Compliance

Med “compliance” mener vi etterlevelse av relevant lovverk, nasjonale og internasjonale regler, samt virksomhetens styrende dokumenter. Ansvaret for etterlevelse av disse reglene ligger hos ledere og medarbeidere.

Ruters compliancefunksjon arbeider etter mandat fastsatt av administrerende direktør, og rapporterer til administrerende direktør og styret. Funksjonen skal følge opp at selskapet etterlever eksternt og internt regelverk knyttet til blant annet korrupsjon, andre økonomiske misligheter, etikk, menneskerettigheter, anstendig arbeidsliv, offentlige anskaffelser, universell utforming og likebehandling, personvern og sikkerhet. Den skal stille krav, foreslå relevante tiltak og følge opp virksomhetens lovpålagte ansvar, herunder varslingstjenesten.

Handlingsregler for Ruters leverandører

Ruter har utarbeidet handlingsregler for leverandører, som er etiske regler for leverandører, og en del av alle kontrakter som Ruter inngår. Handlingsreglene ble sist revidert 13. september 2021. Handlingsreglene inneholder blant annet bestemmelser om menneskerettigheter og arbeidstakerrettigheter, korrupsjon og bestikkelser, miljø, ansattes helse og sikkerhet, hvitvasking og konkurranse. Leverandøren har plikt til å etterleve handlingsreglene i hele kontraktsperioden, og skal rapportere på oppfyllelse av kravene på forespørsel fra Ruter.

Ruter er godt i gang med implementering av åpenhetsloven, som trer i kraft 1. juli 2022, og som skal fremme respekt for grunnleggende menneskerettigheter og anstendige arbeidsforhold ved levering av varer og tjenester. Bestemmelser om aktsomhetsvurderinger for ivaretakelse av grunnleggende menneskerettigheter i leverandørkjeden (jf. åpenhetsloven), er inntatt i et vedlegg til Ruters handlingsregler. Disse bestemmelsene vil gjelde i alle anskaffelser hvor det antas å være høy risiko for brudd på grunnleggende menneskerettigheter. Kravene om menneskerettigheter og anstendig arbeidsforhold gjelder også underleverandører. Brudd på handlingsreglene og kontraktsvilkårene innebærer kontraktsbrudd.

Offentlige anskaffelser

Ruter er omfattet av regelverket for offentlige anskaffelser. Regelverket gir på visse vilkår mulighet til å avvise leverandører fra deltakelse i konkurranse om oppdrag for Ruter dersom virksomheten er rettskraftig dømt for, eller har vedtatt forelegg for blant annet korrupsjon. Felles europeisk egenerklæringsskjema (ESPD) benyttes i kvalifikasjonsfasen av anskaffelsene som overstiger EØS-terskelverdiene, og gjennom dette dokumenteres det foreløpig at leverandøren oppfyller alle kvalifikasjonskravene i konkurransen. I anskaffelser under EØS-terskelverdiene oppstilles det kvalifikasjonskrav i konkurransegrunnlaget, som det innhentes dokumentasjon på. Hvorvidt det skal gjøres ytterligere undersøkelser av aktuell leverandør avhenger blant annet av om aktuell bransje er risikoutsatt for korrupsjon og misligheter, om den aktuelle kontrakt er omdømmesensitiv for konsernet, og om leverandøren eller underleverandøren har betydelig produksjon utenfor Europa.

Ruter har fokus på å identifisere og oppfylle kravene til likebehandling og universell utforming i hele reisekjeden, for alle transportmidler og på holdeplasser som Ruter har ansvar for.

Ansvarlig behandling av personopplysninger

Ruter behandler i dag personopplysninger knyttet til i underkant av 400 000 registrerte kunder. Selskapet har rutiner og instrukser for behandling av personopplysninger som skal sikre etterlevelse av regelverket. Behandlingen og kompleksiteten av behandlingen er økende, særlig på grunn av tilbud om nye mobilitetstjenester og behandling av nye opplysningstyper, som posisjon.

Ruter har utpekt et personvernombud som blant annet har som oppgave å bistå personer som er registrert hos virksomheten, og egne ansatte, i spørsmål om Ruters behandling av personopplysninger. Personvernombudet skal videre peke på brudd på personopplysningsloven overfor ledelsen og være kontaktperson ved henvendelser fra Datatilsynet. Ruter fører behandlingsoversikt med beskrivelse av formålet for den enkelte behandling av personopplysninger. Selskapet vurderer personvernkonsekvenser ved innføring av nye tekniske løsninger for å sikre innebygd personvern, og har etablert system for internkontroll etter personopplysningsloven med forskrifter. Ruters interne og eksterne personvernerklæringer beskriver Ruters behandling av personopplysninger. Det er informasjon om bruk av informasjonskapsler på Ruters hjemmesider. Ruter har inngått databehandleravtaler med underleverandører som behandler personopplysninger på Ruters vegne. Selskapet er i kontinuerlig dialog med samarbeidspartnere med tanke på roller og ansvar for dataflyt knyttet til kundene.

Ruter har opprettet et Responsteam som skal behandle avvik fra reglene om behandling av personopplysninger. Responsteamet behandlet to saker i 2021. Den ene saken ble rettet i tråd med GDPR. Den andre saker ikke er avsluttet ennå.

Det gis opplæring i personvernregler og -instrukser til medarbeidere som behandler personopplysninger.

Ruters varslingsplakat for håndtering av kritikkverdige forhold i virksomheten

Ruters varslingstjeneste for varsling av kritikkverdige forhold ble etablert i 2014 og sist revidert i november 2021. Varslingsinstituttet gjelder ansatte og innleide medarbeidere, ansatte i heleide datterselskaper og styrets medlemmer. Eksempler på forhold det kan varsles om, er forhold som innebærer fare for liv eller helse, klima eller miljø, korrupsjon eller annen økonomisk kriminalitet, myndighetsmisbruk, uforsvarlig arbeidsmiljø, mobbing/trakassering og brudd på personvernlovgivningen. Varsler kan velge å være anonym. Det er etablert rutiner som skal sikre forsvarlig behandling av varsler. For å sikre tilliten til at varsler blir håndtert på en god måte, har Ruter inngått avtale med en ekstern uavhengig leverandør om håndtering av varsler. Ruters varslingsråd, som består av direktør for juridiske tjenester og compliance og hovedverneombudet, administrerer varslingstjenesten og skal sikre god behandling av innkomne varsler.