Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger

IUNO
16/04/2018
504
Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger
IUNO logo


Persondataforordningen, der træder 25. maj 2018, vil få stor betydning for virksomheder, der har eller overvejer at etablere en whistleblower-ordning, og det stiller høje krav til virksomhedens dataansvarlige. I nyhedsbrevet stiller vi skarpt på de nye regler, og på hvordan virksomhederne kan forberede sig.



Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.


Krav der videreføres


Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.

Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:

  • Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.

  • Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.

  • Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.

  • Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.

  • Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.



Nyt krav: Fortegnelse


Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.

Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.


Muligt krav: Konsekvensanalyse


Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.

Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.

Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.


IUNO mener


Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.

IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 29.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Nu bliver det nemmere at optage telefonsamtaler
Nu bliver det nemmere at optage telefonsamtaler
01/12/2020
Persondata
Internationale overførsler - Nye Standard Contractual Clauses i høring
Internationale overførsler - Nye Standard Contractual Clauses i høring
17/11/2020
Persondata
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
Nye EU-anbefalinger om internationale overførsler af personoplysninger – hvad gælder nu?
13/11/2020
Persondata
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
Ansvarsmaksimering for tredjemands databeskyttelsesretlige krav i it-kontrakter - to do or not to do?
11/11/2020
Persondata
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
Virksomhed kritiseret for behandling af oplysninger om opsagt medarbejder
04/11/2020
Persondata, Ansættelses- og arbejdsret
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
Hvilke kontrolforanstaltninger må du bruge over for dine medarbejdere?
30/10/2020
Persondata, Ansættelses- og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted