Ny vejledning fra Datatilsynet vedrørende whistleblowing
Datatilsynet har efter længere tids behandling udstedt en vejledning vedrørende anmeldelse af whistleblower systemer.
Whistleblower systemer
Der har i de seneste år været øget fokus på virksomheders indsats mod bestikkelse, svindel, forurening, børnearbejde m.v. Som led i dette opfordrer et stigende antal virksomheder deres ansatte til at indberette, hvis de har mistanke om, at deres kolleger eller virksomheden som sådan begår retsstridige eller uetiske handlinger.
Ansatte undlader dog ofte at foretage sådanne indberetninger af frygt for repressalier fra virksomheden eller deres kollegaer. Derfor har mange virksomheder etableret procedurer, som gør det muligt for de ansatte at søge vejledning og eventuelt foretage indberetninger af ulovlige handlinger til et særligt nedsat organ i virksomheden. Dette kan ske anonymt via telefon, e-mail og/eller internettet. Det pågældende organ vurderer herefter, om indberetningen giver anledning til ansættelsesretlige sanktioner og/eller politianmeldelse.
Disse systemer betegnes som ”whistleblower systemer”. Whistleblower systemer er navnlig udbredt i amerikanske koncerner, da der efter den amerikanske ”Sarbanes-Oxley Act” gælder en pligt for visse selskaber til at indføre procedurer, som sikrer, at medarbejderne kan foretage indberetninger om ulovligheder uden risiko for repressalier.
Persondataretlige udfordringer
Da indberetningerne via whistleblower systemer ofte sker elektronisk og efterfølgende behandles elektronisk, gælder persondataloven. Da oplysningerne endvidere vil være af følsom karakter, idet de kan omfatte strafbare handlinger, forudsætter etableringen og anvendelsen af whistleblower systemer, at der sker anmeldelse til Datatilsynet, som tillige skal godkende behandlingen. Opnås Datatilsynets godkendelse ikke, må whistleblower systemet ikke etableres eller udnyttes i Danmark.
Da mange amerikanske virksomheder overlader udførelsen af opgaverne i tilknytning til whistleblower systemerne til andre (typisk amerikanske) virksomheder, som har specialiseret sig i netop whistleblower systemer, vil der endvidere ofte være tale om overførelse af personoplysninger til tredjelande, dvs. lande uden for EU. Sådanne overførelser til tredjeland må kun ske, hvis det pågældende land sikrer et ”tilstrækkeligt beskyttelsesniveau” set i forhold til persondataloven. USA anses ikke for at have et sådant tilstrækkeligt beskyttelsesniveau. Mange af de amerikanske virksomheder, der udbyder services i forbindelse med whistleblower systemer, har imidlertid tilsluttet sig den såkaldte ”Safe Harbor-ordning”, hvorefter virksomhederne forpligter sig til at opfylde en række principper for persondatabeskyttelse. Sådanne virksomheder betragtes som virksomheder i sikre tredjelande.
Hvis virksomheden ikke er tilsluttet Safe Harbor-ordning, kan et passende beskyttelsesniveau opnås ved at benytte EU-kommissionens standardaftaler for dataeksport. Men i modsætning til ved overførsel af virksomheder, der er tilsluttet Safe Harbor, kræver dette en tilladelse fra Datatilsynet.
Datatilsynets vejledning
Der har i en lang periode været usikkerhed om, hvordan whistleblower systemer og procedurerne heri kunne indrettes for at være i overensstemmelse med persondataloven, da Datatilsynet kun havde offentliggjort én tilladelse til behandling af personoplysninger i forbindelse med whistleblower systemer, nemlig Vestas Wind Systems A/S’ system.
Datatilsynet har imidlertid nu – efter længere tids arbejde – udarbejdet en vejledning, som beskriver fremgangsmåden for anmeldelse af whistleblower systemer. I arbejdsprocessen har vejledningen været til behandling i Datarådet to gange, hvilket er meget illustrativt for vejledningens principielle karakter.
Vejledningen, der er udtryk for generelle retningslinjer, har til hensigt at lette processen fremover for anmeldere og er forholdsvis omfattende og kompleks.
Vejledningen behandler blandt andet spørgsmålet om, hvem der må anses som dataansvarlig og dermed anmelder, når whistleblower systemet skal fungere i koncerner, herunder i internationale koncerner på tværs af landegrænser.
Derudover behandles spørgsmålet om, hvilke kategorier af personer, der må behandles oplysninger om. Her gælder overordnet, at det kun er ansatte og bestyrelsesmedlemmer i selskabet/koncernen, der må kunne foretage indberetninger, og at systemet alene må være indrettet med henblik på indberetning af personer med tilknytning til koncernen/selskabet, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater og leverandører.
Virksomheden skal endvidere forud for implementeringen af whistleblower systemet informere sine medarbejdere om systemets funktion og omstændigheder ved en eventuel indsamling af oplysninger via systemet.
Ifølge vejledningen må systemet kun kunne anvendes til indberetninger vedrørende alvorlige forseelser, der kan få betydning for koncernen/selskabet, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred. Indberetning af mindre alvorlige forseelser, f.eks. mobning, samarbejdsvanskeligheder, fravær og lignende, skal således ske via almindelige kommunikationsveje. Systemet må endvidere kun anvendes til indberetning og vejledning om forhold, der relaterer sig til virksomheden. Det er således udelukket at anvende systemet i forhold til ulovligheder og lignende begået af de ansatte i deres fritid eller som ikke er virksomhedsrelateret.
For så vidt angår persondatalovens almindelige slettepligt, hvorefter personoplysninger skal slettes straks, hvis opbevaringen af oplysningerne ikke længere tjener et sagligt formål, sondres der i vejledningen mellem de situationer, hvor whistleblower systemet varetages af et moderselskab for en hel koncern, og de situationer, hvor systemet varetages af og for ét selvstændigt selskab. Der åbnes op for, at de selvstændige selskaber kan opbevare oplysninger om medarbejdere i op til 5 år efter fratrædelse, mens moderselskaberne i koncernforholdet kun må opbevare oplysningerne indtil, sagen om den pågældende medarbejder er afsluttet, idet oplysningerne herefter enten skal slettes eller sendes til opbevaring hos det datterselskab, hvis medarbejder indberetningen vedrører.
Datatilsynets vejledning kan findes her
Vedhæftede filer (0):
Relaterede artikler (0):
Eksterne links: (0):