Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger

IUNO
16/04/2018
Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger


Persondataforordningen, der træder 25. maj 2018, vil få stor betydning for virksomheder, der har eller overvejer at etablere en whistleblower-ordning, og det stiller høje krav til virksomhedens dataansvarlige. I nyhedsbrevet stiller vi skarpt på de nye regler, og på hvordan virksomhederne kan forberede sig.



Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.


Krav der videreføres


Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.

Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:

  • Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.

  • Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.

  • Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.

  • Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.

  • Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.



Nyt krav: Fortegnelse


Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.

Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.


Muligt krav: Konsekvensanalyse


Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.

Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.

Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.


IUNO mener


Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.

IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her.
JURA § info logo
Søborg
Vandtårnsvej 62B
2860 Søborg
kontakt@jurainfo.dk
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Jobbørs
Uddannelsesjurist søges til Det Samfundsvidenskabelige Fakultet
Nyuddannede jurister til uddannelsesstilling
Jobcenter Varde søger 1 jura studentermedhjælper (genopslag)
Funktionsleder til Indkøb og Jura
Annoncér dit stillingsopslag her
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2022 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted