Lyssna

Visselblåsning och behandling av personuppgifter

Visselblåsarlagen heter egentligen lag (2021:890) om skydd för personer som rapporterar om missförhållanden. Visselblåsarlagen har ett eget kapitel om hur personuppgifter ska hanteras, nämligen 7 kap. Det kapitlet kompletterar dataskyddsförordningen.

Vid behandling av personuppgifter enligt visselblåsarlagen gäller dataskyddsförordningen, lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som meddelats med stöd av den. Det gäller om inte annat följer av visselblåsarlagen eller föreskrifter som meddelats i anslutning till visselblåsarlagen.

Den personuppgiftsansvariga är alltid skyldig att följa dataskyddförordningen och kompletterande regler vid behandling och personuppgifter.

Behandling av personuppgifter i rapporteringskanaler för visselblåsning

Eftersom IMY är ansvarig myndighet för att ge vägledning och stöd om personuppgiftsbehandling har vi tagit fram några frågor och svar om det kopplade till visselblåsning. IMY:s uppdrag är dock inte att ge generell vägledning i hur visselblåsarlagen i övrigt ska tolkas eller tillämpas.

Läs mer om reglerna för visselblåsning och hur du går tillväga för att visselblåsa till IMY

Frågor och svar

Dataskydd
,
Visselblåsning

Generellt kan sägas att visselblåsarlagen innehåller särskilda regler om behandling av personuppgifter i lagens sjunde kapitel. Reglerna i visselblåsarlagen kompletterar de bestämmelser om behandling av personuppgifter som finns i dataskyddsförordningen.

Vid behandling av personuppgifter enligt visselblåsarlagen framgår att även lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) och föreskrifter som har meddelats i anslutning till den lagen, till exempel förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning, gäller om inte annat följer av visselblåsarlagen eller andra föreskrifter som meddelats till visselblåsarlagen.

I visselblåsarlagens sjunde kapitel framgår bland annat att personuppgifter bara får behandlas om behandlingen är nödvändig för ett uppföljningsärende enligt lagen. Vad som avses med uppföljningsärende framgår av lagen. Vidare gäller att personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning inte får samlas in och snarast möjligt ska raderas om de samlats in av misstag.

Personuppgifter får inte heller behandlas längre än två år efter att uppföljningsärendet avslutats. För myndigheter hindrar det inte att myndigheten arkiverar och bevarar allmänna handlingar där personuppgifter förekommer eller att arkivmaterial lämnas till en arkivmyndighet.

I visselblåsarlagen anges också att det endast är personer som är behöriga att ta emot, följa upp och lämna återkoppling på rapporter som får ha tillgång till personuppgifter som behandlas i ett sådant ärende.

Visselblåsning och behandling av personuppgifter

Dataskydd
,
Visselblåsning

I den utsträckning som behandlingen av personuppgifter är nödvändig för att fullgöra era skyldigheter enligt visselblåsarlagen kan ni stödja er på den rättsliga grunden rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.

Annan personuppgiftsbehandling som är nödvändig för att utföra uppgifter som följer av visselblåsarlagen kan ni stödja på den rättsliga grunden som kallas uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Rättslig grund

Dataskydd
,
Visselblåsning

I den utsträckning som behandlingen av personuppgifter är nödvändig för att fullgöra era skyldigheter enligt visselblåsarlagen eller förordningen (2021:949) om skydd för personer som rapporterar om missförhållanden (visselblåsarförordningen) kan myndigheten stödja sig på den rättsliga grunden kallad rättslig förpliktelse enligt artikel 6.1 c i dataskyddsförordningen.

Annan personuppgiftsbehandling som är nödvändig för att utföra uppgifter som följer av visselblåsarlagen eller visselblåsarförordningen, inklusive myndighetsutövning, kan myndigheten stödja på den rättsliga grunden som kallas uppgift av allmänt intresse i artikel 6.1 e i dataskyddsförordningen.

Rättslig grund

Dataskydd
,
Visselblåsning

Gäller er med minst 50 arbetstagare:

Nej, eftersom ni har en skyldighet att ha interna rapporteringskanaler enligt visselblåsarlagen behöver ni i enlighet med 5 § 2 förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning varken söka tillstånd hos IMY eller följa 2 § 4 DIFS 2018:2 för sådan behandling som behövs enligt den nya visselblåsarlagen.

Som vanligt gäller dock att den personuppgiftsansvariga ska följa dataskyddsförordningen vid behandling av personuppgifter, såsom exempelvis de grundläggande principerna i artikel 5 i dataskyddsförordningen.

Gäller er med färre än 50 arbetstagare:

Ja. Verksamhetsutövare med färre än 50 arbetstagare är inte skyldiga att ha interna visselblåsarkanaler enligt visselblåsarlagen. Om ni frivilligt vill inrätta särskilda rapporteringskanaler kommer ni alltså att behöva följa 2 § 4 DIFS 2018:2 eller söka tillstånd hos IMY i förväg om ni har behov av att behandla personuppgifter om lagöverträdelser på ett sätt som går utöver vad som medges i dessa föreskrifter.

Dataskydd
,
Visselblåsning

Ja. Enligt 3 kap. 8 § dataskyddslagen får myndigheter behandla personuppgifter om lagöverträdelser. Som vanligt gäller dock att den personuppgiftsansvariga ska följa dataskyddsförordningen vid behandling av personuppgifter, såsom exempelvis de grundläggande principerna i artikel 5 i dataskyddsförordningen.

Dataskydd
,
Visselblåsning

Ja.

Mer information om att föra register över behandlingar av personuppgifter

Dataskydd
,
Visselblåsning

Ni ska följa dataskyddsförordningens bestämmelser när ni anlitar ett personuppgiftsbiträde.

Vägledning om anlitande av personuppgiftsbiträden:
Europeiska dataskyddsstyrelsens (EDPB) vägledning om personuppgiftsansvariga och personuppgiftsbiträden

Vägledning om behandling av personuppgiftsbehandling och tredje land:
Det här gäller vid överföring till tredje land

Dataskydd
,
Visselblåsning

Ja. Av IMY:s förteckning över när konsekvensbedömningar ska göras framgår att en konsekvensbedömning ska genomföras när en organisation inför ett gemensamt system i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen – ett så kallat visselblåsarsystem.

Läs mer om konsekvensbedömningar

IMY:s förteckning över när konsekvensbedömningar ska göras

Förteckningen (pdf, 400 kB)

Fler vanliga frågor och svar

Mer information

Relaterade länkar

Senast uppdaterad: 16 september 2024

Dataskydd

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

Visselblåsning och behandling av personuppgifter

Behandling av personuppgifter i rapporteringskanaler för visselblåsning

Frågor och svar

Mer information

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Söktips!

Visselblåsning och behandling av person­uppgifter

Behandling av personuppgifter i rapporteringskanaler för visselblåsning

Frågor och svar

Vilka krav gäller enligt visselblåsarlagen för personuppgiftsbehandling?

Vilken rättslig grund har vi som privat verksamhetsutövare med minst 50 arbetstagare för behandling av personuppgifter i vår framtida interna rapporteringskanal för visselblåsning?

Vilken rättslig grund har vi som personuppgiftsansvarig myndighet för behandling av personuppgifter i vår framtida interna och externa rapporteringskanal för visselblåsning?

Måste vi som vi som privat verksamhetsutövare följa 2 § 4 DIFS 2018:2 eller ansöka om tillstånd hos IMY för att behandla personuppgifter om lagöverträdelser gällande visselblåsningar?

Får vi som myndighet behandla personuppgifter om lagöverträdelser i den framtida interna respektive externa rapporteringskanalen för visselblåsning?

Behöver vi som verksamhetsutövare ta upp behandlingen av personuppgifter inom ramen för den interna respektive externa rapporteringskanalen för visselblåsning i vår registerförteckning enligt artikel 30 i dataskyddsförordningen?

Får vi anlita ett personuppgiftsbiträde som behandlar personuppgifter i den interna/externa rapporteringskanalen för visselblåsning i tredje land (det vill säga utanför EU/EES)?

Behöver vi som personuppgiftsansvarig verksamhets­utövare göra en konsekvens­bedömning för vår interna rapporteringskanal?

Mer information

Visselblåsning och behandling av personuppgifter