Lov&Data

2/2023: Artikler
19/06/2023

Hvem har varslet på meg? Om omvarsledes rett til innsyn i varslers identitet

Av Ole Martin Moe, advokatfullmektig i Deloitte Advokatfirma, Bjørn Ofstad, partner i Deloitte Advokatfirma.

En mann som blåser i en fløyte og holder opp et rødt kort, digital illustrasjon.

Illustrasjon: Colourbox.com

Varsling i arbeidslivet

Varsling om kritikkverdige forhold på arbeidsplassen er en grunnleggende forutsetning for et fungerende og seriøst arbeidsliv. De ansatte på arbeidsplassen står ofte nærmest til å avdekke kritikkverdige forhold, og vi er avhengige av å legge til rette for at man som ansatt skal kunne si ifra når dette skjer innenfor trygge rammer. Dette var også begrunnelsen for at generelle regler om arbeidstakeres rett til å varsle om kritikkverdige forhold ble inntatt i arbeidsmiljøloven i 2007.I 2016 oppnevnte regjeringen Varslingsutvalget for å gjøre en helhetlig gjennomgang av hvordan reglene hadde virket på området. Utvalgets arbeid resulterte i endringer i arbeidsmiljøloven i 2020 som ga ytterligere rammer for varsling, herunder en definisjon av «kritikkverdige forhold» og lovens formålsbestemmelse, § 1-1, ble utvidet til å omfatte hensynet til et godt ytringsklima.(1)Blekastad og Holte Hirst, s. 214.

Det er også regulert i arbeidsmiljøloven at man har rett til å varsle anonymt. Avhengig av hva det er varslet om kan anonym varsling gjøre det vanskeligere for å arbeidsgiver å gjøre nærmere undersøkelser i saken, sammenlignet med saker der arbeidsgiver får mer identifiserende informasjon. Det har derfor en stor verdi at ansatte kan varsle med fullt navn innenfor trygge og forutsigbare rammer. Varslere har i likhet med alle andre ansatte rett til et fullt forsvarlig arbeidsmiljø.

Lovgiver har imidlertid ikke tatt stilling til et viktig spørsmål: hvilken rett har den omvarslede til å få vite varslerens identitet?

Avhengig av hva det er varslet om kan anonym varsling gjøre det vanskeligere for å arbeidsgiver å gjøre nærmere undersøkelser i saken, sammenlignet med saker der arbeidsgiver får mer identifiserende informasjon.

I januar 2023 avsa EU-domstolen sin dom i sak C-154/21 Österreichische Post, som vi mener igjen aktualiserer spørsmålet om retten til innsyn etter personvernforordningen og viktigheten av at lovgiver tar stilling til dette spørsmålet i Norge. I denne artikkelen vil vi si noe om hvorfor.

Rettslige rammer for informasjon om varslers identitet

Arbeidsmiljøloven

Arbeidsmiljølovens kapittel 2A regulerer varsling, men lovgiver har ikke tatt stilling til om arbeidsgiver kan holde varslers identitet hemmelig når den omvarslede ber om å få vite hvem dette er. I forarbeidene til loven uttaler departementet kun følgende om beskyttelse av identiteten:

Departementet slutter seg for øvrig til utvalgets generelle synspunkt om at det kan utledes av lovens krav om at varsleren skal ha et fullt forsvarlig arbeidsmiljø, at varslerens identitet ikke røpes i større grad enn nødvendig. (2)Prop. 74 L (2018-2019), pkt. 10.4.2.

Det er imidlertid uklart når det er «nødvendig» å røpe varslers identitet, lovgiver har ikke regulert dette i arbeidsmiljøloven. Å dele varslerens identitet med den omvarslede utgjør imidlertid en behandling av personopplysninger(3)Se personvernforordningen artikkel 4 nr. 1 bokstav a og b, og https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/., og situasjonen omfattes dermed av personopplysningsloven med personvernforordningen GDPR.

Personvernforordningen (GDPR)

GDPR er et generelt regelverk som er ment å regulere all behandling av personopplysninger, og tar ikke høyde for de særlige hensynene som gjør seg gjeldende innenfor varsling i arbeidslivet. Forordningen skal gjennomføres slik den er vedtatt i EU, og i Norge er dette gjort gjennom inkorporasjon i personopplysningsloven (2018). Norge har et begrenset handlingsrom til å regulere personvern gjennom nasjonal lovgivning ettersom regelverket er en EU-forordning. Det tidligere personverndirektivet åpnet i større grad for nasjonal særlovgivning.

GDPR åpner likevel for at medlemslandene vedtar nasjonal særlovgivning innenfor noen bestemte områder, og ett av disse områdene er «i forbindelse med ansettelsesforhold» etter artikkel 88. Norge har imidlertid ikke benyttet seg av dette handlingsrommet for varslingssaker, og dette skaper stor uforutsigbarhet for de som er involvert i varslingssaker.(4)https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/ (sist besøkt 06.03.23) Konsekvensen av dette er at spørsmålet om hvorvidt omvarslede kan få innsyn i varslerens identitet er regulert av de generelle reglene i personvernforordningen. I denne sammenhengen er plikten til å gi informasjon etter artikkel 14 og retten til innsyn etter artikkel 15 relevante.

Rett til informasjon når personopplysninger ikke er samlet inn fra den registrerte

Etter personvernforordningen artikkel 14 nr. 2 bokstav f plikter arbeidsgiver å informere den registrerte om «fra hvilken kilde personopplysningene stammer fra». Datatilsynet skriver at de ikke har tatt stilling til om denne rettigheten omfatter informasjon om varslerens identitet.(5)https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/rett-til-informasjon-og-innsyn/ pkt. 4 (sist besøkt 10.03.23). Som vi vil komme tilbake til nedenfor mener vi imidlertid at C-154/21 Österreichische Post taler for at denne rettigheten omfatter informasjon om varslerens identitet.

Datatilsynet skriver at de ikke har tatt stilling til om denne rettigheten omfatter informasjon om varslerens identitet.

Retten til innsyn i personopplysninger

Den som blir varslet om har ofte et ønske om å få vite hvem som har varslet for å kunne forsvare seg. Kontradiksjon er også et viktig hensyn å ivareta i varslingsprosessen.

Personvernforordningen artikkel 15 nr. 1 gir den registrerte, personen som personopplysninger handler om, rett til innsyn i personopplysninger. Innsynsretten innebærer at den registrerte har krav på en bekreftelse om at personopplysningene deres behandles eller ikke, samt en liste med informasjon som blant annet formålet med behandlingen, lagringstid, og mest interessant i denne sammenhengen – hvor opplysningene stammer fra:

«dersom personopplysningene ikke er samlet inn fra den registrerte, all til­gjengelig informasjon om hvor person­opplysningene stammer fra »

«All tilgjengelig informasjon» taler for at retten til innsyn gir rett til å få vite hvem varsleren er, såfremt arbeidsgiveren har informasjon om dette. Dersom varsleren har valgt å være anonym stiller dette seg annerledes.

Unntak fra retten til informasjon og innsyn

Retten til informasjon og til innsyn i egne personopplysninger er ikke absolutte, og personvernforordningen åpner for at den behandlingsansvarlige kan unnta opplysninger fra den registrerte. Unntakene finnes i personopplysningsloven § 16, samt personvernforordningen artikkel 15 nr. 4 og artikkel 14 nr. 5.

Felles for disse unntakene er at de er svært skjønnsmessige og at de skal vurderes konkret av arbeidsgiveren i hver enkelt sak. Personvernregelverket er som nevnt generelt, og unntakene tar ikke høyde for de særlige hensynene som gjør seg gjeldende i varslingssaker. I sin veileder om varsling skriver Datatilsynet at ulikhetene i saker gjør at det er en generell hovedregel om at arbeidsgiveren kan unnta opplysninger fra innsyn.

Vi mener at dagens rettstilstand skaper en uholdbar og uforutsigbar situasjon for menneskene som er involvert i varslingsprosesser på arbeidsplassen. Arbeidstilsynet skriver på sine nettsider:

Samfunnet er tjent med at alle, også arbeidstakere som sitter på verdifull kunnskap, har vid ytringsfrihet. Derfor har ytringer som bidrar til å rette opp i kritikkverdige forhold, stor betydning. Varslingsregelverket skal sikre denne ytringsfriheten og samtidig bidra til å beskytte arbeidstakere som sier fra om kritikkverdige forhold.

For virksomheter er varsling en viktig del av helse-, miljø- og sikkerhetsarbeidet. Gjennom varsling kan virksomheten avdekke og forbedre kritikkverdige forhold. God håndtering av varsling kan styrke tilliten og omdømmet.

Lovgiver er nødt til å gjøre dette mer forutsigbart for varslere og lette byrden for arbeidsgivere som må gjøre disse vanskelige skjønnsmessige avveiningene i hver enkelt sak.

Vi mener at dagens rettstilstand skaper en uholdbar og uforutsigbar situasjon for menneskene som er involvert i varslingsprosesser på arbeidsplassen.

C-154/21 Österreichische Post

Saken gjaldt GW, en person i Østerrike, som ba om innsyn etter personvernforordningen artikkel 15 hos det østeriske postvesenet, Österreichische Post, herunder hvorvidt postvesenet hadde utlevert personopplysningene hans til tredjeparter, og i så fall tilø hvem. Postvesenet besvarte innsynsbegjæringen med generell informasjon om hvilke kategorier av mottakere de hadde sendt eller skulle sende opplysningene hans til:

Österreichische Post merely stated that it uses data, to the extent permissible by law, in the course of its activities as a publisher of telephone directories and that it offers those personal data to trading partners for marketing purposes. It also referred to a website that set out more information and further data processing purposes. It did not disclose to RW the identity of the specific recipients of the data. (6)C-154/21 Österreichische Post, avsnitt 18.

GW tok saken inn for domstolene i Østerrike, hvor landets høyesterett ba EU-domstolen om en «preliminary ruling» i saken. En slik avgjørelse er bindende for den nasjonale domstolen.

Spørsmålet i saken var hvorvidt GW, som registrert, hadde rett til informasjon om mottakerne av personopplysningers identitet, eller om postvesenet som behandlingsansvarlig kunne velge mellom å gi GW informasjon om mottakernes identitet eller nøye seg med å informere om kategoriene av mottakere.

Personvernforordningen artikkel 15 nr. 1 bokstav c sier at man har rett til følgende informasjon:

mottakerne eller kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, særlig mottakere i tredjestater eller internasjonale organisasjoner

EU-domstolen viser til fortalepunkt 39 og 63 i personvernforordningen og åpenhetsprinsippet i artikkel 5 nr. 1 bokstav a for å tolke ordlyden i artikkel 15. Domstolen viser til at bestemmelsen gir de registrerte en rettighet, i motsetning til artikkel 13 og 14 som pålegger den behandlingsansvarlige en forpliktelse. Det er derfor den registrerte som må få velge mellom informasjon om kategorier eller identiteten til mottakerne av personopplysningene deres, og ikke den behandlingsansvarlige. Dette sikrer også at hensynene bak retten til innsyn og åpenhetsprinsippet best ivaretas. Domstolen viser videre til at hensynet bak innsynsretten også er at den registrerte skal kunne utøve sine øvrige rettigheter etter regelverket, herunder retten til sletting, retting og begrensning av behandling. Å få informasjon om hvem som har mottatt opplysningene deres er avgjørende for dette. Domstolen viser også til personvernforordningen artikkel 19, som pålegger den behandlingsansvarlige å kommunisere retting eller sletting av personopplysninger til mottakerne av disse. På bakgrunn av disse kildene kommer domstolen til at den registrerte har rett til informasjon om identiteten til mottakerne av personopplysninger.

Sammenhengen mellom C-154/21 og retten til innsyn og retten til informasjon

Dommen fra EU-domstolen gjaldt artikkel 15 nr. 1 bokstav c, retten til informasjon om mottakerne av personopplysninger. Gode grunner taler for de vurderingene domstolen gjør i saken er relevante for retten til innsyn i hvor personopplysninger stammer fra og retten til informasjon om kilden til personopplysninger.

Lov­giver må benytte seg av det handlingsrommet som finnes etter personvernforordningen og i dialog med partene i arbeidslivet skape forutsigbare rammer for hvordan varsleres identitet skal håndteres. Dette er avgjørende for at arbeidstakere skal tørre å varsle og for å sikre et fungerende varslings­institutt.

Det grunnleggende hensynet bak retten til innsyn er at man skal kunne kontrollere at den behandlingsansvarlige følger personvernforordningen og ikke behandler personopplysninger ulovlig.(7)Fortalepunkt 63. Innsynretten spiller derfor en viktig rolle, fordi den både ansvarliggjør den behandlingsansvarlige i tråd med ansvarlighetsprinsippet i artikkel 5 nr. 2, og det gir den registrerte en grad av kontroll over egne personopplysninger i tråd med lovgivers intensjon bak personvernforordningen.(8)Fortalepunkt 7. Retten til innsyn er derfor en av de viktigste rettighetene som oppfyller formålet bak hele regelverket.

Når EU-domstolen gjennomgår rettskildene for å vurdere rekkevidden av artikkel 15 nr. 1 bokstav c, er alle disse kildene relevante for retten til innsyn i hvor personopplysninger stammer fra og retten til informasjon om kilden til personopplysninger. Fortalepunkt 39 og 63, og hensynet til at den registrerte skal kunne utøve sine øvrige rettigheter etter forordningen bidrar også til å klargjøre innholdet i bokstav g.

Når EU-domstolen har gjort retten til innsyn enda klarere, blir det også klarere at lovgiver må ta stilling til hvordan dette påvirke varslere. Datatilsynet skriver dette om veien videre:

Desse vanskelege avvegingane blir forhåpentlegvis løyst i lovgivinga. Eit nytt direktiv om varsling av brot på EU-regelverk er vedtatt i EU (direktiv 2019/1937). Justis- og beredskapsdepartementet har sendt lovforslaget på høyring, og Datatilsynet ser fram til ein open debatt om kvar grensene skal gå for informasjon og innsyn i personopplysningar i samband med varsling. (9)https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/ (sist besøkt 01.06.23)

Konklusjon

Varslingssaker er belastende for de involverte, og det er viktig at vi har et klart lovverk som letter byrdene for arbeidsgivere og arbeidstakere som står i varslingsprosesser. Lov­giver må benytte seg av det handlingsrommet som finnes etter personvernforordningen og i dialog med partene i arbeidslivet skape forutsigbare rammer for hvordan varsleres identitet skal håndteres. Dette er avgjørende for at arbeidstakere skal tørre å varsle og for å sikre et fungerende varslingsinstitutt.

Noter

  1. Blekastad og Holte Hirst, s. 214.
  2. Prop. 74 L (2018-2019), pkt. 10.4.2.
  3. Se personvernforordningen artikkel 4 nr. 1 bokstav a og b, og https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/.
  4. https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/ (sist besøkt 06.03.23)
  5. https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/rett-til-informasjon-og-innsyn/ pkt. 4 (sist besøkt 10.03.23).
  6. C-154/21 Österreichische Post, avsnitt 18.
  7. Fortalepunkt 63.
  8. Fortalepunkt 7.
  9. https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/varsling/ (sist besøkt 01.06.23)
Ole Martin Moe
Ole Moe, portrett
Bjørn Ofstad
Bjorn Ofstad, portrett