Datatilsynet har gjort det nemmere at anmelde whistleblower-ordninger
Datatilsynet har lavet to nye standardanmeldelser, som gør det nemmere at anmelde en whistleblower-ordning. De nye blanketter skal forkorte sagsbehandlingstiden fra fem måneder til en måned.
Er du en finansiel virksomhed, eller er dit moderselskab noteret i USA, skal du højst sandsynligt have en whistleblowerordning, som skal anmeldes til Datatilsynet. For at gøre det nemt og hurtigt at anmelde ordningen, har Datatilsynet udarbejdet to standardanmeldelser. Den ene gælder for virksomheder, hvor den dataansvarlige virksomhed er etableret i Danmark, og den anden gælder for koncerner, hvor den dataansvarlige virksomhed er etableret i et land uden for EU/EØS.
Standardblanketterne er lavet i overensstemmelse med Datatilsynets praksis, og det eneste, man selv skal udfylde, er navnet på den dataansvarlige og eventuelle databehandlere. Derudover skal man angive, om der regelmæssigt overføres persondata til tredjelande, og på hvilket grundlag det bliver gjort. Endelig skal man oplyse om tidspunktet for behandlingens begyndelse samt skrive under på dokumentet.
Specifikke krav til whistleblower-ordninger
Datatilsynet har i en række afgørelser fastlagt, hvilke whistleblower-ordninger der kan forventes at blive godkendt.
Det er eksempelvis kun personer med tilknytning til virksomheden, som må anvende en whistleblower-ordning, og der kan kun laves indberetninger om personer, som har tilknytning til virksomheden. Det kan blandt andre være ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører eller kunder.
Det er kun muligt at indberette om strafbare forhold og om rent private forhold, som kan få betydning for virksomheden eller kan have afgørende betydning for enkeltpersoners liv eller helbred. Derudover er det muligt at lave indberetninger, hvis den amerikanske Sarbanes Oxley Act kræver det.
Reglerne betyder, at der blandt andet kan laves indberetninger om alvorlig økonomisk kriminalitet, uregelmæssigheder i den interne regnskabskontrol eller ved mistanke om korruption. Derudover kan der blandt andet laves indberetninger i tilfælde af miljøforurening, alvorlige brud på arbejdssikkerheden eller ved alvorlige forhold, som retter sig mod en ansat, fx vold eller seksuelle overgreb.
Hvis der er tale om mindre alvorlige forseelser, skal man bruge de normale kommunikationsveje. Det gælder eksempelvis indberetninger om mobning, fravær, overtrædelse af retningslinjer og overtrædelse af interne politikker om internetbrug.
Alternativ løsning
Virksomheden er ikke forpligtet til at bruge Datatilsynets standardanmeldelser, men kan vælge at lave sin egen anmeldelse. Hvis man vælger denne løsning, skal man forvente en sagsbehandlingstid på minimum fem måneder.
IUNO mener
Der er mange virksomheder, som i deres interne politikker har ordninger – eksempelvis de såkaldte Codes of Conduct – som kan karakteriseres som whistleblower-ordninger, og som derfor skal anmeldes til Datatilsynet. Det kan blandt andet være etiske help lines eller interne regler for anmeldelse af uregelmæssigheder.
IUNO anbefaler, at virksomhederne får vurderet, om deres interne ordninger er omfattet af anmeldelsespligten i persondataloven. Virksomhederne skal desuden være opmærksomme på, at Datatilsynet ikke giver tilladelse til whistleblower-ordninger, før virksomhedernes anmeldelse af personaleadministration er på plads, og før der er givet tilladelse til at bruge ordningerne. Det er derfor vigtigt, at virksomhederne sætter gang i denne proces hurtigst muligt.
[Datatilsynets meddelelse af 3. november 2014]
Er du en finansiel virksomhed, eller er dit moderselskab noteret i USA, skal du højst sandsynligt have en whistleblowerordning, som skal anmeldes til Datatilsynet. For at gøre det nemt og hurtigt at anmelde ordningen, har Datatilsynet udarbejdet to standardanmeldelser. Den ene gælder for virksomheder, hvor den dataansvarlige virksomhed er etableret i Danmark, og den anden gælder for koncerner, hvor den dataansvarlige virksomhed er etableret i et land uden for EU/EØS.
Standardblanketterne er lavet i overensstemmelse med Datatilsynets praksis, og det eneste, man selv skal udfylde, er navnet på den dataansvarlige og eventuelle databehandlere. Derudover skal man angive, om der regelmæssigt overføres persondata til tredjelande, og på hvilket grundlag det bliver gjort. Endelig skal man oplyse om tidspunktet for behandlingens begyndelse samt skrive under på dokumentet.
Specifikke krav til whistleblower-ordninger
Datatilsynet har i en række afgørelser fastlagt, hvilke whistleblower-ordninger der kan forventes at blive godkendt.
Det er eksempelvis kun personer med tilknytning til virksomheden, som må anvende en whistleblower-ordning, og der kan kun laves indberetninger om personer, som har tilknytning til virksomheden. Det kan blandt andre være ansatte, bestyrelsesmedlemmer, revisorer, advokater, leverandører eller kunder.
Det er kun muligt at indberette om strafbare forhold og om rent private forhold, som kan få betydning for virksomheden eller kan have afgørende betydning for enkeltpersoners liv eller helbred. Derudover er det muligt at lave indberetninger, hvis den amerikanske Sarbanes Oxley Act kræver det.
Reglerne betyder, at der blandt andet kan laves indberetninger om alvorlig økonomisk kriminalitet, uregelmæssigheder i den interne regnskabskontrol eller ved mistanke om korruption. Derudover kan der blandt andet laves indberetninger i tilfælde af miljøforurening, alvorlige brud på arbejdssikkerheden eller ved alvorlige forhold, som retter sig mod en ansat, fx vold eller seksuelle overgreb.
Hvis der er tale om mindre alvorlige forseelser, skal man bruge de normale kommunikationsveje. Det gælder eksempelvis indberetninger om mobning, fravær, overtrædelse af retningslinjer og overtrædelse af interne politikker om internetbrug.
Alternativ løsning
Virksomheden er ikke forpligtet til at bruge Datatilsynets standardanmeldelser, men kan vælge at lave sin egen anmeldelse. Hvis man vælger denne løsning, skal man forvente en sagsbehandlingstid på minimum fem måneder.
IUNO mener
Der er mange virksomheder, som i deres interne politikker har ordninger – eksempelvis de såkaldte Codes of Conduct – som kan karakteriseres som whistleblower-ordninger, og som derfor skal anmeldes til Datatilsynet. Det kan blandt andet være etiske help lines eller interne regler for anmeldelse af uregelmæssigheder.
IUNO anbefaler, at virksomhederne får vurderet, om deres interne ordninger er omfattet af anmeldelsespligten i persondataloven. Virksomhederne skal desuden være opmærksomme på, at Datatilsynet ikke giver tilladelse til whistleblower-ordninger, før virksomhedernes anmeldelse af personaleadministration er på plads, og før der er givet tilladelse til at bruge ordningerne. Det er derfor vigtigt, at virksomhederne sætter gang i denne proces hurtigst muligt.
[Datatilsynets meddelelse af 3. november 2014]