Journalnummer: 2021-211-6947
Resume
Advokatforfirmaet DLA Piper har spurgt Datatilsynet om dataansvaret i nogle forskellige situationer, hvor en arbejdsgiver gør brug af eksterne whistlebloweradministratorer: Når en ekstern leverandør håndterer indberetninger fra whistleblowere via direkte kontakt (post, telefon o.l.), når en leverandør håndterer indberetninger via direkte kontakt og stiller en it-platform til rådighed, og når en leverandør kun stiller en it-platform til rådighed for arbejdsgiveren.
I svaret på forespørgslen har Datatilsynet forholdt sig til, hvordan tilsynet opfatter dataansvaret i de enkelte scenarier. Der er tale om et svar på en konkret henvendelse og dermed ikke en mere generel vejledning om dataansvar i andre tænkte situationer.
Besvarelse
DLA Piper Denmark Advokatpartnerselskab (herefter DLA Piper) har den 13. juli 2021 anmodet Datatilsynet om en vejledende udtalelse vedrørende den databeskyttelsesretlige rollefordeling mellem en arbejdsgiver og en ekstern whistlebloweradministrator i den situation, hvor en arbejdsgiver outsourcer en intern whistleblowerordning til en ekstern whistlebloweradministrator.
DLA Piper har om baggrunden for henvendelsen oplyst, at lov om beskyttelse af whistleblowere[1], som træder i kraft den 17. december 2021, forpligter arbejdsgivere med 50 eller flere ansatte til at etablere en intern whistleblowerordning, og at loven giver mulighed for, at administration af den interne whistleblowerordning helt eller delvist kan outsources til ekstern tredjepart.[2]
DLA Piper har i forlængelse heraf oplyst, at der eksisterer en vis usikkerhed om, hvorvidt en ekstern whistlebloweradministrator er databehandler på vegne af en arbejdsgiver, som ordningen administreres for, og at DLA Piper finder det hensigtsmæssigt, at uklarheden afklares henset til det betydelige antal whistleblowerordninger, der – som følge af whistleblowerlovens vedtagelse – vil blive etableret de kommende år.
DLA Piper har opstillet tre forskellige scenarier, som – efter DLA Pipers erfaring – er de typisk forekommende måder, hvorpå whistleblowerordninger outsources, og som DLA Piper ønsker Datatilsynets stillingtagen til.
Ad scenarie 1
DLA Piper har om scenarie 1 beskrevet, at der er tale om en ”almindelig” administration af en whistleblowerordning, hvorved der menes, at en ekstern leverandør (whistlebloweradministrator) varetager følgende opgaver på vegne af en arbejdsgiver:
- Modtagelse af indberetninger fra whistleblowere via ”almindelige” kommunikationskanaler såsom e-mail, fysisk post, telefon og evt. fysisk fremmøde
- Vurdering af, om indberetningen falder inden for whistleblowerordningens anvendelsesområde (”scope”), og herefter videresende indberetningen til arbejdsgiveren, hvis den gør, og afvise indberetningen, hvis den ikke gør
- Varetagelse af al kommunikation med whistlebloweren, herunder at bekræfte modtagelsen af indberetningen, give feedback til whistlebloweren, mv.
- Om nødvendigt bistå arbejdsgiveren med rådgivning om, hvordan indberetningen bør håndteres”
Det er Datatilsynets vurdering, at parterne – i en situation som den ovenfor beskrevne – som udgangspunkt hver især vil agere som selvstændige dataansvarlige.
Datatilsynet har ved vurderingen navnlig tillagt det betydning, at en ekstern whistlebloweradministrator almindeligvis har en vis grad af selvbestemmelse i forhold til selvstændigt at træffe beslutning om, hvordan behandling af indberetninger håndteres, herunder at afvise indberetninger som falder udenfor whistleblowerordningens anvendelsesområde etc., og at der som følge heraf typisk vil være en vag eller ikke-eksisterende instruktion fra arbejdsgiverens side i, hvordan personoplysninger skal behandles.
Det er i situationen ikke afgørende, at arbejdsgiveren har ”igangsat” behandlingen af personoplysninger ved at tilkøbe en service. Det er således til arbejdsgiverens formål – for at overholde en retlig forpligtelse, som påhviler arbejdsgiveren efter whistleblowerloven – at der sker administration af whistleblowerordningen, men til whistlebloweradministratorens formål at der sker behandling af personoplysninger for at kunne levere ydelsen.
Datatilsynet kan ikke udelukke, at der undtagelsesvis kan foreligge en databehandlerkonstruktion mellem parterne, i de tilfælde hvor der foreligger en meget tæt instruks fra arbejdsgivers side i, hvordan den eksterne whistlebloweradministrator skal behandle personoplysninger på dennes vegne, herunder instruks i hvordan administratoren skal følge op på indberetninger som modtages etc.
Ad scenarie 2
DLA Piper har om scenarie 2 beskrevet, at der er tale om administration af whistleblowerordningen på samme måde som beskrevet under scenarie 1, dog med den tilføjelse, at whistlebloweradministratoren også stiller en IT-platform (fx en hjemmeside) til rådighed, som kan fungere som indberetningskanal. Whistlebloweradministratoren kan enten selv stå for driften af denne platform, eller levere denne via en (under)leverandør.
Datatilsynet henviser til det, som er anført oven for under pkt. 1 – det vil således afhænge af, hvor meget skøn arbejdsgiveren har overladt til den eksterne whistlebloweradministrator, men parterne må sådan som scenarierne er beskrevet som udgangspunkt anses for hver især at agere som selvstændige dataansvarlige.
Dog vil der i scenarie 2 kunne være tale om, at den eksterne whistebloweradministrator i relation til drift af IT-platformen agerer som databehandler for arbejdsgiveren, hvis arbejdsgiverens behandling af indberetningerne fortsætter i platformen, efter arbejdsgiveren har modtaget indberetningerne fra whistlebloweradministratoren. Hvis behandling i platformen i det væsentlige kun sker hos den eksterne whistlebloweradministrator, så vil der ikke foreligge en databehandlerkonstruktion mellem arbejdsgiveren og whistlebloweradministratoreren.
Ad scenarie 3
DLA Piper har om scenarie 3 beskrevet, at leverandøren alene stiller en IT-platform til rådighed for den arbejdsgiver, der etablerer whistleblowerordningen. Det er leverandøren, der driver (hoster) platformen. Platformen kan anvendes til at indberette overtrædelser, men det er arbejdsgiverens egne medarbejdere, der tilgår platformen og behandle indberetningerne (dvs. arbejdsgiveren forestår opgaverne selv).
Det er Datatilsynets opfattelse, at der i dette scenarie utvivlsomt vil være tale om en databehandlerkonstruktion mellem parterne, idet leverandøren leverer en ydelse, som primært består i, at leverandøren behandler (opbevarer mv.) personoplysninger på vegne af arbejdsgiveren selv.
[1] Lov nr. 1436 af 29. juni 2021
[2] Whistleblowerlovens §11, stk. 2.