Gitt konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Klima og Miljødepartementet (KLD)

Like dokumenter
15/ /BSO Konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Lyngdal kommune

Klima- og miljødepartementet Dato: Versjon: 1.0 Side: 1 av 7

BEHANDLING AV PERSONOPPLYSNINGER

Retningslinjer for LYN Fotball Varslingsordning

Vår referanse (bes oppgitt ved svar)

GDPR HVA ER VIKTIG FOR HR- DATA

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Deres ref Vår ref (bes oppgitt ved svar) Dato

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Krav til formål, utredning og opplysningskvalitet. Dag Wiese Schartum, AFIN

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Forsikringselskaper adgang til etterforskning

Kort innføring i personopplysningsloven

Lydopptak og personopplysningsloven

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Adressemekling. Innhold INNLEDNING AKTØRENE

Deres referanse Vår referanse Dato 15/ /JSK

OM PERSONVERN TRONDHEIM. Mai 2018

Personopplysningsloven

Prosedyre for personvern

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

Krav til formål, opplysningskvalitet og utredning. DRI1010 Mona Naomi Lintvedt

Deres referanse Vår referanse Dato / /EOL

Vår referanse (bes oppgitt ved svar)

3 Avklaring om det foreligger varsel om kritikkverdige forhold

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Brukerinstruks Informasjonssikkerhet

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Varsling i Ringebu kommune

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR - viktige prinsipper og rettigheter

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Varsling.

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Bransjenorm. Forsikringsselskapenes felles retningslinjer innen utredning ved mistanke om forsikringssvindel

Policy for personvern

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Rutine for varsling av kritikkverdige forhold

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

Merknader til personopplysningsforskriften kapittel 9:

Personvernperspektivet og oppbevaring av intervjumateriale

Endelig kontrollrapport

Arbeidsgivers personvernplikter

Nytt personvernregelverk på 1-2-3

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Personvern og utredningsarbeid hvor går grensen? Cecilie Rønnevik, fagdirektør Forsikringsforeningen 27. november 2013

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Varsling.

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Personvernerklæring for EVUweb - søkere

Personvernerklæring for Søknadsweb

Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger

2. Arbeidstakers rett til å varsle Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

Rutiner for varsling Longyearbyen lokalstyre Vedtatt i partssammensatt AU

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

Endelig kontrollrapport

NINAs personverndokument

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Endelig kontrollrapport

Varsling.

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Personvernerklæring for EVUweb - søkere

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Innsynsrettigheter og plikt til å gi informasjon til registrerte. Dag Wiese Schartum, AFIN

Finansdepartementet 10. april Høringsnotat

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Prosedyrer for varsling i HLF.

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Endelig kontrollrapport

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Varslingsrutiner for tillitsvalgte Samfunnsviterne

Høring Forslag til endringer i utlendingsforskriften Adgang til å ta lyd- og bildeopptak av asylregistreringen

Finans Norges bransjenormer. PwC 1

PERSONVERNSERKLÆRING AVANTI RYFYLKE.

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Personvernforordningen

Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

GDPR General Data Protection Regulativ

Personvernerklæring for Edvarda (Consortia Manager)

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Personvern og informasjonssikkerhet

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Transkript:

. Datatilsynet Klima- ou miijodepartementet Postboks 8013 Dep 0030 OSLO Deres referanse Var referanse (bes oppgitt ved svar) Dato 14/01063-4iHTE 23. oktober 2014 Gitt konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Klima og Miljødepartementet (KLD) Datatilsynet viser til deres søknad av 15. september 2014 om konsesjon til å behandle personopplysninger i forbindelse med varslingstjeneste, samt etterfølgende c-post av 20. oktober 2014. Datatilsynet har vurdert søknaden og gir Klima og Miljodepartementet (heretter KLD), med hjemmel i personopplysningsloven 33 jf. 34, konsesjon til å bchandle personopplysninger i lbrhindelse med varslingstjeneste som er åpen for de ansatte (interne) og utenforstående (eksterne). Konsesjonen er gitt under forutsetninu av at behandlingen skjer i henhold til soknaden, inerknadene i denne konsesjonen samt personopplysninusloven med forskrift. Dersom det skjer endrinuer av betydninu i forhold til de opplysninger som er gitt i søknaden. må det fremmes ny konsesjonssoknad. Avklaring av om endrinuer gjor det nødvendiu å soke ny konsesjon. kan ujores med Datatilsynet. Datatilsynets merknader til den lanlaute behandlinuen av ersono lvsninuer Kort om varshnustjenesten KLD vil legue til rette tbr varsling gjennom en weblosning som driftes av en ekstern leverandor. samt via telefon, ordinær post personlitz oppmote og e-post. Datatilsynet forutsetter at infonnasjonssikkerheten i kanalen via weblosningen er tilfredsstillende ved at det brukes krypteringsløsninger. KLD vil bruke BDO AS som databehandler. varslet. Selskapet vil bistå med mottak og håndterinu av Datatilsynet har ikke gått nærmere inn i avtalen med BDO som ledd i nærværende konsesjonsbehandling. P( swdresse: Kontora dresse: Feletbn: Telernks: Org nr: Hjemmeside: PoJilholes 8 I 77 Dep tollhugt 3 22 39 69 00 22 42 23 50 974 70 I 407 www.datati IsyneLno 0034 OSLO

Personopplysninger som vil bli behandlet Det er vanskelig på forhånd å vite hvilke personopplysninger som vil bli behandlet, men behandlingen kan omfatte sensitive opplysninger om mulige straffbare forhold knyttet til en eller fiere konkrete personer. Som personopplysning enkeltperson. regnes enhver opplysning og vurdering som kan knyttes til Behandlingen av personopplysninger vil kunne omfatte mer enn bare de opplysninger som måtte fremkomme av selve varselet altså informasjon som varsleren gir. Også oppfølgingen og undersøkelsene av varselet vil gjerne innebære behandlingen av personopplysninger. Det kan dreic seg om innhenting av nye opplysninger eller bruk av opplysninger man er i besittelse av fra før. Det kan også være tale om utlevering av opplysninger. Datatilsynet vil understreke at grunnkravene i personopplysningsloven 11 må være oppfylt for enhver behandling som blir foretatt. Behandlingsansvarlig må i alle saker som måtte innkomme gjennom varslingstjenesten sørge for at behandlingen av personopplysninger er i overenstemmelse med grunnkravene. Formål Det følger av personopplysningsloven 11 første ledd bokstav b at den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig beuunnet i den behandlingsansvarliges virksomhet. Formålet med å etablere varslingstjenesten er å legge til rette for at opplysninger om kritikkverdige forhold knyttet til forretningsvirksomheten, herunder lovovertredelser og mulige straftbare handlinger, skal kunne innberettes på en trygg og forsvarlig måte til de relevante personer i virksomheten. Formålet er videre å sikre en forsvarlig og rask oppfølging av varsler med sikte på å avklare de faktiske forhold og treffe de nødvendige tiltak. Behandlingsansvarlig må sørge for at personopplysninger som behandles i tilknytning til vandingssaker skjer i samsvar mcd formålet, og at opplysningene er tilstrekkelige og relevante for formålet, jf 11 forste ledd bokstav d. Datatilsynet vil understreke at formålet begrenser hva personopplysninger kan brukes til. Det følger av personopplysningsloven Il forste ledd bokstav e at personopplysninger ikke kan brukes til senere formål som er uforenlig med det opprinnelige formålet med innsamlingen, uten at den registrerte samtykker. Bestemmelsen er tolket av Høyesterett i en dom publisert i Rt. 2013 side 143. Vi nevner her at 11 første ledd bokstav c representerer et absolutt forbud mot å gjenbruke personopplysninger til nye formål som er uforenlige med det opprinnelige formålet, mcd mindre den registrerte samtykker til den nye bruken. Bestemmelsen begenser hva

personopplysninger som er samlet inn og behandlet i forbindelse med varslingssaker, kan brukes til. Bestemmelsen er også relevant med tanke på nærmere undersøkelser av det varslede forhold. Slike undersokelser kan innebære bruk av personopplysninger som selskapet er i besittelse av fra for. Dersom bruken av disse opplysningene i forbindelse med undersokelsene er nforenlig med det opprinnelige formålet med opplysningenc, kan behandling bare skje på bakgrunn av samtykke fra demiden opplysningene gjelder. Datatilsynet Ibrutsetter at den behandlingsansvarlige den enkelte varslingssak. alltid v 1vurdere om gjenbruk er lovlig i Behandlingsgrunnlag Datatilsynet mener at behandlingen av personopplysninger må basere seg på personopplysningsloven 8 bokstav f, og i tillegg 9 bokstav e eventuelt f der hvor behandlingen omfatter sensitive opplysninger. Den behandlingsansvarlige må alltid vurdere om kravet til behandlingsgrunnlag faktisk er oppfylt i den enkelte sak og for den enkelte behandling selskapet foretar. Den behandlingsansvarlige må sørge for at vurderingene som gjøres er dokumenterbare i den enkelte sak. Dette bør integreres i det arbeidet som gjøres ved oppfølgingen av et varsel, og som en del av intemkontrollen, jf. personopplysningsloven 14 jf. personoppl ysningsforskrj ften 3-1. Den berettigede interessen i å behandle personopplysninger for å avdekke eventuelle misligheter må veies mot den registrertes personvern. Dette er kjernen i kravet om behandlingsgrunnlag, hvoretter avveininger må foretas i den enkelte sak. Behandlingen av personopplysninger må være proporsjonal. I proporsjonalitetsvurderingen må man blant annet se hen til alvoret i den påståtte handlingen, hvilke konsekvenser saken kan få for de(n) registrerte, art og omfang av de personopplysninger man vil behandle og hvilke adekvate tiltak som treffes for å gjøre behandlingen mest mulig rettferdig og skånsom. I vurderingen inngår også om og hvordan den registrerte særlig de(n) mistanken gjelder får informasjoniinnsyn og mulighet til å ivareta sine interesser. Informasjonsplikt og rett til innsyn Inffirmasjon om behandlingen av personopplysninger er grunnleggende viktig for at den enkelte skal kunne ivareta sine interesser, herunder sine rettigheter etter personopplysningsloven. I personopplysningsloven kapittel 3 er det gitt nærmere regler om rett til å få innsyn og plikt til å gi informasjon om behandling av personopplysninger. Generell informasjon som må gis: Etter Datatilsynets vurdering må KLD gi generell informasjon til alle ansatte om varslingstjenesten. Det må gis infonnasjon om hvem som er behandlingsansvarlig, formålet 3

med tjenesten, hvordan den i hovedtrekk fungerer og hvordan varsler vil bli fulgt opp. herunder at virksomheten i sine undersøkelser vil kunne innhente ytterligere opplysninger eller ta i bruk opplysninger som den allerede har fra før. Datatilsynet understreker at generell og god forhåndsinformasjon vil være mcd på å skape forutberegnelighet tbr de ansatte med hensyn til den mulige behandlingen av opplysninger om dem. Dette har også betydning for formålsbegrensningen i personopplysningsloven II ffirste ledd bokstav c, jf. det som er sagt over om bruk av personopplysninger selskapet behandler fra før til konkrete undersøkelser i en varslingssak. Konkret injormasfon til den registrerte: Den registrerte vil være den det faktisk behandles opplysninger om. Dette vil typisk være varsleren og den/dem som mistenkes for å ha opptrådt rettstridig/klanderverdig, men vil også gjelde alle andre det behandles opplysninger om. Den registrerte har krav på særskilt informasjon i samsvar med personopplysningsloven 19 ou 20. For de mest sentrale personene varsleren og den mistenkte vil Datatilsynet særlig bemerke: Varsleren må få informasjon om behandlingen av opplysninger om harn/benne. Særlig viktig vil det være å informere om hvordan selskapet vil beskytte varslerens konfulensialitet, herunder om det kan være aktuelt å utlevere informasjon om varsleren i særskilte tilfeller, for eksempel til politiet eller i forbindelse med rettslig prosess. I tilfeller hvor KLD vurderer å utlevere opplysninger om varsleren, må selskapet så langt mulig informere varsleren og gi mulighet for uttalelse først. Varsleren bør også få informasjon om oppfølgingen og utfallet av varslingssaken. Den mistenkte må som utgangspunkt gis informasjon så tidlig som mulig etter at varsel er mottatt og mistanken er etablert. Det må som et minimum gis informasjon om mistanken og grunnlaget for denne, hvem som ansvarlig for behandlingen, hvem som vil kunne få tilgang på opplysningene under sakens gang samt informasjon om retten til å kreve innsyn etter personopplysningsloven 18 og retten til å kreve retting og/eller sletting etter 27 og 28. Innsynsretten: Dersom den mistenkte eller andre ber om innsyn etter personopplysningsloven 18 har vedkommende i utgangspunktet rett til å få innsyn i alle opplysninger om hanihenne som behandles i anledning varslingssaken. Det skal imidlertid som den store hovedregel ikke gis innsyn i opplysninger om varslerens identitet eller opplysninger som kan avslore identiteten. KLD har et særlig ansvar tbr å verne varsleren. Unntak kan tenkes i tilfeller hvor varsleren beviselig har fremsatt falske anklager med viten og vilje. Datatilsynet understreker at selv om innsyn i varslerens identitet ikke skal gis etter personopplysningslovens bestemmelser, utelukker ikke dette at innsyn vil kunne gis i andre sammenhenger, for eksempel hvis det blir politietterforskning eller rettslig prosess. Retten til innsyn vil i så fall måtte vurderes etter rettspleielovene eller annet rettsgrunnlag. 4

Lontak,fro informavons- og innsynsrellen: Unntak fra retten til informasjon og innsyn folger av 23. Unntak vurderes konkret fra sak til sak. Det er ikke rom for å gjore generelle unntak. Dersom det foreligger grunnlag for unntak, må det alltid vurderes om dette skal gjelde helt eller delvis i de opplysninger som behandles i saken. Unntak skal aldri strekke seg lenger enn strengt nødvendig. Behandlingsansvarlig må være forsiktig med å gjøre unntak fra informasjons- og innsynsretten. Å unnlate å informere eller gi innsyn vil som utgangspunkt representere inngrep i grunnleggende kontradiksjonsrettigheter. Informasjon og innsyn er også avgjørende for at den registrerte skal kunne nyte sine andre rettighcter etter personopplysningsloven, slik som retten til å kreve uriktige eller ufullstendige opplysninger rettet, jf. personopplysningsloven 27. Retten til å kreve retting må her ses i sammenhengen med den plikten behandlingsansvarlig har til å sorge for at personopplysningene som behandles er korrekte og oppdaterte, jf personopplysningsloven II forste ledd bokstav e. I en sak hvor det foreligger mistanke orn alvorlige misligheter. kan det være vanskelig å si med sikkerhet hva som er korrekt. Ansvaret for å få et så korrekt bilde av faktum som mulig tilsier at den registrerte må få anledning til å gi sitt syn på opplysningene i saken og på den måten korrigere opplysninger han måtte mene er uriktige eller ufullstendige. Unntak kan forst og fremst gjøres dersom det er en betydelig risiko for at infbrmasjon til den mistenkte kan forspille muligheten til å oppklare saken (bevistbrspillelsesfare). I slike tilfeller kan virksomheten likevel ikke unnlate å informere eller gi innsyn i store omtång eller lenger enn nødvendig. Unntak kan ogsa være nødvendig å gjøre av hensyn til andres åpenhare og grunnleggende interesser, jf. personopplysningsloven 23 forste ledd bokstav f Dette vil typisk kunne være andre involverte personer, som varsleren ellcr andre kilder, som det kan være nødvendig å beskytte. Unntak vil i så fall ikke kunne strekke seg lenger enn det som er nødvendig tbr å heskytte andres interesser. noen grad kan det også være grunnlag for å gjore unntak for opplysninger som utelukkende tinnes i tekst som er utarbeidet for den inteme saksforberedelsen og som heller ikke er utlevert til andre. jf. personopplysningsloven 23 forste ledd bokstav e. De personopplysninger som danner grunnlaget for en mistanke eller som behandles fbr å belyse mistanken, kan imidlertid ikke holdes tilbake bare fordi opplysningene befmner seg i en i utuangspunktet intern rapport eller liknende. Unntaket kan således ikke alene brukes for å holde tilhake informasjon om mistanken som kommer frem i for eksempel rapport som utarbeides på bakgrunn av mottatt varsel. Annerledes kan være interne vurderinger av for eksempel hvordan man skal forholde seg til den mistenkte eksempelvis om arbeidsrettslige sanksjoner bor iverksettes eller om saken skal anmeldes til politiet eller utkast til oppsigelse/avskjed eller politianmeldelse. 5

Særskilte vilkår I medhold av personopplysningsloven behand Iingen: 35, fastsettes i tillegg følgende vilkår for I. KLD skal hvert tredje år sende Datatilsynct bekreftelse på at behandlingen skjer i overensstemmelse med søknaden og personopplysningslovens regler. Bekreftelsen må inneholde en kort redegjørelse for antall varslingssaker som er mottatt og behandlet i tidsrommet etter konsesjonsdato samt utfallet av sakene. Avsluttende merknader Dette vedtak kan påklages til Personvernnemnda i medhold av tbrvaltningslovens kapittel VI. Eventuell klage må sendes til Datatilsynet senest tre uker etter mottaket av dette brev. Med yçnrtlig hilsen eedie L. u. Rcne(rik fagdirektor Henok Tesfazghi seniorrådgiver 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding