDIGE FORHOLD

Forsikringselskaper adgang til etterforskning

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Endelig kontrollrapport

Varsling- veileder for deg som ønsker å varsle

Arbeidsgivers personvernplikter

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Retningslinjer for varsling

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

NINAs personverndokument

VARSLINGSRUTINER VED HØGSKOLEN I FINNMARK

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Adressemekling. Innhold INNLEDNING AKTØRENE

Rutiner for varsling om kritikkverdige forhold i Sjømannskirken

Revidering av rutinen for varsling og saksbehandling av varslingssaker

Merknader til personopplysningsforskriften kapittel 9:

Varslingsveileder for Norsk Gjenvinning-konsernet

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Varslingsrutiner ved HiST

Varsling.

Varslingsveileder for Norsk Gjenvinning-konsernet

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Endelig kontrollrapport

Databehandleravtaler

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Brukerinstruks Informasjonssikkerhet

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Endelig kontrollrapport

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

Vår referanse (bes oppgitt ved svar)

Retningslinjer for varsling av kritikkverdige forhold

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Prosedyrer for varsling i HLF.

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

06. FEB Saksnr.

Transkript:

'5/ 153% Datatilsynet çff MOTTATT 211 n. 2015 LYNGDAL KOMMUNE Lyngdal kommune Postboks 353 4577 LYNGDAL Deres referanse Vår referanse Dato 15/00811-3/BSO 16.11.2015 Konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Lyngdal kommune Datatilsynet viser til søknad av 24. juli 2015 om konsesjon til å behandle personopplysninger samt tilleggsopplysninger i brev 29. juli s.å. Datatilsynet har vurdert søknaden og gir Lyngdal kommune, med hjemmel i personopplysningsloven 33 jf. 34, konsesjon til å behandle personopplysningeri forbindelse med varslingstj eneste som er tilgjengelig for de ansatte (interne) og utenforstående (eksterne). Konsesjonen er gitt under forutsetning av at behandlingen skjer i henhold til søknaden, merknadene i denne konsesjonen samtpersonopplysningsloven med forskrift. Dersom det skjer endringer av betydning i forhold til de opplysninger som er gitt i søknaden, må det fremmes ny konsesjonssøknad. Avklaring av om endringer gjør det nødvendig å søke ny konsesjon, kan gjøres med Datatilsynet. Datatils ets merknader til den lanla ebehandlin en av ersono l snin er 0 Kort om varslingstjenesten Lyngdal kommune vil legge til rette for en varslingskanal som skal være tilgjengelige både for ansatte og andre. Varsling skjer via elektronisk skjema på kommunens hjemmeside. Det er inngått en avtale med en leverandør som vil levere den tekniske løsningen. Datatilsynet forutsetter at informasjonssikkerheten er tilfredsstillende ivaretatt i denne løsningen. Slik vi forstår det vil varslingskanalen være tilgjengelig via internett for varsleren. Det legges opp til at varsleren kan være anonym. Anonym varsling eller behandling av personopplysninger med anonym kilde, er ikke i seg selv i strid med personopplysningsloven. Det kan imidlertid være utfordringer knyttet til anonym varsling med hensyn til etterrettelighet og pålitelighet. Datatilsynet mener derfor at Lyngdal kommune alltid bør anmode varsleren om å stå frem. Postadresse: Kontoradresse: Telefon: Telefaks: Orgnr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datati1synet.no 0034 OSLO

0 Personopplysninger som vil bli behandlet Det er vanskelig på forhånd å vite hvilke personopplysninger som vil bli behandlet, men behandlingen kan omfatte sensitive opplysninger om mulige straffbare forhold knyttet til en eller flere konkrete personer. Behandlingen av personopplysninger vil kunne omfatte mer enn bare de opplysninger som måtte fremkomme av selve varselet- altså informasjon som varsleren gir. Også oppfølgingen og undersøkelsene av varselet vil gjerne innebære behandlingen av personopplysninger. Det kan dreie seg om innhenting av nye opplysninger eller bruk av opplysninger man er i besittelse av fra før. Det kan også være tale om utlevering av opplysninger. Datatilsynet vil understreke at grunnkravene i personopplysningsloven ll må være oppfylt for enhver behandling som blir foretatt. Behandlingsansvarli g må i alle saker sørge for at behandlingen av personopplysninger er i overenstemmelse med grunnkravene. Det innebærer fortløpende vurdering i sak til sak. 0 Formål Det følger av personopplysningsloven ll første ledd bokstav b at den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. Formålet med å etablere varslingstjenesten er å legge til rette for at opplysninger om kritikkverdige forhold knyttet til forretningsvirksomheten, herunder lovovertredelser og mulige straffbare handlinger, skal kunne innberettes på en trygg 0 g forsvarlig måte til de relevante personer i virksomheten. Formålet er videre å sikre en forsvarlig og rask oppfølging av varsler med sikte på å avklare de faktiske forhold og treffe de nødvendige tiltak. Behandlingsansvarlig må sørge for at personopplysninger som behandles i tilknytning til varslingssaker skjer i samsvar med formålet, og at opplysningene er tilstrekkelige og relevante for formålet, jf. ll første ledd bokstav d. Datatilsynet vil understreke at formålet begrenser hva personopplysninger kan brukes til. Det følger av personopplysningsloven ll første ledd bokstav C at personopplysninger ikke kan brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. Bestemmelsen er tolket av Høyesterett i en dom publisert i Rt. 2013 side 143. Dommen er retningsgivende. Vi nevner her at ll første ledd bokstav C representerer et absolutt forbud mot å gjenbruke personopplysninger til nye formål som er uforenlige med det opprinnelige formålet, med mindre den registrerte samtykker til den nye bruken. Bestemmelsen begrenser hvilke formål personopplysninger som er samlet inni og behandlet i forbindelse med varslingssaker, kan brukes til. Bestemmelsen er også relevant med tanke på nærmere undersøkelser av det varslede forhold. Slike undersøkelser kan innebære bruk av personopplysninger som selskapet er i besittelse av fra før. Dersom bruken av disse opplysningene i forbindelse med 2

undersøkelsene er uforenlig med det opprinnelige formålet med opplysningene, kan behandling bare skje på bakgrunn av samtykke fra dem/ den opplysningene gjelder. Datatilsynet forutsetter at den behandlingsansvarlige alltid vil vurdere om gjenbruk er lovlig i den enkelte Varslingssak. ø Behandlings grunnlag. For intern varsling har Datatilsynet i sin praksis lagt til grunn at etablering av varslingskanal har hjemmel i arbeidsmiljøloven 3-6. Bestemmelsen regulerer arbeidsgivers plikt til å legge forholdene til rette for intern varsling. Det pekes på at videre håndtering og oppfølging av varsel også må ha behandlings grunnlag, samt at prinsippene om formålsbestemthet og proporsjonalitet må etterleves. For ekstern varsling finner Datatilsynet at behandlingen av personopplysninger må basere seg på personopplysningsloven 8 bokstav f, og i tillegg 9 bokstav e eventuelt f der hvor behandlingen omfatter sensitive opplysninger. Den behandlingsansvarli ge må alltid vurdere om kravet til behandlings grunnlag faktisk er oppfylt i den enkelte sak og for den enkelte behandling selskapet foretar. Den behandlingsansvarlige må sørge for at vurderingene som gjøres er dokumenterbare i den enkelte sak. Dette bør integreres i det arbeidet som gjøres ved oppfølgingen av varsel, og som en del av intemkontrollen, jf. personopplysningsloven 14 jf. personopplysningsforskriften 3-1. Den berettigede interessen i å behandle personopplysninger for å avdekke eventuelle misligheter må veies mot den registrertes personvem. Dette er kjemen i kravet om behandlingsgrunnlag, hvoretter avveininger må foretas i den enkelte sak. Behandlingen av personopplysninger må være proporsjonal. I proporsjonalitetsvurderingen må man blant annet se hen til alvoret i den påståtte handlingen, hvilke konsekvenser saken kan få for de(n) registrerte, art og omfang av de personopplysninger man vil behandle og hvilke adekvate tiltak som treffes for å gjøre behandlingen mest mulig rettferdig og skånsom. I vurderingen inngår også om den registrerte - særlig de(n) mistanken gjelder - får informasjon og mulighet til å ivareta sine interesser. I Informasj onsplikt og rett til innsyn Inforrnasjon om behandlingen av personopplysninger er grunnleggende viktig for at den enkelte skal kunne ivareta sine interesser, herunder sine rettigheter etter personopplysningsloven. I personopplysningsloven kapittel 3 er det gitt nærmere regler om rett til å få innsyn og plikt til å gi informasjon om behandling av personopplysninger. Generell informasjon som må gis: Etter Datatilsynets vurdering må Lyngdal kommune gi generell informasjon til alle ansatte om varslingstjenesten. Det må gis informasjon om hvem som er behandlingsansvarlig, fonnålet 3

med tjenesten, hvordan den i hovedtrekk fungerer og hvordan Varsler vil bli fulgt opp, herunder at virksomheten i sine undersøkelser vil kunne innhente ytterligere opplysninger eller ta i bruk opplysninger som den allerede har fra før. Datatilsynet understreker at god og utfyllende forhåndsinforinasjon vil være med på å skape forutberegnelighet for de ansatte med hensyn til den mulige behandlingen av opplysninger om dem. Dette har også betydning for forrnålsbegrensningen i personopplysningsloven ll første ledd bokstav c, jf. det som er sagt over om bruk av personopplysninger selskapet behandler fra før til konkrete undersøkelser i en varslingssak. Konkret informasjon til den registrerte: Den registrerte vil være dem det faktisk behandles opplysninger om. Dette vil typisk være varsleren og den/dem som mistenkes for å ha opptrådt rettstridig/klanderverdig, men vil også gjelde alle andre det behandles opplysninger om. Den registrerte har krav på særskilt informasjon i samsvar med personopplysningsloven 19 og 20. For de mest sentrale personene - varsleren og den mistenkte - vil Datatilsynet særlig bemerke: Varsleren må få inforrnasj on om behandlingen av opplysninger om ham/henne. Særlig viktig vil det være å informere om hvordan selskapet vil beskytte varslerens konfidensialitet, herunder om det kan være aktuelt å utlevere inforrnasj on om varsleren i særskilte tilfeller, for eksempel til politiet eller i forbindelse med en rettslig prosess. I tilfeller hvor Lyngdal kommune vurderer å utlevere opplysninger om varsleren, må selskapet så langt som mulig informere varsleren og gi mulighet for uttalelse først. Varsleren bør også få informasjon om oppfølgingen og utfallet av varslingssaken. Den mistenkte må som utgangspunkt gis informasjon så tidlig som mulig etter at varsel er mottatt og mistanken er etablert. Det må som et minimum gis informasjon om mistanken og grunnlaget for denne, hvem som ansvarlig for behandlingen, hvilke avdelinger/enheter som vil kunne få tilgang på opplysningene under sakens gang, samt informasjon om retten til å kreve innsyn etter personopplysningsloven 18 og retten til å kreve retting og/eller sletting etter 27 og 28. Irmsynsrettens Dersom den mistenkte eller andre ber om innsyn etter personopplysningsloven 18 har vedkommende i utgangspunktet rett til å få innsyn i alle opplysninger om han/henne som behandles i anledning varslingssaken. Det skal imidlertid som den store hovedregel ikke gis innsyn i opplysninger om varslerens identitet eller opplysninger som kan avsløre identiteten. Lyngdal kommune har et særlig ansvar for å verne varsleren. Unntak kan tenkes i tilfeller hvor varsleren beviseli g har fremsatt falske anklager med viten og vilje. Datatilsynet understreker at selv om innsyn i varslerens identitet ikke skal gis etter personopplysningslovens bestemmelser, utelukker ikke dette at innsyn vil kunne gis i andre 4

sammenhenger, for eksempel hvis det blir politietterforskning eller rettslig prosess. Retten til innsyn vil i så fall måtte vurderes etter rettspleielovene. Unntak fifa informasjons- og ínnsynsretten: Unntak fra retten til informasjon og innsyn følger av 23. Unntak vurderes konkret fra sak til sak. Det er ikke rom for å gjøre generelle unntak. Dersom det foreligger grunnlag for unntak, må det alltid vurderes om dette skal gjelde helt eller delvis i de opplysninger som behandles i saken. Unntak skal aldri strekke seg lenger enn strengt nødvendig. Lyngdal kommune må være forsiktig med å gjøre unntak fra informasj ons- og innsynsretten. Å unnlate å informere eller gi innsyn vil som utgangspunkt representere inngrep i grunnleggende kontradiksjonsrettigheter. Informasjon og innsyn er også avgjørende for at den registrerte skal kunne nyte sine andre rettigheter etter personopplysningsloven, slik som retten til å kreve uriktige eller ufullstendige opplysninger rettet, jf. personopplysningsloven 27. Retten til å kreve retting må her ses i sammenhengen med den plikten behandlingsansvarli g har til å sørge for at personopplysningene som behandles er korrekte og oppdaterte, jf. personopplysningsloven ll første ledd bokstav e. I en sak hvor det foreligger mistanke om alvorlige misligheter, kan det være vanskelig å si med sikkerhet hva som er korrekt. Ansvaret for å få et så korrekt bilde av faktum som mulig tilsier at den registrerte må få anledning til å gi sitt syn på opplysningene i saken og på den måten korrigere opplysninger han måtte mene er uriktige eller ufullstendi ge. Unntak kan først og fremst skje dersom det er en betydelig risiko for at informasjon til den mistenkte kan forspille muligheten til å oppklare saken (bevisforspillelsesfare). I slike tilfeller kan virksomheten likevel ikke unnlate å informere eller gi innsyn i større omfang eller lenger enn nødvendig. Unntak kan også være nødvendig å gjøre av hensyn til andres åpenbare og grunnleggende interesser, jf. personopplysningsloven 23 første ledd bokstav f. Dette vil typisk kunne være andre involverte personer, som varsleren eller andre kilder, som det kan være nødvendig å beskytte. Unntak vil i så fall ikke kunne strekke seg lenger enn det som er nødvendig for å beskytte andres interesser. I noen grad kan det også være grunnlag for å gjøre unntak for opplysninger som utelukkende finnes i tekst som er utarbeidet for den interne saksforberedelsen og som heller ikke er utlevert til andre, jf. personopplysningsloven 23 første ledd bokstav e. De personopplysninger som danner grunnlaget for en mistanke eller som behandles for å belyse mistanken, kan imidlertid ikke holdes tilbake bare fordi opplysningene befinner seg i en i utgangspunktet intern rapport eller liknende. Unntaket kan således ikke alene brukes for å holde tilbake informasjon om mistanken som kommer frem i for eksempel rapport som utarbeides på bakgrunn av mottatt varsel. Annerledes kan være inteme vurderinger av for eksempel hvordan man skal forholde seg til den mistenkte - eksempelvis om arbeidsrettsli ge sanksjoner bør iverksettes eller om saken skal anmeldes til politiet- eller utkast til oppsigelse/ avskjed eller politianmeldelse. 5

Særskilte vilkår I medhold av personopplysningsloven 35, fastsettes i tillegg følgende vilkår for behandlingen: Lyngdal kommune skal hvert tredje år sende Datatilsynet bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler. Bekreftelsen må inneholde en kort redegjørelse for antall varslingssaker som er mottatt og behandlet i tidsrommet etter konsesjonsdato samt utfallet av sakene. Vilkår her må ses i lys av at søknaden gjelder en mulig fremtidig behandling av personopplysninger som er situasjonsbetinget og hvor den forhåndskontrollen som konsesjonsordníngen representerer, har sine begrensninger. For å avhjelpe dette ønsker derfor Datatilsynet noe informasjon om omfang av saker for å danne oss et litt bedre bilde av varslingssaker og behandling av personopplysninger. Avsluttende merknader Dette vedtak kan påklages til Personverrmemnda i medhold av forvaltningslovens kapittel VI. Eventuell klage må sendes til Datatilsynet senest tre uker etter mottaket av dette brev. l. \ Med vennlig hilsen -L/ vff 5 v1):,,.';. fl Henok Tesfazghi f-,p A n seniorrådgiver x».w 1 V.Ã å ' 'fi Éård Soløy Ødegaard seniorrådgivef/ 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding