Bliv klar til den nye persondataforordning – Del 4: Whistleblower-ordninger
Persondataforordningen, der træder 25. maj 2018, vil få stor betydning for virksomheder, der har eller overvejer at etablere en whistleblower-ordning, og det stiller høje krav til virksomhedens dataansvarlige. I nyhedsbrevet stiller vi skarpt på de nye regler, og på hvordan virksomhederne kan forberede sig.
Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.
Krav der videreføres
Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.
Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:
- Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.
- Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.
- Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.
- Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.
- Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.
Nyt krav: Fortegnelse
Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.
Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.
Muligt krav: Konsekvensanalyse
Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.
Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.
Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.
IUNO mener
Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.
IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.
Med den nye persondataforordning afskaffes den generelle anmeldelsespligt til Datatilsynet. Virksomheder skal derfor ikke længere anmelde deres whistleblower-ordninger. Det betyder dog ikke, at alle krav til ordningerne bortfalder.
Krav der videreføres
Datatilsynet har i forbindelse med de eksisterende regler, formuleret en række krav til whistleblower-ordninger, som skal opfyldes for at blive godkendt af Datatilsynet. En række af disse krav bygger på almindelige principper for god databehandlingsskik, saglighed og proportionalitet, som videreføres med de nye regler.
Virksomheden skal altså i fremtiden blandt andet selv sørge for, at whistleblower-ordningen lever op til følgende krav:
- Alene personer med tilknytning til virksomheden kan foretage en indberetning, og der kan kun indberettes oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, leverandører m.fl.
- Der kan kun indberettes tilfælde af eller mistanke om alvorlige forseelser, der kan have betydning for virksomheden som helhed eller for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, alvorlige brud på arbejdssikkerheden eller alvorlige forhold, der retter sig mod en ansat, såsom vold eller seksuelle overgreb.
- Mindre forseelser kan ikke indberettes. I disse tilfælde skal de normale kommunikationsveje benyttes, f.eks. ved overtrædelse af virksomhedens interne retningslinjer.
- Adgang til ordningen skal begrænses til en uafhængig enhed, der modtager indberetningerne, og der stilles krav til træning af de medarbejdere, der skal håndtere oplysningerne.
- Virksomheden skal desuden opfylde krav til datasikkerhed og udarbejde interne retningslinjer om sikkerhedsforanstaltninger, der skal gennemgås mindst én gang om året.
Nyt krav: Fortegnelse
Med persondataforordningen erstattes anmeldelsespligten med en pligt for den dataansvarlige og databehandleren til fremover at føre interne fortegnelser over alle databehandlingsaktiviteter. Kravet binder også mindre virksomheder med whistleblower-ordninger, fordi behandlingsaktiviteterne vedrører følsomme oplysninger.
Fortegnelsen skal beskrive behandlingens karakter, omfang, sammenhæng, formål og sandsynlighed for risici forbundet med aktiviteten. Det skal sikre, at virksomheden faktisk kan vise, at whistleblower-ordningen administreres i overensstemmelse med forordningens regler. I princippet betyder det, at virksomheden skal opbevare dokumentation for enhver behandlingsaktivitet.
Muligt krav: Konsekvensanalyse
Generelt anbefaler Datatilsynet, at virksomheder udarbejder en konsekvensanalyse i forbindelse med indførelse af nye systemer og behandlingsaktiviteter. Forordningen kræver kun, at analysen udføres, når der er en ”høj risiko” for, at behandlingen kan krænke datasubjektets rettigheder. Det fremgår ikke klart af de nye regler og vejledninger, om whistleblower-ordninger automatisk medfører en sådan risiko.
Det fremgår, at en ”høj risiko” først og fremmest kan opstå, hvis virksomheden bruger ny teknologi i deres behandlingsaktiviteter. Men selvom det ikke er tilfældet, vil en whistleblower-ordning sandsynligvis alligevel kræve, at virksomheden laver en konsekvensanalyse, fordi en række elementer i behandlingsaktiviteterne tilsammen udgør en ”høj risiko”. Det skyldes, at Whistleblower-ordninger medfører behandling af følsomme oplysninger, der er rettet mod medarbejdere, der efter reglerne må anses som en udsat gruppe. Virksomheden skal derudover være opmærksom på, at grænseoverskridende dataoverførsler til tredjelande eller anonyme whistleblower-ordninger vil øge risikoen og betyde, at en konsekvensanalyse bør udføres.
Samlet set er det derfor sandsynligt, at myndighederne vil stille et krav om udarbejdelse af en konsekvensanalyse ved etablering af whistleblower-ordninger. For eksisterende ordninger er der ikke umiddelbart noget krav om en ny konsekvensanalyse, men efter reglerne skal virksomheden revurdere sin risikoanalyse hvert tredje år, og dette krav vil sandsynligvis ramme virksomheder med eksisterende whistleblower-ordninger.
IUNO mener
Anmeldelsespligten erstattes af en række nye krav, der er i overensstemmelse med forordningens overordnede princip om ”data protection by design”. Det er derfor i høj grad op til virksomhederne selv at sikre, at de nye regler indarbejdes og overholdes – og ikke mindst at dette kan dokumenteres. Med de nye krav om fortegnelse og konsekvensanalyse, er lettelsen af den økonomiske og administrative byrde for virksomhederne ved ikke længere at skulle anmelde whistleblower-ordninger dog svær at få øje på, fordi de nye krav også medfører meget administrativt arbejde for virksomhederne.
IUNO anbefaler, at virksomheder, som et led i deres behandlingsprocedure, laver en grundig vurdering af, om deres whistleblower-ordningerne lever op til de nye regler, særligt i forhold til det nye krav om fortegnelse og om der bør laves en konsekvensanalyse.
