Måste privata verksamheter ansöka om tillstånd hos IMY för att behandla personuppgifter om lagöverträdelser i interna visselblåsarkanaler?
Verksamheter med minst 50 arbetstagare:
Nej, om företaget har minst 50 anställda och enligt visselblåsarlagen är skyldiga att ha en intern rapporteringskanal, behöver ni inte ansöka om tillstånd hos IMY för att behandla personuppgifter om lagöverträdelser. Personuppgifter om lagöverträdelser får behandlas av privata verksamheter om det krävs för att fullgöra en lagstadgad skyldighet, detta följer av 5 § punkt 2 förordning (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Som vanligt gäller dock att den personuppgiftsansvariga ska följa dataskyddsförordningen vid behandling av personuppgifter, såsom exempelvis de grundläggande principerna i artikel 5 i dataskyddsförordningen.
Verksamheter med färre än 50 arbetstagare:
Verksamhetsutövare med färre än 50 arbetstagare är inte skyldiga att ha interna visselblåsarkanaler. Om ni frivilligt vill inrätta en visselblåsarkanal behöver ni antingen följa 2 § punkt 4 i IMY:s Föreskrifter om behandling av personuppgifter som rör lagöverträdelse (DIFS 2018:2) (pdf, 78 kB) eller söka tillstånd hos IMY om ni avser att behandla personuppgifter om lagöverträdelser på ett sätt som går utöver vad IMY:s föreskrift tillåter.