I denne artikelserie sætter CLEMENS fokus på den nye whistleblowerlov og de vigtigste fokuspunkter, virksomheder skal være opmærksomme på, når de skal implementere procedurer for at overholde whistleblowerloven.
I denne artikel sætter vi fokus på GDPR og whistleblowerordninger.
Har din virksomhed endnu ikke etableret en whistleblowerordning, eller har du spørgsmål til den nye whistleblowerlov, er du altid velkommen til at kontakte vores whistleblowerteam.
Du kan også læse mere om CLEMENS’ whistleblowerordning her.
Artikel nr. 12 – GDPR og whistleblowerordninger
Lovgrundlag
Det følger af GDPR, at behandling af personoplysninger forudsætter, at den dataansvarlige har et lovgrundlag.
For så vidt angår virksomheder med mere end 50 ansatte, indeholder whistleblowerloven en særregel, der kan udgøre det fornødne lovgrundlag.
I medfør af whistleblowerlovens § 22 kan offentlige myndigheder og private virksomheder behandle både almindelige personoplysninger, følsomme personoplysninger og oplysninger om strafbare forhold, hvis det er nødvendigt for at behandle en konkret indberetning, der er modtaget i forbindelse med en whistleblowerordning.
Kravet om nødvendighed indebærer, at arbejdsgiveren (den dataansvarlige) skal foretage en konkret vurdering af behovet for at behandle de konkrete personoplysninger, der modtages i forbindelse med en whistleblowerindberetning. Såfremt de modtagne personoplysninger ikke er nødvendige at behandle for at håndtere whistleblowerindberetningen, kan whistleblowerlovens § 22 ikke anvendes som lovgrundlag for behandlingen.
Det følger endvidere af Justitsministeriets vejledning om whistleblowerordninger for private virksomheder, at det er en betingelse for at anvende whistleblowerlovens § 22 som lovgrundlag, at whistleblowerordningen er oprettet i henhold til whistleblowerloven.
Det betyder, at en virksomhed der opretter en whistleblowerordning på frivilligt grundlag, ikke har hjemmel til at behandle personoplysninger efter whistleblowerlovens § 22, hvilket – efter Justitsministeriets opfattelse – medfører, at disse virksomheder ikke har hjemmel til at behandle personoplysninger omfattet af persondataforordningens art. 9 som led i whistleblowerordningen.
Øvrige tiltag som følge af GDPR
I tillæg til at arbejdsgiveren skal have et lovgrundlag for behandlingen af de personoplysninger, arbejdsgiveren måtte modtage som led i en whistleblowerindberetning, er det vigtigt, at arbejdsgiveren også er opmærksom på alle øvrige databeskyttelsesretlige aspekter, herunder at
- udarbejde retningslinjer for håndtering af whistleblowerindberetninger
- udarbejde fortegnelser over behandlingen af personoplysninger i forbindelse med whistleblowerordningen
- opfylde oplysningspligten over for whistleblowere og berørte personer, når det er påkrævet efter GDPR art. 13 og 14
- indgå en databehandleraftale med en eventuel leverandør af en whistleblowerportal
- have retningslinjer for håndteringen af de registreredes rettigheder i forbindelse med whistleblowerindberetninger
CLEMENS’ Whistleblowerordning
Har du spørgsmål til artiklen, eller har din virksomhed endnu ikke fået etableret en intern whistleblowerordningen, så tag endelig fat i CLEMENS’ whistleblowerteam.
CLEMENS’ whistleblowerordning er brugervenlig, fleksibel og hurtig at etablere. Med en effektiv og sikker håndtering af indberetninger sætter CLEMENS’ whistleblowerordning jer i stand til både hurtigt og diskret at få rettet op på uønskede forhold samt at forhindre potentielle økonomiske tab.
Når du vælger CLEMENS’ whistleblowerordning, slipper du for at bekymre dig om flere komplicerede regler, der kræver uddannelse af medarbejdere, et administrativt setup og unødig brug af interne ressourcer, ligesom du sikrer, at alle indberetninger bliver håndteret juridisk korrekt og rapporteret hurtigt og effektivt tilbage til virksomheden.
Du kan læse mere om CLEMENS’ whistleblowerordning her.