Datatilsynet har nylig oppdatert sin veileder om personvern i forbindelse med arbeidsgivers behandling av varslingssaker. Mange arbeidsgivere må som følge av dette revidere sine interne rutiner for å påse at virksomhetens behandling av varslingssaker er i tråd med personopplysningsregelverket (GDPR). Konsekvensene ved brudd på personopplysningsregelverket kan være store gebyrer, i enkelte tilfeller risikerer man også at beviser som er fremskaffet under behandlingen av en varslingssak nektes fremlagt i en etterfølgende rettssak dersom de er innhentet i strid med personopplysningsregelverket.
Det man ser er at den omvarsledes rett til innsyn og kontradiksjon i noen tilfeller vil stå i direkte motstrid mot varslers eventuelle ønske om konfidensialitet. Datatilsynet anbefaler at varslingsrutinene blant annet inneholder informasjon om hvordan arbeidsgiver behandler personopplysningene i selve varselet og oppfølgingen av det. Det er også viktig at det fremgår av rutinene at det ikke gjelder en klar hovedregel om at arbeidsgiver kan skjerme varslerens identitet etter personopplysningsregelverket. Tvert imot indikerer Datatilsynet i sin nye veileder at omvarslede kan ha rett til å vite hvem varsler er. Bakgrunnen for dette er at omvarslede etter GDPR artikkel 14 har rett til «all tilgjengelig informasjon om hvilken kilde personopplysningene kommer fra». Som følge av dette kan arbeidsgivere ikke love varslere anonymitet. Dette burde fremgå av varslingsrutinene slik at varsler er kjent med at anonymitet ikke kan garanteres. Personopplysningsregelverket gir også den omvarslede rett til å bli informert om at det behandles personopplysninger om vedkommende innen en måned etter at innsamlingen startet.
Vi i Hjort har lang erfaring med å bistå både virksomheter, varslere og de som er omvarslet i varslingssaker. I tillegg har vi bred erfaring med personvern og vil kunne bistå virksomheter som ønsker en gjennomgang av sine varslingsrutiner for å påse at disse er i tråd med både de krav som arbeidsmiljøloven stiller til interne skriftlige rutiner og personopplysningsregelverket.