Anmeldelser af whistleblower systemer hos Datatilsynet

Dato 28 aug. 2009
Download PDF version PDF

Den 27. juli 2009 offentliggjorde Datatilsynet en ny vejledning om fremgangsmåden ved anmeldelser af whistleblower systemer.

 

Anmeldelserne skal ske på en særlig anmeldelsesblanket af typen ”Privat virksomhed”, der findes på Datatilsynets hjemmeside (www.datatilsynet.dk), hvor der ligeledes findes en vejledning til brug for udfyldelsen af blanketten.

 

Det dataansvarlige selskab

I anmeldelsesblanketten skal navnet på det dataansvarlige selskab oplyses. Endvidere skal navnene på eventuelle databehandlere ligeledes anføres, jf. nedenfor.

 

Indgår et selskab ikke i en koncern, skal det pågældende selskab altid stå som dataansvarlig. Indgår et selskab derimod i en koncern anbefaler Datatilsynet, at selskaberne i koncernen etablerer separate whistleblower systemer. På den måde vil en indberetning af en medarbejder hos et af koncernens selskaber ikke tilgå de andre selskaber i koncernen. Selskabet skal ved etableringen af separate whistleblower systemer således stå alene som dataansvarlig.

 

Det er Datatilsynets erfaring, at der i mange koncerner ikke ønskes separate whistleblower systemer. I stedet ønsker de fleste koncerner indført et fælles whistleblower system, hvor håndteringen af indberetninger ofte vil involvere både moderselskabet og datterselskaber i koncernen samt eventuelt selskaber uden for koncernen.

 

Såfremt anmeldelsen til Datatilsynet omhandler et sådan fælles whistleblower system i en koncern, er det nødvendigt at afklare de enkelte selskabers rolle i forbindelse med anmeldelsen, idet angivelsen af det dataansvarlige selskab afhænger af, hvorvidt:

 

·     

selskabet er et dansk moderselskab,

 

· 

selskabet er et dansk datterselskab med et moderselskab etableret i EU/EØS, eller

 

·  selskabet er et dansk datterselskab med et moderselskab etableret uden for EU/EØS. 

                     

 

De individuelle krav til angivelsen af det dataansvarlige selskab i forbindelse med et fælles whistleblower system fremgår nærmere af Datatilsynets vejledning.

 

Benyttelse af en databehandler

Ofte vil en del af håndteringen af indberetninger i et whistleblower system være henlagt til et selskab med særlig ekspertise på området. Et sådant selskab vil i anmeldelsesblanketten skulle stå anført som databehandler og skal overholde persondatalovens krav til en databehandler.

 

Såfremt et sådan selskab er etableret i et land uden for EU/EØS landene, skal de særlige regler for overførsel af oplysninger til tredjelande endvidere være overholdt.

 

Beskrivelse af whistleblower systemet

Databehandlingens betegnelse, formål og evt. delformål skal endvidere beskrives i anmeldelsen. Der kan eventuelt kort anføres, hvad baggrunden for, at whistleblower systemet ønskes indført er, og hvad der forventes opnået med systemet. Der skal endvidere gives en generel beskrivelse af whistleblower systemet, herunder, hvad der sker med oplysninger indberettet til et whistleblower systemet fra tidspunktet for indberetningen og frem til sagens afslutning.

 

Følsomme oplysninger

Det skal fremgå af anmeldelsesblanketten, hvilke følsomme oplysninger der behandles i forbindelse med whistleblower systemet. Det bemærkes, at der som altovervejende hovedregel ikke må behandles andre følsomme oplysninger end oplysninger om strafbare forhold og forhold af rent privat karakter.

 

Kategorier af personer – typer af oplysninger

I anmeldelsesblanketten skal selskabet endvidere oplyse om de kategorier af personer, der behandles oplysninger om. En kategori af personer, er dem, der kan indberettes via whistleblower systemet. Denne kategori skal angives i overensstemmelse med overvejelserne om omfanget af selskabets ansvar, jf. ovenfor om det dataansvarlige selskab.

 

Det skal understreges, at whistleblower systemer alene må være indrettet med henblik på indberetning af personer med tilknytning til koncernen og/eller selskabet, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører m.fl.

 

En anden kategori af personer, er dem, der kan foretage indberetning, forespørge mv. via whistleblower systemet.  Det må ikke være muligt for andre end ansatte og bestyrelsesmedlemmer at foretage indberetning til whistleblower systemer.

 

I anmeldelsesblanketten skal selskabet desuden beskrives de typer af oplysninger, der behandles om de netop nævnte kategorier af personer. Som den altovervejende hovedregel må selskabet ikke behandle andre følsomme oplysninger end oplysninger om strafbare forhold og forhold af rent privat karakter.

 

Der vil dog efter Datatilsynets opfattelse helt undtagelsesvist kunne ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser, eller mistanke herom, som kan få betydning for koncernen som helhed og/eller selskabet, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred. Indberetning kan eksempelvis være tilfældet ved mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lign. Endvidere vil indberetning kunne ske i det omfang, det kræves i medfør af den amerikanske Sarbanes Oxley Act, hvilket vil sige ved uregelmæssigheder på områderne regnskabsføring, intern regnskabskontrol, revision, samt ved mistanke om korruption og kriminalitet i bank- og finanssektoren.

 

Som andre eksempler, hvor der efter Datatilsynets opfattelse kan ske indberetning, kan nævnes tilfælde af miljøforurening, alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb.

 

Derimod vil mindre alvorlige forseelser ikke kunne indberettes, eksempelvis tilfælde af mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af interne retningslinjer. I disse tilfælde må i stedet benyttes de normale kommunikationsveje.

 

Overførelse af oplysninger til tredjelande

I anmeldelsesblanketten skal det anføres, om der påtænkes overført oplysninger til et tredjeland. Det vil altid være tilfældet, hvis der benyttes en databehandler, som er etableret uden for EU/EØS. Det vil endvidere være tilfældet, hvis et dansk moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet og overfører oplysninger til datterselskaber etableret uden for EU/EØS.

 

Sker der en overførsel af oplysninger til et tredjeland, skal de særlige regler i persondatalovens § 27 for overførsel af oplysninger til tredjelande være overholdt.

 

Behandlingssikkerheden

Selskabet skal give en generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden. Det er selskabets ansvar at sikre, at oplysningerne ikke kommer uvedkommende til kendskab.

 

Datatilsynet vil i forbindelse med tilladelsen stille vilkår om en række sikkerhedsforanstaltninger i forbindelse med selskabets whistleblower system. Disse sikkerhedsforanstaltninger vil skulle opfyldes, uanset om de står anført i anmeldelsesblanketten.

 

Indsamlingstidspunkt og sletning af oplysningerne

Tidspunktet for påbegyndelse af behandlingen skal ligeledes anføres i anmeldelsen til datatilsynet. Behandlingen må ikke iværksættes, før Datatilsynets tilladelse foreligger.

Endelig skal tidspunktet for sletning af oplysningerne i whistleblower systemet angives i anmeldelsesblanketten.

 

 

Hvis du har spørgsmål eller ønsker yderligere information om whistleblower systemer, er du velkommen til at kontakte advokat Dan Moalem (dmo@mwblaw.dk) eller advokat Christina Lund (clu@mwblaw.dk).

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.