Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Whistleblowerordninger

Ny fremgangsmåde ved anmeldelse af whistleblowerordninger i den private sektor

Datatilsynet har indført en ny og forenklet fremgangsmåde for anmeldelse af whistleblowerordninger. Der er udviklet to nye blanketter til standardanmeldelser.

Standardanmeldelserne indeholder en række punkter med tekst, som ikke kan redigeres. Teksterne bygger på, hvad der er accepteret i tilsynets praksis. Klik her for en beskrivelse af indholdet i standardanmeldelserne.

Ønsker man at ansøge om et andet indhold i de låste felter, er det stadig muligt selv at skrive sin anmeldelse ”fra bunden af” ved brug af en anmeldelsesblanket af typen ”Privat virksomhed”. I så fald må der imidlertid forventes en længere sagsbehandlingstid. Se Datatilsynets tilstræbte sagsbehandlingstider. Det bemærkes i den forbindelse, at sagsbehandlingstiden på anmeldelser af whistleblowerordninger erfaringsmæssigt ofte er en del længere end de tilstræbte 5 måneder.

Når virksomhederne benytter de nye standardanmeldelser, vil tilladelse fra Datatilsynet som udgangspunkt kunne forventes inden en måned – forudsat at virksomheden allerede har anmeldt sin personaleadministration til Datatilsynet og fået tilsynets tilladelse.

NB! Datatilsynet giver ikke tilladelse til whistleblowerordningen, før virksomhedens anmeldelse af personaleadministration er på plads, og tilladelse givet.

Du finder nærmere information om anmeldelse af personaleadministration på Datatilsynets hjemmeside. Gå til information om anmeldelse af personaleadministration.

Ved fremsendelsen af anmeldelsen af whistleblowerordningen bedes det i fremsendelsesmailen eller brevet oplyst, om virksomheden har anmeldt personaleadministration til Datatilsynet, samt tilsynets journalnummer.

Uanset hvilken anmeldelsesblanket der benyttes, er den dataansvarlige virksomhed i det hele forpligtet til at iagttage persondatalovens regler.

Virksomheders håndtering af personoplysninger i forbindelse med whistleblowerordninger

Oplysningspligt i forbindelse med whistleblowerordninger

Virksomheden er endvidere ansvarlig for, at der bliver truffet sikkerhedsforanstaltninger i overensstemmelse med Datatilsynets standardvilkår for whistleblowerordninger samt evt. supplerende vilkår fastsat af Datatilsynet.

Datatilsynets standardvilkår for whistleblowerordninger

NB! De nye standardanmeldelser er ikke tænkt til anvendelse i den finansielle sektor. Der anvendes fortsat de særlige retningslinjer, som findes her: Whistleblowerordninger på det finansielle område.

De to nye standardanmeldelser er:

WB1. Whistleblowerordning, hvor den dataansvarlige virksomhed er etableret i Danmark
Læs mere om, hvornår du skal bruge WB1
Gå direkte til blanketten WB1

WB2. Whistleblowerordning i en koncern, hvor den dataansvarlige virksomhed er etableret i et tredjeland
Læs mere om, hvornår du skal bruge WB2
Gå direkte til blanketten WB2

De punkter, der skal udfyldes i blanketterne:

For begge standardanmeldelser gælder, at virksomheden skal udfylde punkt 1, 6, 8 og 10.

I WB2-blanketten skal der endvidere tilføjes oplysninger til punkt 3.

Punkt 1. Dataansvarlig og databehandlere
I anmeldelsesblankettens punkt 1 skal anføres navnet på den dataansvarlige virksomhed. Når WB2 anvendes, skal der også udfyldes oplysninger om navn og adresse på den dataansvarliges repræsentant i Danmark.

Endvidere skal anføres navn og adresse på eventuelle databehandlere (herunder også såkaldte underdatabehandlere).

Ofte vil en del af håndteringen (f.eks. modtagelsen) af indberetningerne i ordningen være henlagt til en virksomhed med særlig ekspertise på området. Hvis den praktiske håndtering af opgaverne i forbindelse med whistleblowerordningen er overladt til en ekstern virksomhed, skal denne altid stå anført som databehandler i anmeldelsen.

Hvis der tillige er tale om en situation, hvor et moderselskab er databehandler for datterselskaberne i koncernen, vil den eksterne virksomhed med særlig ekspertise eventuelt blive betragtet som en såkaldt underdatabehandler. Både moderselskabet og den eksterne virksomhed skal i så fald være påført som databehandlere.

Punkt 6. Tredjelande
I anmeldelsesblankettens punkt 6 angives, om der planlægges overført oplysninger til tredjelande, dvs. lande uden for EU, som ikke har gennemført aftaler med EU om implementering af det direktiv, der ligger til grund for lov om behandling af personoplysninger. Kun de regelmæssige overførsler angives og ikke eventuelle enkeltstående overførsler.

Ved enhver overførsel af personoplysninger til et tredjeland, skal de særlige regler i persondatalovens § 27 for overførsel af oplysninger til tredjelande være overholdt. I visse tilfælde kræver sådanne overførsler endvidere tilladelse fra Datatilsynet, jf. lovens § 50, stk. 2.

Læs mere om overførsel af personoplysninger til tredjelande

I blanketten er der svarmuligheder, som skal anvendes til beskrivelse af, på hvilket grundlag overførslerne vil ske.

I de tilfælde, hvor WB2 anvendes, er den dataansvarlige selv etableret i et tredjeland. Her ønsker Datatilsynet i punkt 6 angivet, om der sker overførsler til andre virksomheder i tredjelande (end den dataansvarlige), og i givet fald grundlaget herfor.

Punkt 8. Påbegyndelse
I anmeldelsesblankettens punkt 8 anføres tidspunktet for påbegyndelse af behandlingen.

Det er tidspunktet for den påtænkte påbegyndelse af behandlingen, der skal angives, og ikke tidspunktet for beslutningen om at iværksætte behandlingen.

Opmærksomheden henledes på, at behandlingen ikke må iværksættes, før Datatilsynets tilladelse foreligger.

Punkt 10. Udfyldt af
I anmeldelsesblankettens punkt 10 anføres navnet på den person i virksomheden, der er ansvarlig for anmeldelsen, samt dato. Datatilsynet stiller ikke krav om en fysisk underskrift.

I standardanmeldelserne er teksten i følgende punkter ”låst” og kan ikke udfyldes individuelt:

Punkt 2. Betegnelse og formål
Punkt 3. Generel beskrivelse
(i WB2 tilføjes dog oplysninger om de berørte danske datterselskaber)
Punkt 4. Kategorierne af registrerede og oplysningstyper
Punkt 5. Modtagere
Punkt 7. Sikkerhed
Af punkt 7 om sikkerhed fremgår standardmæssigt følgende:
”Der vil blive truffet sikkerhedsforanstaltninger i overensstemmelse med Datatilsynets standardvilkår for whistleblowerordninger samt evt. supplerende vilkår fastsat af Datatilsynet.”

Yderligere oplysninger:

Blanketter til whistleblowerordninger

Virksomheders håndtering af personoplysninger i forbindelse med whistleblowerordninger

Oplysningspligt i forbindelse med whistleblowerordninger
Datatilsynet standardvilkår for whistleblowerordninger

Whistleblowerordninger på det finansielle område