Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger

IUNO
16/04/2018
Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger


Persondataforordningen, der træder 25. maj 2018, vil få stor betydning for virksomheder, der har eller overvejer at etablere en whistleblower-ordning, og det stiller høje krav til virksomhedens dataansvarlige. I nyhedsbrevet stiller vi skarpt på de nye regler, og på hvordan virksomhederne kan forberede sig.



Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.


Krav der videreføres


Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.

Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:

  • Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.

  • Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.

  • Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.

  • Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.

  • Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.



Nyt krav: Fortegnelse


Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.

Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.


Muligt krav: Konsekvensanalyse


Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.

Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.

Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.


IUNO mener


Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.

IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted