Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger

IUNO
16/04/2018
Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger
IUNO logo


Persondataforordningen, der træder 25. maj 2018, vil få stor betydning for virksomheder, der har eller overvejer at etablere en whistleblower-ordning, og det stiller høje krav til virksomhedens dataansvarlige. I nyhedsbrevet stiller vi skarpt på de nye regler, og på hvordan virksomhederne kan forberede sig.



Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.


Krav der videreføres


Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.

Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:

  • Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.

  • Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.

  • Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.

  • Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.

  • Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.



Nyt krav: Fortegnelse


Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.

Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.


Muligt krav: Konsekvensanalyse


Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.

Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.

Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.


IUNO mener


Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.

IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.









Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Hvordan sikrer du en passende sikkerhed på din hjemmeside i henhold til GDPR?
Hvordan sikrer du en passende sikkerhed på din hjemmeside i henhold til GDPR?
12/05/2021
Persondata
EU: Nye regler om kunstig intelligens på vej
EU: Nye regler om kunstig intelligens på vej
07/05/2021
Øvrige, IT- og telekommunikation, Persondata
GDPR-håndhævelse: Danmarks første GDPR-dom
GDPR-håndhævelse: Danmarks første GDPR-dom
04/05/2021
Persondata
Forbruger­ombudsmanden reagerer på urimelige vilkår for dataindsamling
Forbruger­ombudsmanden reagerer på urimelige vilkår for dataindsamling
04/05/2021
Persondata, E-handel og markedsføring
Seneste nyt fra Det Europæiske Data­beskyttelsesråd
Seneste nyt fra Det Europæiske Data­beskyttelsesråd
04/05/2021
Persondata
Pligten til at rapportere passagerdata fortsætter på ubestemt tid
Pligten til at rapportere passagerdata fortsætter på ubestemt tid
20/04/2021
Transportret, Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted