Journalnummer: 2006-42-1061
I henhold til lov om behandling af personoplysninger (persondataloven) § 48 har Vestas Wind Systems A/S den 16. maj 2006 anmeldt behandlingen “Whistleblower Funktion” til Datatilsynet, samt ansøgt om tilladelse i henhold til lovens § 50, stk. 1, nr. 1, og § 50, stk. 2.
Det fremgår herefter af sagen, at Vestas Wind Systems A/S er dataansvarlig for de oplysninger, der indhentes og registreres om ledere og ansatte i Vestas Wind Systems A/S’ whistleblower funktion.
Vestas Wind Systems A/S har oplyst, at virksomheden ser det som en nødvendighed at etablere en whistleblower-funktion som et led i at sikre, at Vestas agerer som en troværdig og ansvarlig samarbejdspartner overfor forretningsforbindelser og det omgivende globale samfund.
Behandlingens formål er ifølge anmeldelsen at sikre, at oplysninger omkring potentielle ulovligheder og uregelmæssigheder i virksomheden hurtigt og fortroligt bliver behandlet af de relevante personer. Vestas har oplyst, at en medarbejder i de fleste tilfælde vil bruge de normale kommunikationsveje, hvis vedkommende bliver bekendt med ulovligheder eller uetiske handlinger. Dog kan medarbejderen blive i tvivl om, hvorvidt en kollega eller en leder er bekendt og indforstået med disse ulovlige eller uetiske handlinger, f.eks. hvis dette på kort sigt kan give en gevinst. Sådanne handlinger kan f.eks. være bestikkelse, afpresning, svindel med regnskaber, forurening af miljøet eller brug af børnearbejde. I disse tilfælde har virksomheden brug for en whistleblowerfunktion til at sikre, at handlingerne indrapporteres, uden at medarbejderen behøver at frygte en reaktion, og således at Vestas snarest muligt kan få forholdene bragt i orden.
Det fremgår af den generelle beskrivelse af behandlingen, at oplysningerne indsamles via telefonopkald eller e-mails til databehandleren Ethics Point. Anmelderen vælger selv, om vedkommende vil være anonym eller ej. Databehandleren indtaster herefter oplysningerne i en database og orienterer via en rapport præsidenten for Vestas-divisionen V om, at der er modtaget en anmeldelse. Direktøren har herefter adgang til oplysningerne i databasen og vurderer, om der skal iværksættes en undersøgelse. En sådan undersøgelse kan eventuelt delegeres til en særligt uddannet sagsbehandler.
Består rapporten af en forespørgsel, vil denne blive besvaret umiddelbart efter henvendelsen. Er der tale om en anmeldelse, der giver anledning til iværksættelse af en undersøgelse, vil der eventuelt blive indsamlet yderligere oplysninger til brug for sagen. Alle sager vil blive behandlet af præsidenten for Vestas-divisionen V, medmindre anmeldelsen vedrører præsidenten eller ledere på samme niveau. Disse sager vil blive behandlet af direktionen. Anmeldelser vedrørende direktionen og bestyrelsen vil blive behandlet af bestyrelsesformanden, og anmeldelser vedrørende sidstnævnte vil blive behandlet af en ekstern advokat.
Er der tvivl om, hvilket udfald en sag bør have, kan sagens problemstilling forelægges en særlig komité, der er udpeget til at afklare Vestas Wind Systems A/S’ holdning i tvivlssituationer. Komitéen vil ikke behandle sager på personniveau.
Behandlingen omfatter identifikationsoplysninger om ansatte, der anmelder eller spørger til et forhold i virksomheden. Såfremt anmelderen har valgt at være anonym, tildeles vedkommende et password til en særlig mailbox, hvor Vestas Wind Systems A/S har mulighed for at sende beskeder til den pågældende, f.eks. hvis man har brug for flere oplysninger til sagen.
For så vidt angår personer, der anmeldes via whistleblower funktionen, omfatter behandlingen identifikationsoplysninger samt eventuelt oplysninger om overtrædelse af interne eller eksterne retningslinier og oplysninger om strafbare forhold.
Oplysningerne skal endvidere behandles af databehandleren Ethics Point, der er etableret i USA. Vestas Wind Systems A/S har oplyst, at Ethics Point har specialiseret sig i drift af whistleblower funktioner, samt at virksomheden er tilmeldt Safe Harbor ordningen.
Om sikkerhedsforanstaltningerne er det oplyst, at oplysninger i databasen opbevares krypteret. Tillige foregår al transmission af oplysninger mellem det telefoniske og elektroniske anmeldelsessystem og databasen, samt mellem databasen og Vestas Wind Systems A/S, krypteret. Kun præsidenten for Vestas-divisionen V har adgang til oplysningerne i databasen via et personligt password. Såfremt behandling af en sag uddelegeres til en sagsbehandler, tildeles denne et midlertidigt password, der kun giver adgang til oplysningerne i den pågældende sag. Alle opslag i databasen logges.
Vestas Wind Systems A/S har oplyst, at oplysningerne, hvis en anmeldelse viser sig grundløs, vil blive slettet straks. Såfremt en sag efterforskes af Vestas Wind Systems A/S, men ikke fører til politianmeldelse eller disciplinære sanktioner, vil oplysningerne blive slettet straks efter sagens afslutning. Foretages der politianmeldelse, opbevares oplysningerne, indtil politiet har afsluttet sagen. Såfremt Vestas Wind Systems A/S på baggrund af de indsamlede oplysninger gennemfører en disciplinær sanktion over for den anmeldte medarbejder, vil oplysningerne blive opbevaret i op til 5 år i den pågældendes personalemappe. Afskediges den pågældende, opbevares oplysningerne i 5 år efter afskedigelsen. Oplysninger i databasen slettes altid ved sagens afslutning.
Persondatalovens behandlingsregler
Datatilsynet gør opmærksom på, at persondataloven i forhold til private virksomheder omfatter behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og ikke-elektronisk behandling af personoplysninger, der er eller vil blive indeholdt i et register, jf. § 1, stk. 1. Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forlanges unddraget offentligheden, jf. § 1, stk. 2.
Ikke-følsomme oplysninger
Persondatalovens § 6, stk. 1, indeholder forskellige regler for, hvornår registrering, videregivelse og anden behandling af ikke-følsomme oplysninger, såsom navn og adresse, må ske.
Efter § 6, stk. 1, nr. 1, må behandling finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil. De nærmere krav til et sådant samtykke findes i lovens § 3, nr. 8, se nedenfor.
Efter § 6, stk. 1, nr. 7, må behandling finde sted, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse og hensynet til den registrerede ikke overstiger denne interesse.
En betingelse for at kunne anvende denne bestemmelse er, at den dataansvarlige har foretaget en vurdering af, hvorvidt hensynet til den registreredes interesser overstiger hensynet til de interesser, der ønskes forfulgt med behandlingen, og at denne vurdering falder ud til fordel for de interesser, der ønskes forfulgt. Den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, vil også kunne forfølge andre end deres egne interesser. En forudsætning herfor er dog, at der er tale om andres berettigede interesser.
Vurderingen af behandlingens nødvendighed afhænger af, hvilken form for behandling, der er tale om. Det vil således skulle vurderes separat, om det er nødvendigt, at oplysninger indsamles, registreres, videregives, m.v. Der vil endvidere skulle henses til, hvilken type oplysninger der er tale om.
Det er Datatilsynets umiddelbare vurdering, at de oplysninger af ikke-følsom karakter, som indsamles af Vestas Wind Systems A/S via whistleblower funktionen, normalt må registreres af selskabet i medfør af lovens § 6, stk. 1, nr. 7.
Følsomme oplysninger
Oplysninger om helbredsmæssige forhold samt andre følsomme oplysninger, som f.eks. oplysninger om fagforeningsmæssige tilhørsforhold må efter lovens § 7, stk. 1, som udgangspunkt ikke behandles.
Efter § 7, stk. 2, nr. 1, må behandling af sådanne følsomme oplysninger dog ske, hvis den registrerede har givet sit udtrykkelige samtykke til behandlingen.
Det følger af § 7, stk. 2, nr. 4, at behandling endvidere kan ske, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
Datatilsynet har noteret sig, at det efter det oplyste ikke er tilsigtet at behandle oplysninger omfattet af § 7 i whistleblower systemet.
Oplysninger om strafbare forhold og andre rent private forhold må behandles af private, hvis den registrerede har givet sit udtrykkelige samtykke hertil, jf. § 8, stk. 4. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse og denne interesse overstiger hensynet til den registrerede.
Det følger endvidere af § 8, stk. 6, at behandling af oplysninger omfattet af § 8, stk. 4, i øvrigt kan finde sted, hvis betingelserne i § 7 er opfyldt.
Det er Datatilsynets opfattelse, at eksempelvis behandling af oplysninger om fratrædelsesårsag i visse tilfælde kan være omfattet af § 8, stk. 4.
Det fremgår af persondatalovens forarbejder, at lovens § 8, stk. 4, tilsigter at videreføre retstilstanden efter lov om private registre m.v. Bestemmelsen opstiller derfor meget snævre rammer for, hvornår der kan ske registrering af følsomme personoplysninger uden samtykke. Det fremgår endvidere af forarbejderne, at bestemmelsen i lighed med den gældende retstilstand giver mulighed for, at en virksomhed kan registrere oplysninger om strafbare forhold med henblik på indgivelse af politianmeldelse og eventuel senere afgivelse af vidneforklaring i retten. Oplysningerne skal dog destrueres snarest muligt, jf. lovens § 5, stk. 5.
Det kan således ikke anses for stridende imod persondatalovens § 8, stk. 4, at en virksomhed uden samtykke indsamler og registrerer oplysninger om strafbare forhold, når dette sker med henblik på politianmeldelse og/eller senere vidneforklaring i retten. Oplysningerne skal dog destrueres snarest muligt, det vil sige senest, når sagen er afsluttet hos politiet eller domstolene.
Det er Datatilsynets umiddelbare vurdering, at oplysninger om strafbare forhold i Vestas Wind Systems A/S’ whistleblower funktion kan behandles af selskabet med henblik på overvejelse af, hvorvidt der skal indgives politianmeldelse mod den pågældende person, jf. persondatalovens § 8, stk. 4.
For så vidt angår oplysninger om fratrædelsesårsag, i det omfang sådanne oplysninger må betragtes som § 8-oplysninger, følger det af § 7, stk. 2, nr. 4, jf. § 8, stk. 6, at behandling af følsomme oplysninger kan ske, hvis behandlingen er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares.
Det fremgår af lovens forarbejder, at bestemmelsen omhandler såvel behandling, der sker i den dataansvarliges interesse, som behandling, der sker i den registreredes interesse.
I det omfang registrering af oplysning om fratrædelsesårsag således er nødvendig med henblik på at fastlægge et retskrav, gøre et retskrav gældende eller forsvare et retskrav, vil bestemmelsen i persondatalovens § 7, stk. 2, nr. 4, ligeledes kunne danne grundlag for behandlingen, jf. § 8, stk. 6.
Anden behandling af følsomme oplysninger vil udelukkende kunne ske med den registreredes udtrykkelige samtykke.
Generelle principper
Behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende principper, som er indeholdt i lovens § 5.
Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.
Datatilsynet har noteret sig og lægger vægt på, at Vestas Wind Systems A/S’ medarbejdere forud for implementeringen af virksomhedens whistleblower funktion informeres generelt om systemets funktion og indretning samt de nærmere omstændigheder ved en eventuel indsamling af oplysninger, jf. herved kravet i § 5, stk. 1.
Af § 5, stk. 2, følger, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Det er således Datatilsynets opfattelse, at whistleblower funktionen tjener et sagligt formål, herunder ved at skabe faste og kontrollerede rammer for medarbejderes indrapportering af uregelmæssigheder i virksomheden.
Oplysninger, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål, hvortil oplysningerne senere behandles, jf. § 5, stk. 3.
Af lovens § 5, stk. 4, følger, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
Datatilsynet skal i den forbindelse henstille, at Vestas Wind Systems A/S i forbindelse med en anmeldelse og eventuel undersøgelse af en medarbejder nøje overvejer, hvilke oplysninger der er nødvendige for at behandle sagen og i den sammenhæng sikrer, at der ikke behandles unødvendige eller urigtige oplysninger om medarbejderen.
Det følger endvidere af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles. Det er Datatilsynets vurdering, at de sletterutiner, som Vestas Wind Systems A/S har beskrevet i sin anmeldelse, lever op til persondatalovens krav.
Persondatalovens krav til samtykke
I persondatalovens § 3, nr. 8, er den registreredes samtykke defineret som enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Et samtykke skal således meddeles i form af en viljestilkendegivelse fra den registrerede. Heraf følger, at et samtykke som udgangspunkt skal meddeles af den registrerede selv. Der er dog intet til hinder for, at et samtykke meddeles af en person, som af den registrerede er meddelt fuldmagt hertil.
Der gælder ikke noget formkrav til et samtykke. Der kan således være tale om såvel skriftligt som mundtligt samtykke fra den registrerede, ligesom samtykket også vil kunne gives digitalt. Da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, må det dog anbefales, at et samtykke i videst muligt omfang afgives skriftligt.
Herudover skal der være tale om et specifikt samtykke. I kravet herom ligger, at et samtykke skal være konkretiseret i den forstand, at det klart og utvetydigt fremgår, hvad det er, der meddeles samtykke til. Det skal således af et meddelt samtykke fremgå, hvilke typer af oplysninger der må behandles, hvem der kan foretage behandling af oplysninger om den samtykkende, og til hvilke formål behandlingen kan ske.
Endelig skal samtykket være informeret i den forstand, at den samtykkende skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den dataansvarlige må således sikre sig, at der gives den registrerede tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke bør meddeles.
Den registrerede kan på et hvilket som helst tidspunkt tilbagekalde et samtykke, jf. § 38. Virkningen heraf vil i givet fald være, at den behandling af oplysninger, som den registrerede tidligere har meddelt sit samtykke til, ikke længere må finde sted. Derimod kan den registrerede ikke tilbagekalde sit samtykke med tilbagevirkende kraft.
Oplysningspligt
Ifølge persondatalovens § 28, stk. 1, skal den dataansvarlige eller dennes repræsentant ved indsamling af oplysninger hos den registrerede give den registrerede meddelelse om den dataansvarliges eller dennes repræsentants identitet og formålene med den behandling, hvortil oplysningerne er bestemt. Der skal endvidere gives meddelelse om alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser, som f.eks. kategorierne af modtagere, om det er obligatorisk eller frivilligt at besvare stillede spørgsmål samt mulige følger af ikke at svare og oplysninger om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Det følger af § 28, stk. 2, at bestemmelsen i stk. 1 ikke gælder, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger.
I tilfælde, hvor oplysninger ikke er indsamlet hos den registrerede, følger det af lovens § 29, stk. 1, at det påhviler den dataansvarlige eller dennes repræsentant ved registreringen, eller hvor de indsamlede oplysninger er bestemt til videregivelse til tredjemand, senest når videregivelsen finder sted, at give den registrerede meddelelse om den dataansvarliges eller dennes repræsentants identitet samt formålet med behandlingen. Den dataansvarlige skal endvidere give meddelelse om alle yderligere oplysninger, der efter forholdets særlige omstændigheder er nødvendige for, at den registrerede kan varetage sine interesser, herunder f.eks. indsamlede oplysningstyper, kategorier af eventuelle modtagere af oplysningerne og oplysninger om reglerne om indsigt i og om berigtigelse af de oplysninger, der vedrører den registrerede.
Bestemmelsen i § 29, stk. 1, gælder dog ikke, hvis den registrerede allerede er bekendt med de i nr. 1-3 nævnte oplysninger, jf. stk. 2, eller hvis underretning af den registrerede viser sig umulig eller er uforholdsmæssigt vanskelig, jf. stk. 3.
Pligten til at give meddelelse efter persondatalovens § 29, stk. 1, indtræder ”ved registreringen”. Det fremgår af Datatilsynets rettighedsvejledning, at hvilken tidsfrist, der kan indlægges i begrebet ”ved registreringen”, afhænger af sagens nærmere omstændigheder. Den dataansvarlige skal dog altid – vurderet i forhold til den indsats der kræves fra den dataansvarliges side for at opfylde oplysningspligten – give den registrerede meddelelse så tidligt som muligt. Hvis den dataansvarlige allerede på selve registreringstidspunktet ved, at der i løbet af ganske kort tid herefter skal rettes henvendelse til den registrerede, f.eks. fordi den dataansvarlige skal forelægge sagens dokumenter for den registrerede, eller skal foretage andre sagsbehandlingsskridt, vil oplysningspligten som altovervejende hovedregel kunne opfyldes med den senere henvendelse. I øvrigt vil oplysningspligten i almindelighed skulle opfyldes inden for 10 dage efter registreringen.
Datatilsynet går umiddelbart ud fra, at undtagelserne i § 29, stk. 2 og stk. 3, normalt ikke kan finde anvendelse.
Persondatalovens § 30 indeholder yderligere undtagelser til reglerne om oplysningspligt. Det følger således af § 30, stk. 1, at der ikke skal gives meddelelse efter § 28, stk. 1, og § 29, stk. 1, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til private interesser, herunder hensynet til den pågældende selv.
Ifølge § 30, stk. 2, kan der tillige gøres undtagelse fra hovedreglen om underretning, hvis den registreredes interesse i at få kendskab til oplysningerne findes at burde vige for afgørende hensyn til offentlige interesser, herunder navnlig til:
- statens sikkerhed,
- forsvaret,
- den offentlige sikkerhed,
- forebyggelse, efterforskning, afsløring og retsforfølgning i straffesager eller i forbindelse med brud på etiske regler for lovregulerede erhverv,
- væsentlige økonomiske eller finansielle interesser hos en medlemsstat eller Den Europæiske Union, herunder valuta-, budget- og skatteanliggender, og
- kontrol-, tilsyns- eller reguleringsopgaver, herunder opgaver af midlertidig karakter, der er et led i den offentlige myndighedsudøvelse på de i nr. 3-5 nævnte områder.
Datatilsynet skal gøre opmærksom på, at en undladelse af underretning af den registrerede efter begge de nævnte bestemmelser i § 30 kræver en konkret afvejning af de modstående interesser, som er anført. Afvejningen skal foretages for hver enkelt oplysning for sig. Med udtrykket ”afgørende hensyn” er det tilkendegivet, at undtagelse fra oplysningspligten kun kan gøres, hvor der er nærliggende fare for, at privates eller offentliges interesser vil lide skade af væsentlig betydning.
Datatilsynet skal endvidere henlede opmærksomheden på, at Vestas Wind Systems A/S skal iagttage persondatalovens regler om oplysningspligt i relation til personer, hvorom der registreres oplysninger på grundlag af en anmeldelse gennem whistleblower funktionen. Dette gælder både anmeldere og personer, der anmeldes for forhold.
Datasikkerhed
Lovens kapitel 11 indeholder regler om behandlingssikkerhed. Af § 41, stk. 3, følger det, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Datatilsynet skal anbefale, at Vestas Wind Systems A/S i videst muligt omfang tilrettelægger sine sikkerhedsforanstaltninger i overensstemmelse med Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning.
Datatilsynet har noteret sig, at oplysninger i databasen opbevares og transmitteres krypteret, samt at adgang til oplysninger foregår ved brug af et personligt password, og at alle opslag i databasen logges. Desuden har kun en meget begrænset personkreds adgang til oplysningerne.
Overførsel til tredjelande
Det følger af persondatalovens § 27, stk. 1, at der kun må overføres oplysninger til et tredjeland, såfremt dette land sikrer et tilstrækkeligt beskyttelsesniveau, jf. dog stk. 3.
Af lovens forarbejder fremgår, at der ved udtrykket ”overførsel” skal forstås såvel videregivelse som overladelse af oplysninger til modtagere i tredjelande. Ved videregivelse forstås overførsel af oplysninger til enhver anden end den registrerede, den dataansvarlige, databehandleren og personer under den dataansvarliges og databehandlerens direkte myndighed. Ved overladelse forstås overførsel af oplysninger til en databehandler eller personer under databehandlerens direkte myndighed. Endelig omfatter udtrykket den dataansvarliges interne anvendelse af oplysningerne. Udtrykket overførsel er således en samlet betegnelse for videregivelse og overladelse/intern anvendelse af oplysninger.
Idet oplysningerne i det konkrete tilfælde transmitteres til en databehandler etableret uden for EU, og derved gøres tilgængelig for personer, der befinder sig i et land uden for EU, er det Datatilsynets vurdering, at den beskrevne overførsel er omfattet af persondatalovens § 27.
Af § 27, stk. 2, fremgår, at vurderingen af, om beskyttelsesniveauet i et tredjeland er tilstrækkeligt, sker på baggrund af samtlige de forhold, der har indflydelse på overførslen, herunder navnlig oplysningernes art, behandlingens formål og varighed, oprindelseslandet og det endelige bestemmelsesland, samt de retsregler, regler for god forretningsskik og sikkerhedsforanstaltninger, som gælder i tredjelandet.
Europa-Kommissionen har besluttet, at følgende lande er at betragte som sikre tredjelande: Argentina, Canada (begrænset område), Schweiz, Guernsey og Isle of Man. Kommissionen har endvidere besluttet, at virksomheder, der er tilmeldt den såkaldte Safe Harbor ordning, er at betragte som virksomheder i et sikkert tredjeland.
Yderligere er der i § 27, stk. 3, listet en række undtagelser til bestemmelsen i § 27, stk. 1. Herefter kan overførsel bl.a. ske med den registreredes udtrykkelige samtykke, jf. stk. 3, nr. 1, eller hvis overførslen er nødvendig af hensyn til opfyldelsen af en aftale mellem den registrerede og den dataansvarlige, jf. stk. 3, nr. 2.
Af § 50, stk. 2, fremgår bl.a., at ved overførsel af oplysninger som nævnt i stk. 1, dvs. f.eks. følsomme oplysninger omfattet af lovens §§ 7 og 8 eller oplysninger til bedømmelse af økonomisk soliditet og kreditværdighed, til tredjelande i medfør af § 27, stk. 1, og stk. 3, nr. 2-4, skal Datatilsynets tilladelse indhentes til overførslen.
Datatilsynet har noteret sig, at overførslen sker til Ethics Point, der er tilmeldt Safe Harbor ordningen, jf. § 27, stk. 1.
Datatilsynet skal endvidere henlede opmærksomheden på § 27, stk. 5, hvorefter reglerne i persondataloven i øvrigt finder anvendelse ved overførsel af oplysninger til tredjelande efter stk. 1, 3 og 4. Dette betyder bl.a., at hvis der er tale om videregivelse, f.eks. til et andet selskab inden for samme koncern, skal der være hjemmel hertil i behandlingsreglerne i lovens kapitel 4.
Konklusion
Idet Datatilsynet forudsætter, at Vestas Wind Systems A/S iagttager persondatalovens regler, er tilsynet herefter indstillet på at meddele tilladelse til behandlingen “Whistleblower Funktion” i henhold til persondatalovens § 50, stk. 1, nr. 1, og stk. 2.
Datatilsynet skal henlede opmærksomheden på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2. Beløbet bedes indbetalt til Jyske Bank, Vesterbrogade 9, 1780 København, reg.nr. 8109 kontonummer 1009563. De bedes i den forbindelse henvise til Datatilsynets journalnummer (se forsiden af dette brev), således at Datatilsynet kan identificere Deres indbetaling.
Endelig tilladelse vil blive udstedt, når Datatilsynet har modtaget betaling.
For en god ordens skyld vedlægges et eksemplar af den tilrettede anmeldelsesblanket, idet Datatilsynet efter aftale med A har foretaget rettelser i anmeldelsen.
Datatilsynet skal afslutningsvis oplyse, at persondataloven med tilhørende bekendtgørelser og vejledninger kan læses og hentes på Datatilsynets hjemmeside www.datatilsynet.dk under punktet “lovgivning”.
Datatilsynet skal beklage den lange sagsbehandlingstid, der skyldes stor travlhed i tilsynet.