Behandling av personuppgifter vid visselblåsning
KPMG har tagit fram detta tillägg till informationstext i syfte att utgöra grund för den information som organisationer som använder KPMG:s Visselblåsartjänst har att lämna till registrerade enligt regelverket om behandling av personuppgifter.
Enligt dataskyddsförordningen finns skyldighet att tillhandahålla information till registrerade både när information samlas in från den registrerade (artikel 13) och när personuppgifterna inte har erhållits från den registrerade (artikel 14). Denna informationstext adresserar båda dessa situationer. Vad avser personer som rapporteringen avser kan undantag från skyldigheten att informera dessa personer föreligga.
Information till rapporterande personer och andra än rapporterande personer
1.1 Personuppgiftsansvar
Personuppgiftsansvarig för behandlingen av personuppgifter i samband med rapportering av missförhållanden är Storstockholms brandförsvar. Kontaktuppgifter och information om företrädare finns tillgängligt på [Verksamhet]s hemsida.
1.2 Allmänt om hantering av personuppgifter efter rapportering i visselblåsarkanalen
Rapporterande personer rapporterar via KPMG AB:s webbapplikation eller via telefonsvar. En särskilt behörig handläggare hos KPMG AB tilldelas ärendet och kan därefter läsa/lyssna av rapporten.
Enbart den eller de medarbetare som har tilldelats ett ärende i rapporteringssystemet kan läsa/lyssna av en rapport och korrespondens med den rapporterande personen.
Den rapporterande personen kan välja att vara anonym men det finns då risk för att informationen blir svårare att följa upp.
Det finns en meddelandefunktion i webbapplikationen. När rapporterande personer skriver meddelanden i ett rapporterat ärende ser handläggaren av ärendet endast ärendets referensnummer som avsändare.
Vid inkommen rapport görs en inledande bedömning av uppgifterna i rapporten och avseende huruvida ytterligare information behövs. Ärendet leder till att KPMG AB lämnar rekommendation till den personuppgiftsansvariga om fortsatt hantering. Det är alltid den personuppgiftsansvarige som beslutar om åtgärder med anledning av rapporteringen.
Beslut om åtgärder kan vara exempelvis att ärendet ska:
- läggas ned (till exempel på grund av bristfällig bevisning eller annat),
- föranleda en fördjupad utredning,
- lämnas vidare för intern eller extern hantering (till exempel till HR eller polismyndighet).
Personer som rapporterar uppmanas att tänka på att inte lämna information som inte är relevant för ärendet. Detta innefattar bland annat medvetet falska påståenden och information som kan uppfattas som stötande.
1.3 Ändamål med behandlingen av personuppgifter
Ändamålet med behandling av personuppgifter i samband med hantering av visselblåsarärenden är att Storstockholms brandförsvar ska förebygga, få kännedom om och åtgärda missförhållanden i verksamheten samt i vissa fall kunna fastställa, göra gällande eller försvara rättsliga anspråk med anledning av rapporterade missförhållanden.
Ändamålet med behandlingen av personuppgifter är även att Storstockholms brandförsvar ska fullgöra dess skyldigheter enligt tillämpligt regelverk om rapportering av missförhållanden (bl.a. lagen om skydd för personer som rapporterar om missförhållanden).
1.4 Rättslig grund för behandling av personuppgifter
Rättslig grund för behandlingen av personuppgifter vid intern och extern rapportering är att behandlingen är nödvändig för att fullgöra rättsliga förpliktelser som åvilar den personuppgiftsansvarige. De rättsliga förpliktelserna framgår av lagen om skydd för personer som rapporterar om missförhållanden.
1.5 Mottagare av personuppgifter
Rapportering i visselblåsartjänsten hanteras av KPMG AB, i det systemverktyg som KPMG AB tillhandahåller. Informationen i systemet lagras inom Sverige och hanteras på uppdrag av den personuppgiftsansvarige av särskilt utsedda medarbetare hos KPMG AB.
Härutöver kan information innefattande personuppgifter komma att lämnas till de av personuppgiftsansvarige angivna kontaktpersoner, polis- eller åklagarmyndighet eller annan myndighet.
Det är omständigheterna i det enskilda fallet som avgör om information behöver lämnas vidare, till exempel om det är aktuellt att initiera ett personalärende eller med anledning av rapporteringen, göra polisanmälan.
1.6 Lagring av personuppgifter
Personuppgifter som samlas in för hantering av visselblåsarärenden bevaras i högst två år efter det att behandlingen av uppgifterna i ärendet har avslutats.
Ett rapporteringsärende bedöms vara avslutat när visselblåsarfunktionen har vidtagit avslutande åtgärder i ärendet, t.ex. när den personuppgiftsansvarige har beslutat om att en utredning ska läggas ned, att uppgifterna ska lämnas vidare för ytterligare utredning eller hantering samt när eventuellt rättsliga förfaranden har avslutats och liknande.
1.7 Kategorier av personuppgifter
De kategorier av personuppgifter som kan komma att behandlas inom ramen för ett visselblåsarärende beror dels på vilken information som lämnas av den rapporterande personen och dels på vilken information som behöver inhämtas från andra personer eller informationskällor, exempelvis för att utreda eller verifiera de uppgifter som har lämnats av en rapporterande person.
Följande kategorier av personuppgifter kan komma att behandlas inom ramen för ett visselblåsarärende:
- kontaktuppgifter,
- personnummer/samordningsnummer,
- uppgifter om anställning, t.ex. befattning,
- inkomstuppgifter som t.ex. uppgifter om lön och andra förmåner, inkomst av kapital och näringsverksamhet,
- uppgifter om tillgångar och investeringar som t.ex. kontonummer, bankkontoinnehav, innehav av värdepapper och fastigheter, m.m.,
- medlemskap i fackförening,
- sexuell läggning (t.ex. vid rapportering avseende diskriminering),
- religiös eller filosofisk övertygelse (t.ex. vid rapportering avseende diskriminering),
- ras eller etniskt ursprung (t.ex. vid rapportering avseende diskriminering),
- politiska åsikter (t.ex. vid rapportering avseende diskriminering),
- uppgifter om en fysisk persons sexualliv (t.ex. vid rapportering avseende trakasserier eller övergrepp),
- uppgifter om hälsa och
- misstänkta eller konstaterade regelöverträdelser.
Med hänsyn till att den personuppgiftsansvariga inte styr vilken information som lämnas i rapporteringskanalen är det inte säkert att ovanstående uppräkning är helt uttömmande.
1.8 Uppgifternas ursprung
Personuppgifter för hantering av visselblåsarärenden samlas in från personer som rapporterar ärenden i visselblåsarkanalen och kan härutöver komma att samlas in från:
- andra personer som kan komma att kontaktas för att de bedöms ha relevant information om ärendet,
- allmänt tillgängliga källor såsom söktjänster,
- sociala medier och
- myndigheter såsom Skatteverket, Kronofogdemyndigheten och domstolar.
1.9 Registrerades rättigheter
Registrerade har, med vissa begränsningar och undantag, rätt att:
- få tillgång till personuppgifter som behandlas om honom eller henne,
- be om rättelse av felaktiga personuppgifter samt att komplettera med sådana personuppgifter som saknas och som är relevanta för ändamålet med behandlingen,
- be att uppgifterna som avser honom eller henne raderas,
- begära att behandling av personuppgifter som rör honom eller henne begränsas,
- begära att få ut och använda sina personuppgifter på annat håll (den personuppgiftsansvariga som har tagit emot sådana uppgifter har en skyldighet underlätta sådan överflyttning, dataportabilitet) och
- invända mot den personuppgiftsansvariges behandling av hans eller hennes personuppgifter (denna rätt gäller bland annat personuppgifter som behandlas efter en intresseavvägning och innefattar rätt att invända mot profilering)
En framställan om utövande av någon av ovanstående rättigheter skickas till: registrator@ssbf.brand.se.
Den vars personuppgifter behandlas har även rätt att anmäla klagomål till Integritetsskyddsmyndigheten (IMY) tidigare Datainspektionen. Mer inofrmation finns på deras webbplats, www.imy.se.