Konfidensialitetsprinsippet ved varsling av kritikkverdige forhold
Varsling av kritikkverdige forhold er lovlig og ønskelig – men har varsleren vern mot at hans eller hennes identitet gjøres kjent for den omvarslede? Siden spørsmålet verken er avklart i rettspraksis eller litteratur, har jeg foretatt en drøftelse av hvordan GDPR regulerer problemstillingen ved intern varsling i privat virksomhet. Undersøkelsen har vist at hovedregelen er at den omvarslede har rett til å vite varslerens identitet, så fremt ingen av de snevre unntaksbestemmelsene kommer til anvendelse.
Den 1. januar 2020 trådte det i kraft nye regler i arbeidsmiljøloven (aml.) vedrørende varsling av kritikkverdige forhold. Når arbeidstakere, eller andre som omfattes av varslingsreglene, benytter sin rett til å varsle om kritikkverdige forhold, jf. aml. § 2 A-1 (1), pålegges arbeidsgiver, som varslingsmottaker, en aktivitetsplikt- og omsorgsplikt, jf. aml. § 2 A-3 (1). Aktivitetsplikten innebærer en plikt til å «sørge for at varselet innen rimelig tid blir tilstrekkelig undersøkt», noe som nødvendiggjør behandling av personopplysninger.
Mens arbeidsmiljøloven gir reglene om varsling, er det personvernforordningen (GDPR) og personopplysningsloven som regulerer behandlingen av personopplysningene. Varslingsmottaker er i henhold til GDPR art. 4 nr. 7 behandlingsansvarlig for personopplysningene, noe som innebærer et ansvar for behandling i tråd med personvernprinsippene samt ivaretakelse av varslerens og den omvarsledes rettigheter.
GDPR er inkorporert som norsk rett i personopplysningsloven § 1, og har forrang i tilfelle konflikt mellom regelsettene, jf. § 2 (4). Innenfor artikkelens ramme og formål er det verken rom for eller ønskelig å gå inn på generelle begrepsavklaringer eller bestemmelser. Det bemerkes at problemstillingen ikke er behandlet i EU-domstolen, og heller ikke avklart i norske domstoler, Datatilsynet eller Personvernnemnda.
Det uttales stadig at varslerens identitet ikke skal gjøres kjent for den omvarslede, og at varsleres ønske om å være anonym overfor den omvarslede i utgangspunktet må respekteres. Det kan virke som om dette anses å være en del av arbeidsmiljølovens varslervern, uten at personvernreglene er hensyntatt. Jeg har ikke lykkes i å få noen avklaring på hvilket rettslig grunnlag uttalelsene baserer seg på. Det vises gjerne til «konfidensialitet», uten at begrepets legaldefinisjon i GDPR er undersøkt. Innledningsvis ønsker jeg derfor å presisere at «konfidensialitet», «taushetsplikt» og «anonymitet» er tre ulike begreper med ulikt innhold. På denne bakgrunn har jeg foretatt en kritisk vurdering for å avklare rettstilstanden med hensyn til GDPR.
Ordlyden i flere av bestemmelsene er ikke tilstrekkelig presise til at potensielle varslere kan forutse sin rettsstilling ved intern varsling.
Personvernprinsippene
Personvernprinsippene i art. 5 nr. 1 ligger til grunn for all behandling av personopplysninger. Det er særlig prinsippene om konfidensialitet, rettferdighet og åpenhet som er relevante for artikkelens problemstilling. Øvrige prinsipper som lovlighet, formålsbegrensning, dataminimering og lagringsbegrensning behandles kort nedenfor.
Den behandlingsansvarlige må ha et behandlingsgrunnlag for enhver behandling og for hvert enkelt formål, jf. prinsippene om lovlighet og formålsbegrensning i art. nr. 5 nr. 1 (a) og (b). Håndtering av et varsel gjøres på bakgrunn av arbeidsgivers aktivitetsplikt, som er en rettslig forpliktelse, jf. art. 6 nr. 1 (c). Tilsvarende gjelder for eventuell utlevering av varslerens identitet, ettersom art. 14 nr. 2 (f) og art. 15 nr. 1 (g) gir den registrerte en rett til å vite kilden for personopplysningene. Etter prinsippet om dataminimering i art. 5 nr. 1 (c) skal opplysningene begrenses til det som er nødvendig for formålet. Opplysninger om varsleren vil kunne være nødvendig for en tilstrekkelig undersøkelse og oppfølging av et varsel. Det forutsettes i det videre at opplysningene er nødvendige for sakens opplysning. Det presiseres imidlertid at varslingsreglene ikke er til hinder for anonym varsling, og at fullstendig anonyme opplysninger, som verken direkte eller indirekte er egnet til å identifisere en person, ikke omfattes av personvernregelverket. Videre skal ikke personopplysninger lagres lenger enn det som er nødvendig for formålet, jf. prinsippet om lagringsbegrensning i art. 5 nr. 1 (e).
Det forutsettes at det er navngitte arbeidstakere som benytter sin rett til å varsle internt, i privat virksomhet, etter aml. § 2 A-1. Bestemmelser om varslingsplikt, f.eks. aml. § 2-3 (2) (b) og (d), behandles ikke. Varslingsutvalget vurderte om varsling av kritikkverdige forhold skulle inkluderes i arbeidstakers medvirkningsplikt, men dette ble ikke vedtatt, jf. NOU 2018: 6 punkt 10.10.3 på s. 167.
Det presiseres at personvernlovgivningen ikke gjelder for saker som behandles etter rettspleielovene, jf. GDPR art. 2 nr. 2 (d) og personopplysningsloven § 2 (1) bokstav b. I de tilfellene varslerens identitet ikke avsløres på bakgrunn av personvernlovgivningen, kan identiteten likevel gjøres kjent ved en eventuell politietterforskning eller rettslig prosess.
Undersøkelsen har vist at hovedregelen er at den omvarslede har rett til å vite varslerens identitet. Fra dette kan det tenkes unntak i noen særskilte tilfeller, for eksempel ved varsling av straffbare forhold. I tillegg kan det varsles via advokat som har taushetsplikt, forutsatt at arbeidsgiver har etablert en slik varslingsløsning.
Varslerens rett til konfidensialitet
Varsling er viktig og samfunnsnyttig for å avdekke uønskede handlinger i en virksomhet. En forutsetning for et effektivt varslingssystem er at det oppleves trygt å varsle. Selv om gjengjeldelse er forbudt etter aml. § 2 A-4 (1) vil likevel tilstrekkelig konfidensialitet om varslerens identitet ha betydning for om arbeidstakere våger å varsle.
Som jeg kommer nærmere tilbake til, er det vedtatt et nytt EU-direktiv om beskyttelse av varslere. I direktivforslagets fortalepunkt 5 om art. 5 ble det uttalt at det å beskytte varslerens konfidensialitet er hjørnesteinen i en vellykket varslingstjeneste.
I henhold til GDPR art. 5 nr. 1 (f) skal personopplysninger behandles på en måte som sikrer «tilstrekkelig sikkerhet for personopplysningene», og det må sikres vern mot «uautorisert eller ulovlig behandling». Dersom forordningen åpner for utlevering av kildens identitet, vil det være en lovlig behandling, og dermed ikke stride mot konfidensialitetsprinsippet. Dette viser at konfidensialitetsprinsippet ikke er absolutt.
Det ble i 2016 oppnevnt et Varslingsutvalg for å gjennomgå varslingsreglene i arbeidsmiljøloven, blant annet for å styrke varslervernet. I NOU 2018: 6 punkt 10.9.2 fremgår det at plikten til å påse at varsleren har et forsvarlig arbeidsmiljø, ikke skal gå på bekostning av den omvarsledes rettigheter. Varslingsutvalget og departementet uttaler at varslerens identitet skal behandles konfidensielt og «ikke røpes i større grad enn nødvendig», jf. NOU 2018: 6 punkt 10.9.2 og Prop. 74 L (2018–2019) punkt 10.4.2. Konfidensialitetsbegrepet defineres videre, i NOU 2018: 6 punkt 10.11.1, som et krav om at varslingsmottaker «så langt det er mulig» skal behandle varselet «uten å røpe varslerens identitet til andre enn de som har behov for eller rett til slik kunnskap» (min kursivering). Som jeg kommer nærmere tilbake til, har den omvarslede rett til å vite kilden for opplysningene med mindre en av unntaksbestemmelsene kommer til anvendelse.
Arbeidstilsynet og Datatilsynet gir informasjon om håndtering av varsling på sine nettsider. Da jeg startet utredningen av spørsmålet, sto det på Arbeidstilsynets nettsider at «varslerens navn eller andre opplysninger som kan avsløre varslerens identitet, [skal] aldri avsløres». Den omvarsledes informasjons- og innsynsrett samt eventuelle unntak ble ikke drøftet. Formuleringen ga uttrykk for at varsleren har et absolutt vern mot at hans identitet gjøres kjent for den omvarslede i alle typer varslingssaker. Dette ble fjernet etter at Arbeidstilsynet fikk lese en tidligere versjon av denne artikkelen. På de oppdaterte nettsidene står det at «[d]en eller de som det er varslet om, har som hovedregel ikke krav på å få vite navnet på den som har varslet.» Videre fremgår det at problemstillingen mellom konfidensialitet og innsynsrett «kan løses ved at arbeidsgiver lager et notat som beskriver innholdet i varselet / det kritikkverdige forholdet». Jeg tolker dette som at det ikke anses nødvendig å skrive ned varslers navn selv om dette er kjent, og at dette dermed kan verne om varslerens identitet. Jeg antar at tanken er at identiteten da ikke inngår i en strukturert samling av personopplysninger, jf. GDPR art. 4 nr. 1 og nr. 6. Uttalelser gitt av Artikkel29-gruppen (A29-gruppen), som det redegjøres for nedenfor, synes å trekke motsatt slutning. A29-gruppen var EUs rådgivende organ i personvernspørsmål, før de ble erstattet av European Data Protection Board (EDPB) ved implementeringen av GDPR.
Det er nødvendig med en utredning av personopplysningsvernet i varslingssaker for å avklare rettstilstanden og styrke varslervernet ytterligere.
Datatilsynet viser til at A29-gruppen har påpekt viktigheten av at varslerens identitet blir holdt konfidensiell, og uttaler at «innsyn i varslerens identitet ikke skal gis etter personvernforordningens bestemmelse». Videre fremgår det at «etter Datatilsynets praksis kan det imidlertid ikke gis innsyn i opplysninger om varsleres identitet», men at «unntak kan tenkes i tilfeller hvor varsleren beviselig har fremsatt falske anklager med viten og vilje». I fortsettelsen understrekes det at «[u]nntak skal vurderes fra sak til sak. Det er ikke adgang til å gjøre generelle unntak.»
Uttalelsen som Datatilsynet viser til, er A29-gruppens Opinion 1/2006. På uttalelsens s. 11 ble det anbefalt at varslerens identitet skal behandles konfidensielt i alle steg i varslingsprosessen, blant annet overfor den omvarslede. Uttalelsen er imidlertid begrenset til anvendelsen av EUs databeskyttelsesregler på interne varslingsordninger innen regnskap, intern regnskapskontroll, revisjon, bekjempelse av korrupsjon samt kriminalitet i bank- og finanssektoren. Flere steder påpekes det at varslingsordninger for andre kategorier av «serious wrongdoing» faller utenfor uttalelsens anvendelsesområde, jf. s. 1, 4 og 12.
Det bemerkes at uttalelsen, som ikke er rettslig bindende, er hele 14 år gammel og at EDPB ikke har sluttet seg til den. Likevel anses tidligere uttalelser fra A29-gruppen som veiledende med mindre de strider mot forordningen. Uttalelsen er derfor fortsatt relevant med hensyn til sitt anvendelsesområde, men den er likevel ikke anvendelig for varsling på andre områder.
I 2014 ga Europarådet en anbefaling om at varslerens identitet bør behandles konfidensielt, forutsatt at prinsippet om rettferdig rettergang ivaretas, jf. Recommendation CM/Rec (2014) 7 on the protection of Whistleblowers (2014) punkt 18. Anbefalingen gjelder for varsling av handlinger eller unnlatelser som representerer en trussel eller skade for allmennheten. Det materielle virkeområdet som omfattes, er dels ulikt det norske varslingsinstituttets «kritikkverdige forhold». I anbefalingens punkt 1 oppfordres medlemsstatene til å etablere nasjonale regler for å beskytte varsleres rettigheter og interesser. Sistnevnte viser at uttalelsen kun er en anbefaling og en oppfordring. I en oppdatert versjon fra 2015, på s. 5, fremgår det at selv om anbefalingen ikke er bindende, har den «strong persuasive value». Dette kan tale for at varslerens rett til konfidensialitet veier tungt – i alle fall for varsling av alvorlige forhold.
Konfidensialitetsprinsippet kan – i lys av artikkelens problemstilling – formuleres som en plikt til å hemmeligholde identifiserende opplysninger om varsleren, så langt dette ikke strider mot andre rettigheter eller bestemmelser.
Den omvarsledes informasjons- og innsynsrett
Personopplysninger skal behandles på en «rettferdig og åpen måte med hensyn til den registrerte», jf. GDPR art. 5 nr. 1 (a). En viktig målsetting med forordningen var at individene skulle få mer kontroll over egne personopplysninger, noe som signaliserer at åpenhetsprinsippet veier tungt, jf. fortalepunkt 7 og Prop. 56 LS (2017–2018) punkt 37.1.
Grunnleggende informasjon som uoppfordret skal gis til den registrerte når personopplysningene ikke er samlet inn fra den registrerte, følger av art. 14 nr. 1. I tillegg foreligger en rett på «informasjon som er nødvendig for å sikre den registrerte en rettferdig og åpen behandling», herunder «fra hvilken kilde personopplysningene stammer fra», jf. nr. 2 (f). Etter art. 15. nr. 1 (g) har den omvarslede rett til å få «all tilgjengelig informasjon om hvor personopplysningene stammer fra». Bestemmelsene gir uttrykk for at hovedregelen er at varslerens identitet skal gjøres kjent for den omvarslede.
Ordlyden «hvilken kilde» og «hvor personopplysningene stammer fra» er noe uklar ettersom dette enten kan bety identiteten til varsleren, eller at det kan være tilstrekkelig å informere om at opplysningene stammer fra et varsel. Det at «all tilgjengelig informasjon» om kilden skal gis, taler for at kildens identitet skal oppgis dersom dette er kjent. A29-gruppen har uttalt, i Guideline 2016/679 s. 40, at det skal opplyses om «the specific source» «unless it is not possible». Det vises videre til punkt 60 på s. 29, hvor det presiseres at dette kun gjelder «where this is not possible because different pieces of personal data relating to the same data subject cannot be attributed to a particular source». Under henvisning til kravene om innebygd personvern i GDPR art. 25, som blant annet skal sørge for at informasjonssystemene er i samsvar med personvernprinsippene og at den registrertes rettigheter ivaretas, uttales det videre at «transparency mechanisms should be built into processing systems from the ground up so that all sources of personal data received into an organisation can be tracked and traced back to their source at any point in the data processing life cycle».
Dette gir signaler om at unnlatelse av å skrive ned kjent informasjon strider mot forordningens krav om innebygd personvern, og at dette ikke kan gjøres i den hensikt å omgå den registrertes informasjonsrett.
Bestemmelsenes ordlyd, sett i sammenheng med A29-gruppens uttalelse, kan tas til inntekt for at den omvarslede har rett til å vite varslerens identitet, såfremt slik informasjon er kjent for den behandlingsansvarlige, og uavhengig av om navnet er skrevet ned i selve varselet eller ei. Situasjonen er derimot en annen ved fullstendig anonym varsling.
I henhold til GDPR art. 15 nr. 3 har den registrerte rett til innsyn i egne personopplysninger, og den registrerte kan kreve at det gjøres tilgjengelig en kopi av disse. Dette henger sammen med forordningens målsetting om at individene skulle få mer kontroll over egne personopplysninger. Bestemmelsen gir innsynsrett i personopplysninger, men ikke dokumentinnsyn. Med hensyn til nevnte målsetting anses retten til kopi å være knyttet til egne personopplysninger, noe som medfører at det ikke kan kreves kopi av fullstendige dokumenter med informasjon om andre.
Begrensninger i informasjons- og innsynsretten
GDPR art. 14 og 15 og personopplysningsloven § 16 (1) inneholder flere begrensninger av informasjons- og innsynsretten. Sistnevnte er gitt med hjemmel i GDPR art. 23, som åpner for nasjonale tilpasninger ved at medlemsstatene ved «lovgivningsmessige tiltak» kan «begrense rekkevidden av forpliktelsene og rettighetene» blant annet i art. 5, 14 og 15. Siden det er unntak fra hovedregelen, må de følgelig tolkes innskrenkende.
En annen bestemmelse som åpner for nasjonale tilpasninger, er GDPR art. 88 nr. 1 som fastslår at medlemsstatene ved «lov eller tariffavtaler» kan «fastsette nærmere regler» på arbeidslivsområdet, forutsatt at Kommisjonen underrettes «uten opphold», jf. nr. 3. For EFTA-statenes vedkommende er EFTAs overvåkningsorgan (ESA) riktig instans, jf. EØS-avtalen protokoll 1 nr. 4. Ordlyden er ikke like vidtgående som art. 23, og siden det her er tale om å begrense rekkevidden av eksplisitte bestemmelser i forordningen, omfatter det mer enn fastsettelse av nærmere regler. Unntak må derfor gis med hjemmel i art. 23. Det tilføyes at problemstillingen ikke ser ut til å være regulert i tariffavtaler, samt at Justis- og beredskapsdepartementet heller ikke har sendt slik underretning til ESA.
I det følgende foretas en kort drøftelse av de mest sentrale begrensningene. Retten til å vite kilden for personopplysningene fremgår av to ulike bestemmelser i GDPR, og dersom kildens identitet unntas fra innsyn etter artikkel 14, kan tilsvarende opplysninger følgelig ikke kreves etter artikkel 15
Et av unntakene er «lovbestemt taushetsplikt» i GDPR art. 14 nr. 5 (d) og personopplysningsloven § 16 (1) bokstav d. Det synes å være dette unntaket, sett i sammenheng med arbeidsgivers aktivitets- og omsorgsplikt, som særlig blir ansett som hjemmel for vern av varslerens identitet. Etter forordningens unntaksbestemmelse må den behandlingsansvarlige kunne dokumentere hvilken taushetspliktsbestemmelse som direkte adresserer seg til ham, slik at taushetsplikten forbyr ham i å utgi informasjon i henhold til art. 14 nr. 1–4, jf. A29-gruppens Guideline 2016/679 s. 33. Tilsvarende gjelder etter personopplysningslovens bestemmelse, jf. tredje ledd første punktum. Samtidig oppstilles krav om at unntaksbestemmelser må være i samsvar med regler om lovkrav i EU-Charteret og EMK, jf. fortalepunkt 73 siste punktum. Det er ingen bestemmelser verken i arbeidsmiljøloven eller tilhørende forskrifter som pålegger taushetsplikt ved intern varsling.
Det tilføyes at intern varsling også kan skje via verneombud eller tillitsvalgt, jf. aml. § 2 A-2 (1) bokstav d. Arbeidsgiver kan pålegge tillitsvalgte taushetsplikt etter aml. § 8-3 (1) på grunn av «virksomhetens behov», men bestemmelsen er ikke anvendelig til å «pålegge taushet generelt eller for visse sakstyper», jf. Ot.prp. nr. 49 (2004–2005) s. 313. Verneombud har taushetsplikt om det de får vite om «noens personlige forhold» i forbindelse med utførelsen av sine oppgaver, jf. forskrift 6. desember 2011 nr. 1355 om organisering, ledelse og medvirkning § 3-17 første ledd bokstav a, men det foreligger ingen avklaring i praksis om dette er ment å omfatte en kildes identitet. Dette taler for at verneombudets taushetsplikt ikke anses å oppfylle de nevnte lovkravene.
Arbeidsgivere kan imidlertid velge å opprette eksterne varslingsmottak, for eksempel varsling via advokat, jf. aml. § 2 A-2 (1) bokstav d. I slike tilfeller har advokaten lovpålagt taushetsplikt etter straffeloven § 211. I disse tilfellene vil ikke den omvarslede ha rett til å vite varslerens identitet under arbeidsgivers undersøkelse av varselet.
Et annet unntak, som Datatilsynet og Personvernnemnda har drøftet tidligere, er personopplysningsloven § 16 (1) bokstav f. Bestemmelsen åpner for å gjøre unntak fra informasjons- og innsynsretten dersom utlevering vil være i strid med «åpenbare og grunnleggende private eller offentlige interesser». Ordlyden «åpenbare» og «grunnleggende» interesser fremstår som kvalifiserte krav med høy terskel. Det fremgår av forarbeidene, Prop. 56 LS (2017–2018) s. 64 og Ot.prp. nr. 92 (1998–1999) s. 122, at det er strenge vilkår for å gjøre unntak. Det tidligere Arbeids- og velferdsdirektoratet har uttalt at unntaket er ment for de tilfellene det er «åpenbart riktig» å gjøre unntak, og for tilfeller det «ikke var mulig å forutse» på lovgivningstidspunktet, jf. Prop. 56 LS (2017–2018) punkt 16.4.4. Problemstillingen vedrørende konfidensialitet vs. informasjonsrett var det mulig å forutse når de nye varslingsreglene ble vedtatt. Bestemmelsen er en svært snever sikkerhetsventil som ikke åpner for å gjøre generelle unntak. Anvendelse vil i den enkelte sak måtte bero på en konkret og skjønnsmessig interesseavveiing mellom taushets- og informasjonsinteressen.
Utfordringene knyttet til personvernlovgivningen er ikke tilstrekkelig problematisert i det forutgående lovarbeidet.
Det kan også gjøres unntak i de tilfeller andre enn offentlige myndigheter behandler personopplysninger av betydning for undersøkelse av straffbare handlinger, og det er fare for bevisforspillelse, slik at det er «påkrevd» å hemmeligholde opplysningene, jf. personopplysningsloven § 16 (1) bokstav b. Terskelen for å anvende unntaket er høy ettersom det må være «påkrevd» med hemmelighold. Samtidig fremheves det, i Prop. 56 LS (2017–2018) punkt 10.2.5.2, at unntaket knytter seg til konsekvensen av om det gis informasjon i «det enkelte tilfelle», slik at eventuell bruk av bestemmelsen må vurderes fra sak til sak.
Dersom den behandlingsansvarlige «uttrykkelig» er «underlagt» en plikt til «innsamling eller utlevering» av personopplysninger etter GDPR art. 14 nr. 5 (c), kan det gjøres unntak. A29-gruppen har uttalt, i Opinion 2016/679 s. 32, at det rettslige grunnlaget i så fall må adressere seg direkte til den behandlingsansvarlige på en måte som gjør innsamling eller utlevering obligatorisk. I fortsettelsen vises det til fortalepunkt 41 om at det rettslige grunnlaget må være tydelig og presist, og at det bør være forutsigbart for dem som omfattes av det. Arbeidsgiver har en plikt til å legge til rette for varsling, sørge for at varselet blir undersøkt og sørge for et fullt forsvarlig arbeidsmiljø, jf. aml. §§ 1-1 (c), 2 A-3 (1) og 2 A-3 (2). I tillegg har de fleste arbeidsgivere en plikt til å ha varslingsrutiner som skal inneholde en oppfordring til å varsle, jf. § 2 A-6. Ingen av disse bestemmelsene pålegger en uttrykkelig innsamlingsplikt, ettersom plikten til å undersøke varselet først slår inn etter at varselet er mottatt. Dette medfører at unntaket ikke kommer til anvendelse.
Opplysninger i tekst som «utelukkende […] er utarbeidet for intern saksforberedelse» og som «ikke er utlevert til andre», kan unntas fra innsyn «så langt det er nødvendig […] for å sikre forsvarlige interne avgjørelsesprosesser», jf. personopplysningsloven § 16 (1) bokstav e. Ordlyden indikerer en høy terskel. I tillegg er det de interne avgjørelsesprosesser som skal vernes, og ikke enkeltindivider. Bestemmelsen kan dermed ikke anses som et unntak fra informasjonsretten.
Det tilføyes at det etter GDPR art. 14 nr. 5 (b) kan gjøres unntak fra informasjonsretten etter nr. 1–4 dersom og i den grad «forpliktelsen nevnt i nr. 1 i denne artikkel sannsynligvis vil gjøre det umulig eller i alvorlig grad vil hindre at målene med nevnte behandling nås». Det fremgår videre av bestemmelsen at dersom vilkåret er oppfylt, skal den behandlingsansvarlige «gjøre informasjonen offentlig tilgjengelig». Ordlyden gir uttrykk for en høy terskel, og i A29-gruppens Guideline 2016/679 s. 28 fremgår det at unntakene i bestemmelsen er ment å være snevre unntak. Med hensyn til A29-gruppens uttalelser i Guideline 2016/679 på s. 28, 31 og 32, som det ikke er rom for å gå detaljert inn på, anses unntaket kun anvendelig i de tilfeller det er nødvendig å unnlate å gi informasjon om at det i det hele tatt foregår behandling av personopplysninger, for eksempel ved undersøkelse av alvorlige straffbare forhold. Bestemmelsen anses dermed ikke som et generelt unntak fra informasjonsretten.
Det har også blitt diskutert om GDPR art. 15 nr. 4 kan benyttes som unntak fra informasjons- og innsynsretten. I bestemmelsen fremgår det at retten til å motta kopi av personopplysninger i henhold til art. 15 nr. 3, ikke skal ha «negativ innvirkning på andres rettigheter og friheter». Som nevnt åpner bestemmelsen for kopi av egne personopplysninger etter art. 15 nr. 3, og ikke til art. 15 i sin helhet, herunder art. 15 nr. 1 (g) om rett til informasjon om kilden. Videre foreligger ingen tilsvarende unntaksbestemmelse for retten til informasjon om kilden etter art. 14. Det fremstår som uforutsigbart om art. 15 nr. 4 skal innfortolkes som et unntak fra art. 14 nr. 2 (f) og art. 15 nr. 1, i strid med bestemmelsens ordlyd om at unntaket kun knytter seg til art. 15 nr. 3. Dette taler for at begrensningen ikke kan anses som et unntak fra retten til informasjon om kilden. Dersom det likevel skulle være tilfelle at art. 15 nr. 4 skulle forstås som unntak for informasjons- og innsynsretten i art. 14 nr. 2 (f) og art. 15 nr. 1 (g), vil dette i så fall resultere i at det må foretas en konkret interesseavveining mellom de to motstridende personverninteressene: taushetsinteressen og informasjonsinteressen. Det tilføyes at EDPB for tiden arbeider med en Guideline for den registrertes rettigheter. I privat e-postkorrespondanse med undertegnede den 11. mai 2020, hadde EDPB derfor ikke anledning verken til å bekrefte eller avkrefte om art. 15 nr. 4 kan være anvendelig som unntak fra retten til å vite kildens identitet.
Varslingsdirektivet
I slutten av 2019 ble vedtatt et nytt EU-direktiv (2019/1937) om vern av varslere. Direktivet oppstiller minimumsstandarder for å beskytte personer som varsler om brudd på ti konkrete områder i EU-regelverket i arbeidsrettslig sammenheng.
Direktivet skiller seg på flere punkter fra det norske varslingsinstituttet, blant annet ved at arbeidsmiljølovens «kritikkverdige forhold» er mer omfattende enn varslingsdirektivets materielle virkeområde, samtidig som at personkretsen som omfattes, er ulik. Direktivets EØS-relevans er i skrivende stund under vurdering.
I henhold til direktivet art. 9 nr. 1 (a) og art. 16 nr. 1 skal det foreligge systemer som sikrer at varslerens identitet behandles tilstrekkelig konfidensielt. Det er kun dersom det foreligger en nødvendig og forholdsmessig lovpålagt forpliktelse i forbindelse med etterforskning utført av nasjonale myndigheter, eller i rettslige forhandlinger, at det er adgang til å avsløre personopplysninger til andre enn «authorised staff members», jf. art. 16 nr. 2. Vernet om varslerens identitet gjelder dermed også overfor den omvarslede. I det opprinnelige direktivforslaget, som ble fremlagt i april 2018, fremheves dette som en av hjørnesteinene for å beskytte varslere.
Det at EU så behovet for en slik lovbestemt beskyttelse av varslerens identitet, også overfor den omvarslede, tyder på at EU ikke anså at en slik beskyttelse allerede forelå. Dette viser at tidligere nevnte uttalelse fra Europarådet kun var en oppfordring til å beskytte varslere, og at en slik beskyttelse ikke forelå på EU-nivå.
EU-kommisjonen har uttalt, i Summary of the Impact Assessment – Proposal for a Directive on the protection of persons reporting on breaches of Union law, at ulik beskyttelse av varslere i EU undergraver like konkurransevilkår, som er en nødvendighet for at det indre markedet skal fungere optimalt. I fortsettelsen fremgår det at det var nødvendig med et EU-tiltak for å rydde opp i ulikhetene og for å sikre et gjennomgående høyt beskyttelsesnivå for varslere i EU. EØS-avtalen skal blant annet sikre like konkurransevilkår for å ha et velfungerende indre marked, jf. art. 1 nr. 1. Dette taler for at det i norsk rett bør foretas endringer for å nå opp til EUs varslervern.
Konklusjon og avsluttende betraktninger
Undersøkelsen har vist at hovedregelen er at den omvarslede har rett til å vite varslerens identitet. Fra dette kan det tenkes unntak i noen særskilte tilfeller, for eksempel ved varsling av straffbare forhold. I tillegg kan det varsles via advokat som har taushetsplikt, forutsatt at arbeidsgiver har etablert en slik varslingsløsning. Varslerens identitet kan unntaksvis beskyttes etter en konkret vurdering etter personopplysningsloven § 16 (1) bokstav f, men dette er en vurdering som arbeidsgivere normalt ikke har faglig tyngde til å foreta selv.
Ordlyden i flere av bestemmelsene er ikke tilstrekkelig presise til at potensielle varslere kan forutse sin rettsstilling ved intern varsling. Dette kan skape usikkerhet, noe som kan ha betydning for om en person velger å varsle. Dette strider mot at varsling er ønskelig, og mot tanken om et utvidet varslervern. Videre har ikke arbeidsgivere anledning til å etterleve et løfte om konfidensialitet lengre enn det som følger av regelverket.
Utfordringene knyttet til personvernlovgivningen er ikke tilstrekkelig problematisert i det forutgående lovarbeidet. Varslingsutvalget oppfordret lovgiver til å se nærmere på personvernproblematikken «når det er tilstrekkelig klarlagt hvilken betydning de nye personvernreglene vil komme til å få i forbindelse med varsling», jf. NOU 2018: 6 punkt 10.11.3. Undersøkelsen har vist at det er nødvendig med en utredning av personopplysningsvernet i varslingssaker for å avklare rettstilstanden og styrke varslervernet ytterligere.
NB: Denne artikkelen er en bearbeidelse av forfatterens masteroppgave som ble levert høsten 2019.
Mer fra Innsikt
Lovkommentarer til Personvernforordningen
Lovkommentar til Personopplysningsloven
Lovkommentar til Arbeidsmiljøloven
Skillsmisseadvokatrobotene er her
Camilla Selman: Innsynsretten er ikke endret av koronakrisen
Disse straffesakene fra Høyesterett bør du kjenne til