Ansökan om undantag från förbudet i 21 personuppgiftslagen

Transkript

1 Beslut Dnr Tyco Electronics Svenska AB Ombud: Jur. Kand. Patrik Ottosson Maqs Law Firm Advokatbyrå AB Box GÖTEBORG Ansökan om undantag från förbudet i 21 personuppgiftslagen Datainspektionens beslut Datainspektionen beslutar att Tyco Electronics Svenska AB får behandla uppgifter om lagöverträdelser inom ramen för ConcernLINE, dvs. ett system för whistleblowing, dock endast i den omfattning och under de förutsättningar som framgår enligt nedan. 1. Systemet ska utgöra ett komplement till normal internförvaltning och måste vara frivilligt att använda. Systemet får bara användas när det är sakligt motiverat att inte använda företagets interna informations- och rapporteringskanaler. 2. Systemet för whistleblowing ska begränsas till allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. Det kan även avse andra allvarliga oegentligheter som rör företagets vitala intressen eller enskildas liv och hälsa. 3. Endast anställda i nyckelpositioner eller ledande ställning får anmälas och behandlas i systemet. 4. Tyco Electronics Svenska AB måste se till att bestämmelserna i personuppgiftslagen följs för den del av behandlingen som bolaget ansvarar för, t.ex. när det gäller känsliga personuppgifter, information till de anställda och överföring av personuppgifter till tredje land. Undantaget kan återkallas om det skulle visa sig att personuppgifter behandlas på ett sätt som strider mot förutsättningarna för detta beslut. I övrigt avslår Datainspektionen ansökan. Postadress: Box 8114, STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: Webbplats: Telefax:

2 2 (5) Ansökan Tyco Electronics Svenska AB (Tyco Sverige) har ansökt om undantag från förbudet i 21 personuppgiftslagen att behandla uppgifter om lagöverträdelser som innefattar brott. Av ansökan framgår bl.a. följande. Ansökan görs med anledning av införandet av en s.k. Whistleblower Hotline som kallas ConcernLINE, som ska implementeras inom hela koncernen. Detta till följd av de regler som införts i USA genom Sarbanes Oxley Act. Anställda vid Tyco Sverige kommer därigenom att beredas tillfälle att anmäla brott mot bolagets etiska kod och svensk lag. Anmälan kan göras anonymt. Syftet med införandet av ConcernLINE i koncernen är att försäkra sig om att bolagets anställda följer den etiska koden och lagen i respektive land, vilket i förlängningen borgar för att redovisning sker på ett korrekt sätt. Anmälan kan göras per telefon eller via Internet till Global Compliance Services Inc., som är en extern part i USA och som rapporterar vidare till moderbolaget i USA. Global Compliance Services Inc. är safe harbour - certifierade av handelsdepartementet i USA. Inom ramen för rapporteringen sker all databehandling i USA. Utrustning i Sverige som används för rapporteringen kommer endast att användas för att vidarebefordra uppgifter till Global Compliance Services Inc. Ärendet kan i vissa fall hänskjutas till personal i Sverige för utredning. Skäl för beslutet Tyco Sverige är personuppgiftsansvarig enligt personuppgiftslagen för den behandling av personuppgifter som bolaget utför inom ramen för ConcernLINE, dvs. för den insamling och utlämnande av personuppgifter till moderbolaget som kan förekomma genom att Tyco Sverige bereder sina anställda möjlighet att använda ConcernLINE, samt för den fortsatta behandling av personuppgifter som Tyco Sverige kan komma att utföra avseende de lämnade uppgifterna. Eftersom det kan gälla uppgifter om att någon har eller kan ha begått något visst brott, t.ex. anklagelser om bokföringsbrott, är det fråga om sådana uppgifter om lagöverträdelser som avses i 21 personuppgiftslagen. Uppgifterna behandlas i ett system för whistleblowing som har byggts upp för rapportering och utredning av oegentligheter av olika slag. Datainspektionen bedömer därför att det inte kan vara fråga om en sådan vardaglig och ostrukturerad behandling av personuppgifter som enligt 5 a personuppgiftslagen skulle innebära att förbudet i 21 inte behöver tillämpas. Inget av undantagen från förbudet i 21 personuppgiftslagen som följer av Datainspektionens föreskrifter (DIFS 1998:3) är heller tillämpliga. Datainspektionen har alltså att pröva om det föreligger tillräckliga skäl för att i ett enskilt fall besluta om undantag från förbudet i 21 personuppgiftslagen. Bestämmelsen har sin grund i artikel 8.5. i dataskyddsdirektivet. I artikeln anges att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som in-

3 3 (5) nehåller lämpliga och specifika skyddsåtgärder. I förarbetena till personuppgiftslagen förutsätts att undantag föreskrivs på det sätt som krävs enligt dataskyddsdirektivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredställande kontroll av en myndighet (se SOU 1997:39 s 379). Av bland annat ovanstående uttalanden i förarbetena, har Datainspektionen dragit slutsatsen att möjligheten att meddela undantag från förbudet skall utnyttjas restriktivt. En förutsättning för att Datainspektionen skall kunna besluta om undantag är att systemet för whistleblowing inrättas på ett sådant sätt att det är i överensstämmelse med bestämmelserna i personuppgiftslagen. Artikel 29-gruppen har lämnat riktlinjer för hur interna system för uppgiftslämnande kan inrättas i överensstämmelse med EU:s regler om uppgiftsskydd enligt direktiv 95/46/EG, dvs. det direktiv som personuppgiftslagen bygger på, se WP117; Yttrande 1/2006 om tillämpningen av EU:s regler om uppgiftsskydd på interna system för uppgiftslämnande inom bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. System för whistleblowing, som är ett relativt nytt fenomen i Sverige, underlättar för anställda att göra anonyma anmälningar riktade mot andra anställda. Det är således fråga om mycket integritetskänslig information av osäker kvalitet, där det finns en inte oväsentlig risk för felaktiga utpekanden. Konsekvenserna för den som blir felaktigt anklagad är svåra att överblicka. Datainspektionen anser att det, ur integritetsskyddssynpunkt, inte är en önskvärd utveckling att det byggs upp nya stora databaser som riskerar att innehålla vad som kan betecknas som allmänt skvaller. Vår allmänna utgångspunkt är därför att behandlingen av personuppgifter inom ramen för ett system för whistleblowing, bör vara begränsad. System för whistleblowing aktualiserar inte bara frågan om behandling av brottsuppgifter, utan även frågor om behandling av känsliga personuppgifter, överföring av personuppgifter till tredje land, och frågor om utlämnande av personuppgifter inom en koncern. Whistleblowing väcker även frågan om vad som kan anses vara god sed på svensk arbetsmarknad och vad som kan anses vara ett berättigat intresse. En förutsättning för att behandlingen av personuppgifter ska vara tillåten är att den måste vara i överensstämmelse med de grundläggande kraven i 9 personuppgiftslagen. Detta innebär bl.a. följande. Behandlingen får inte vara i strid med svensk arbetsrättslig lagstiftning, eller ett eventuellt gällande kollektivavtal. Den måste också vara i enlighet med god sed på svensk arbetsmarknad. Behandlingen av personuppgifter får inte heller vara mer omfattande än vad som är nödvändigt med hänsyn till ändamålet med att inrätta ett system för whistleblowing. Enligt Datainspektionens mening bör således ändamålet med ett system för whistleblowing vara att fånga upp sådana, för ett företag och enskilda, särskilt allvarliga oegentligheter som annars riskerar att inte nå fram till rätt personer. Detta bör vidare innebära att företagets normala interna informations- och rapporteringskanaler ska användas i första hand.

4 4 (5) En ytterligare förutsättning för att behandlingen skall vara tillåten är att den är nödvändig för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Datainspektionen konstaterar att när det är fråga om att behandla integritetskänslig information med stöd av en intresseavvägning, måste den personuppgiftsansvarige kunna åberopa starka skäl för att behandlingen ska vara tillåten. Detta innebär enligt Datainspektionens mening att system för whistleblowing i princip endast bör användas för sådana oegentligheter som kan få allvarliga konsekvenser för företaget. Förutom brottsuppgifter kan det vara fråga om att behandla känsliga personuppgifter enligt 13 personuppgiftslagen. När det gäller sådana uppgifter finns särskilda begränsningar i lagen för när det är tillåtet att behandla och lämna ut den typen av information (13 och 16 personuppgiftslagen). Systemet för whistleblowing måste således inrättas på ett sådant sätt att risken för att känsliga personuppgifter behandlas i strid med personuppgiftslagen minimeras. Om personuppgifter överförs till tredje land, dvs. till ett land där det kan saknas godtagbara regler till skydd för personuppgifter, måste bestämmelserna i personuppgiftslagen följas. Risken för integritetsintrång i samband med system för whistleblowing kan, med hänsyn till det ovanstående, således bedömas som stor. Datainspektionen bedömer dock att Tyco Sverige har ett berättigat intresse att inrätta ett system för whistleblowing som är begränsat till allvarliga oegentligheter som rör bokföring, intern bokföringskontroll, revision, bekämpande av mutor samt brottslighet inom bank- och finansväsen. Datainspektionen väger då in de rättsliga krav som följer enligt Sarbanes-Oxley Act, samt risken att drabbas av sanktioner om dessa bestämmelser inte följs. Datainspektionen anser vidare att det finns ett berättigat intresse att använda ett system för whistleblowing även för andra allvarliga oegentligheter som rör företagets vitala intressen eller enskildas liv och hälsa. Det kan, förutom allvarliga ekonomiska oegentligheter som är riktade mot företaget eller aktieägarna, exempelvis gälla allvarliga miljöbrott eller stora brister i säkerheten på arbetsplatsen. Datainspektionen anser att ett system för whistleblowing endast ska utgöra ett komplement till normal internförvaltning. Detta innebär för det första att systemet ska vara frivilligt att använda. För det andra ska systemet bara användas när det är sakligt motiverat att inte använda de normala interna informationsoch rapporteringskanalerna. Ett exempel är när den anmälde ingår i ledningen och de misstänkta oegentligheterna av det skälet riskerar att inte tas om hand på vederbörligt sätt. Datainspektionen anser av samma skäl att endast anställda i nyckelpositioner eller ledande ställning får anmälas och behandlas i systemet.

5 5 (5) Tyco Sverige måste emellertid, för att behandlingen ska kunna tillåtas, se till att bestämmelserna i personuppgiftslagen följs. Detta innebär bl.a. att Tyco Sverige måste se till att de anställda får information i enlighet med bestämmelserna i personuppgiftslagen. Systemet måste inrättas på ett sådant sätt att risken för att t.ex. känsliga personuppgifter behandlas i strid med personuppgiftslagen minimeras, exempelvis genom tydliga användarinstruktioner, utbildning samt tekniska begränsningar. När personuppgifter förs över till tredje land, t.ex. till moderbolaget i USA, måste Tyco Sverige se till att något av de undantag som finns från förbudet mot överföring till tredje land är tillämpliga. Sammantaget anser Datainspektionen således att det finns förutsättningar att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser, dock endast i den omfattning och under de förutsättningar som framgår enligt ovan. Ansökan skall därför bifallas i begränsad omfattning och under vissa förutsättningar. Det innebär att ansökan i övrigt ska avslås. Datainspektionen förutsätter att Tyco Sverige kommer att vidta åtgärder för att se till att personuppgifter inom ramen för systemet för whistleblowing behandlas i enlighet med förutsättningarna enligt detta beslut. För att säkerställa att behandlingen sker under tillfredställande kontroll avser Datainspektionen att följa upp beslutet. Om det skulle framkomma att personuppgifter behandlas på ett sätt som strider mot förutsättningarna för detta beslut kan Datainspektionen återkalla det beviljade undantaget. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt Marie Wester, datarådet Agneta Runmarker och juristen Katarina Högquist, föredragande Göran Gräslund Katarina Högquist