• Til forsiden
• In English
• Læs højt
• aA
• Ordbog
• Udskriv
• Sitemap
• Kontakt

Søg

Hele websitet Afgørelser Afgørelser via paragraf Afgørelser via emneord

Whistleblower

Fremgangsmåde ved anmeldelse af whistleblower systemer

I det følgende beskrives fremgangsmåden for anmeldelse af whistleblower systemer til Datatilsynet. Anmeldelse skal ske på en anmeldelsesblanket af typen ”Privat virksomhed”.

Punkt 1 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 1 skal anføres navnet på det dataansvarlige selskab. Endvidere skal anføres navnet på eventuelle databehandlere.

1.1. Hvis jeres selskab ikke indgår i en koncern, skal jeres selskab altid stå som dataansvarlig. Hvis der benyttes en databehandler, se også punkt 1.4.

-> Gå herefter til punkt 2 i anmeldelsesblanketten.

1.2. Datatilsynet anbefaler, at selskaber i en koncern etablerer separate whistleblower systemer, så en indberetning af en medarbejder hos et af koncernens selskaber ikke tilgår andre selskaber i koncernen. Hvis det er jeres hensigt at indrette whistleblower systemet på denne måde, skal jeres selskab stå som dataansvarlig (for jeres eget whistleblower system). Hvis der benyttes en databehandler, se også punkt 1.4.

-> Gå herefter til punkt 2 i anmeldelsesblanketten.

1.3. Det er Datatilsynets erfaring, at der i mange koncerner ønskes indført et fælles whistleblower system, og at håndteringen af indberetninger i disse tilfælde ofte vil involvere både moderselskabet og datterselskaber i koncernen samt eventuelt selskaber uden for koncernen.

Hvis det er jeres hensigt at indrette whisteblower systemet på den måde, må de enkelte selskabers rolle i forbindelse med whistleblower systemet afklares:

• Er jeres selskab er et dansk moderselskab, gå til punkt 1.3.A.

• Er jeres selskab et dansk datterselskab med et moderselskab etableret i EU/EØS, gå til punkt 1.3.B.

• Er jeres selskab er et dansk datterselskab med et moderselskab etableret uden for EU/EØS, gå til punkt 1.3.C.

1.3.A Jeres selskab er et dansk moderselskab

• Forinden indsendelse af anmeldelsesblanketten til Datatilsynet, skal I have afklaret, om jeres selskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet.

• Hvis jeres selskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet:




• Hvis jeres selskab er dataansvarlig for behandling af oplysninger om jeres egne medarbejdere, men alene handler på vegne af jeres datterselskaber for så vidt angår indberetninger af deres medarbejdere:






Hvis opgaverne i forbindelse med whistleblower systemet tillige er henlagt til et selskab uden for koncernen, se punkt 1.4.

-> Gå herefter til punkt 2 i anmeldelsesblanketten.

1.3.B Jeres selskab er et dansk datterselskab med et moderselskab etableret i EU/EØS

• Forinden indsendelse af anmeldelsesblanketten til Datatilsynet, skal I have afklaret med jeres moderselskab, om jeres moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet.

• Hvis jeres moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet:


• Hvis jeres moderselskab alene handler på jeres vegne for så vidt angår indberetninger af jeres medarbejdere:





Hvis opgaverne i forbindelse med whistleblower systemet tillige er henlagt til et selskab uden for koncernen, se punkt 1.4.

-> Gå herefter til punkt 2 i anmeldelsesblanketten.

1.3.C Jeres selskab er et dansk datterselskab med et moderselskab etableret uden for EU/EØS

• Forinden indsendelse af anmeldelsesblanketten til Datatilsynet, skal I have afklaret med jeres moderselskab, om jeres moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet.

• Hvis jeres moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet:




• Hvis jeres moderselskab alene handler på jeres vegne for så vidt angår indberetninger af jeres medarbejdere:






• Hvis opgaverne i forbindelse med whistleblower systemet tillige er henlagt til et selskab uden for koncernen, se punkt 1.4.

-> Gå herefter til punkt 2 i anmeldelsesblanketten.

1.4. Benyttelse af en databehandler

Ofte vil en del af håndteringen (f.eks. modtagelsen) af indberetninger i et whistleblower system være henlagt til et selskab med særlig ekspertise på området.

Et sådant selskab vil i anmeldelsesblanketten skulle stå anført som databehandler og skal overholde persondatalovens krav til en databehandler.

Hvis selskabet er etableret i et land uden for EU/EØS landene, skal de særlige regler for overførsel af oplysninger til tredjelande endvidere være overholdt.

Punkt 2 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 2 skal skrives navnet på behandlingen (behandlingens betegnelse). Det kan f.eks. være ”Whistleblower system”.

Desuden skal formål og evt. delformål beskrives. I dette felt kan f.eks. kort anføres baggrunden for, at whistleblower systemet ønskes indført, og hvad der forventes opnået med systemet.

Punkt 3 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 3 skal gives en generel beskrivelse af whistleblower systemet. I dette felt kan f.eks. kort skitseres, hvad der sker med oplysninger indberettet til et whistleblower systemet fra tidspunktet for indberetningen og frem til sagens afslutning.

Endvidere skal afkrydses, hvilke følsomme oplysninger der behandles i forbindelse med whistleblower systemet. Opmærksomheden henledes på, at der som altovervejende hovedregel ikke må behandles andre følsomme oplysninger end oplysninger om strafbare forhold og andre rent private forhold.

Punkt 4 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 4 skal oplyses de kategorier af personer, der behandles oplysninger om.

En kategori af personer, er dem, der kan indberettes via whistleblower systemet. Denne kategori skal angives i overensstemmelse med overvejelserne om omfanget af jeres ansvar, se hertil punkt 1 i anmeldelsesblanketten.

Det vil således eksempelvis afhænge af omfanget af jeres ansvar, om I som dansk moderselskab skal anføre ”Medarbejdere hos [jeres navn], der indberettes til whistleblower systemet” eller ”Medarbejdere hos selskaber i [koncernens navn], der indberettes til whistleblower systemet”.

Opmærksomheden henledes i øvrigt på, at whistleblower systemer alene må være indrettet med henblik på indberetning af personer med tilknytning til koncernen / selskabet, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører m.fl.

En anden kategori af personer, er dem, der kan foretage indberetning, forespørge mv. via whistleblower systemet.

Udgangspunktet er, at det er medarbejdere og bestyrelsesmedlemmer, der kan foretage indbereting til whistleblower systemer.

Der kan være virksomheder, som vurderer, at det er nødvendigt, at også andre med tilknytning til virksomheden skal kunne foretage indberetning. Opmærksomheden henledes i den forbindelse på, at hvis adgangen til indberetning derfor placeres på en hjemmeside på det åbne internet, skal det fremgå af hjemmesiden, at indberetninger kun kan foretages af medarbejdere, bestyrelsesmedlemmer, kunder, leverandører og andre med tilknytning til virksomheden. Indberetninger skal screenes ved modtagelse i systemet for at undersøge, om de er foretaget af en person med tilknytning til virksomheden, og det anbefales, at eksterne parter opfordres til at identificere sig i forbindelse med indberetning.

I anmeldelsesblankettens punkt 4 skal endvidere beskrives de typer af oplysninger, der behandles om de netop nævnte kategorier af personer.

Opmærksomheden henledes på, at der som altovervejende hovedregel ikke må behandles andre følsomme oplysninger end oplysninger om strafbare forhold og andre rent private forhold.

Endvidere henledes opmærksomheden på, at der også herudover skal ske begrænsning af de oplysningstyper, som kan indberettes.

Der vil efter Datatilsynets opfattelse kunne ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser – eller mistanke herom – der kan få betydning for koncernen som helhed / selskabet, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred.

Det kan f.eks. være tilfældet ved mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lign.

I den forbindelse bemærkes, at der efter Datatilsynets opfattelse kan ske indberetning i det omfang, det kræves i medfør af den amerikanske Sarbanes Oxley Act. Det vil sige for så vidt angår uregelmæssigheder på områderne regnskabsføring, intern regnskabskontrol, revision, samt ved mistanke om korruption og kriminalitet i bank- og finanssektoren.

Som andre eksempler, hvor der efter Datatilsynets opfattelse kan ske indberetning, kan nævnes tilfælde af miljøforurening, alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb.

Derimod vil mindre alvorlige forseelser ikke kunne indberettes, eksempelvis tilfælde af mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af retningslinjer for f.eks. påklædning, rygning / alkohol, brug af e-post / internet og lign. I disse tilfælde må i stedet benyttes de normale kommunikationsveje.

Punkt 5 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 5 skal nævnes alle selskaber, kategorier af eksterne konsulenter mv., som vil kunne få en indberetning til whistleblower systemet at se.

Punkt 6 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 6 skal anføres, om der påtænkes overført oplysninger til et tredjeland.

Det vil altid være tilfældet, hvis der benyttes en databehandler, som er etableret uden for EU/EØS, f.eks. et selskab uden for koncernen med særlig ekspertise på området.

Det vil endvidere være tilfældet, hvis I som dansk moderselskab er dataansvarlig for enhver behandling af oplysninger i forbindelse med whistleblower systemet, se nærmere herom punkt 1.3.A. i anmeldelsesblanketten, og overfører oplysninger til jeres datterselskaber etableret uden for EU/EØS.

Hvis der sker overførsel af oplysninger til et tredjeland, skal de særlige regler i persondatalovens § 27 for overførsel af oplysninger til tredjelande være overholdt.

Punkt 7 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 7 skal I give en generel beskrivelse af de foranstaltninger, der iværksættes af hensyn til behandlingssikkerheden.

Det drejer sig om beskyttelse af elektroniske oplysninger, f.eks. i forbindelse med transmission, opbevaring mv. Endvidere skal angives beskyttelsen af eventuelt manuelt behandlede oplysninger.

Det er jeres ansvar at sikre, at oplysningerne ikke kommer uvedkommende til kendskab. Datatilsynets behandling af anmeldelsen indebærer ikke en tilbundsgående undersøgelse af hele sikkerheden omkring jeres whistleblower system.

Opmærksomheden henledes på, at Datatilsynet i forbindelse med tilladelsen vil stille vilkår om en række sikkerhedsforanstaltninger i forbindelse med jeres whistleblower system. Disse sikkerhedsforanstaltninger vil skulle opfyldes, uanset om de står anført i anmeldelsesblanketten.

Punkt 8 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 8 anføres tidspunktet for påbegyndelse af behandlingen. Opmærksomheden henledes på, at behandlingen ikke må iværksættes, før Datatilsynets tilladelse foreligger.

Punkt 9 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 9 anføres tidspunktet for sletning af oplysningerne.

Hvis jeres selskab har et separat whistleblower system, se herom punkt 1.1. og punkt 1.2., kunne slettefristen f.eks. lyde:

”Hvis der foretages anmeldelse til politi eller andre relevante myndigheder, slettes oplysningerne som udgangspunkt straks efter afslutning af sagen hos de pågældende myndigheder, jf. dog nedenfor. Hvis der på baggrund af de indsamlede oplysninger gennemføres en disciplinær sanktion over for den indberettede medarbejder, eller der i øvrigt foreligger grunde til, at det er sagligt og nødvendigt fortsat at opbevare oplysninger om medarbejderen, vil oplysningerne blive opbevaret i den pågældendes personalemappe. Efter fratrædelse opbevares oplysningerne om medarbejderen i op til 5 år.”

Tilsvarende gælder for de tilfælde, hvor I som dansk datterselskab skal foretage anmeldelse af den behandling af oplysninger, som jeres moderselskab som databehandler foretager på vegne af jer, se nærmere herom punkt 1.3.B. eller punkt 1.3.C.

Hvis jeres selskab er et dansk moderselskab med ansvar for enhver behandling af oplysninger i forbindelse med whistleblower systemet, se herom punkt 1.3.A., kunne slettefristen f.eks. lyde :

”Hvis indberetningen ikke falder inden for området for whistleblower systemet eller viser sig grundløs, slettes oplysningerne straks eller oversendes til det datterselskab, hvis medarbejder indberetningen vedrører. Hvis der foretages anmeldelse til politi eller andre relevante myndigheder, slettes oplysningerne straks efter afslutning af sagen hos de pågældende myndigheder. Hvis der ikke foretages anmeldelse til politi eller andre relevante myndigheder, slettes oplysningerne straks efter oversendelse af oplysningerne til datterselskabet. Oplysningerne slettes endvidere, hvis der ikke inden 2 måneder efter afslutningen af undersøgelsen af de indberettede påstande er foretaget anmeldelse til politi eller andre relevante myndigheder, eller hvis oplysningerne ikke inden denne frist er oversendt til datterselskabet.”

Tilsvarende gælder for de tilfælde, hvor jeres moderselskab etableret i et land uden for EU/EØS som dataansvarlig skal foretage anmeldelse til Datatilsynet for så vidt angår behandling af oplysninger om jeres selskabs medarbejdere, se herom punkt 1.3.C.

Punkt 10 i anmeldelsesblanketten

I anmeldelsesblankettens punkt 10 skal anføres underskrift og dato. Datatilsynet accepterer, at I som dansk datterselskab forestår anmeldelsen på jeres moderselskabs vegne i de tilfælde, hvor det er jeres moderselskab, der skal foretage anmeldelse til Datatilsynet.