Whistleblower systemer - retningslinjer fra Datatilsynet
I de senere år har mange virksomheder indført såkaldte whistleblower systemer i form af f.eks. hotlines. Disse systemer giver medarbejdere mulighed for at rapportere om forhold i virksomheden. Datatilsynet er kommet med retningslinjer, der stiller krav til whistleblower systemer og krav om anmeldelse af dem.
Whistleblower systemer er blevet almindelige i internationale koncerner, bl.a. også hos de danske datterselskaber, ligesom de også er indført hos enkelte danske koncerner.
Datatilsynet har offentliggjort et sæt retningslinjer om indretningen og anvendelsen af disse systemer, se nærmere på Datatilsynets hjemmeside www.datatilsynet.dk.
Når en medarbejder vælger at "blæse i fløjten" via en hotline og f.eks. gør opmærksom på en mistanke om en lovovertrædelse foretaget af en kollega, vil dette indebære en indsamling og behandling af personoplysninger, som er reguleret af persondataloven.
Etableringen af et whistleblower system skal anmeldes på en særlig anmeldelsesblanket og godkendes af Datatilsynet, før systemet må tages i brug.
I retningslinjerne er det fastsat, hvem der i forskellige selskabskonstruktioner vil blive anset for dataansvarlig og databehandler, ligesom en lang række specifikke krav til indretning af systemet er beskrevet.
Datatilsynet har for nylig opdateret retningslinjerne i relation til, hvilke personer der kan foretage indberetning via et whistleblower system. Mens udgangspunktet er, at det alene er medarbejdere og bestyrelsesmedlemmer, der kan have adgang hertil, har man erkendt, at der kan være virksomheder, hvor det er nødvendigt, at også andre med tilknytning til virksomheden skal kunne foretage indberetning. Dette kan f.eks. være virksomhedens kunder og leverandører. Hvis whistleblower systemet er placeret på en virksomheds hjemmeside, skal det fremgå, hvilke personer der har adgang til at foretage en indberetning.
I koncernforhold et det typisk moderselskabet, der kontrollerer whistleblower systemet og dermed vil blive anset som dataansvarlig. Dele af databehandlingen i et sådant system kan også finde sted i et dansk datterselskab, da datterselskabet som regel vil være involveret i behandlingen, når en rapport involverer en dansk ansat, f.eks. i forbindelse med fremskaffelse af oplysninger til undersøgelse af rapporten og i forbindelse med, at der tages disciplinære skridt overfor medarbejderen.
Datterselskabet vil alene skulle indgive en anmeldelse til Datatilsynet vedrørende personale-administrationssystemet, hvori man oplyser om whistleblower systemet - en såkaldt HR-anmeldelse.
Hvis moderselskabet er etableret i et andet EU-land, vil det være dette lands regler, der gælder for dette selskab som dataansvarlig og dermed for selve whistleblower systemet.
Er moderselskabet etableret udenfor EU, vil selskabet skulle indgive en anmeldelse til Datatilsynet, hvor moderselskabet er anført som dataansvarlig.