DA
Teknologi

Ingen ubetinget indsigtsret i whistleblowerordninger

logo
Juranyt
calendar 6. januar 2022
globus Danmark

Indsigtsretten betyder, at medarbejdere og andre har ret til at se de oplysninger, der bliver behandlet om dem. Men når der eksempelvis sker indberetning til virksomhedens whistleblowerordning, kan det være et problem at imødekomme en indsigtsanmodning. Adgang til oplysningerne vil nemlig potentielt både kunne udsætte whistleblowerens beskyttelse og undersøgelserne af indberetningen.

Når en whistleblower foretager en indberetning, vil virksomhedens whistleblowerenhed normalt behandle forskellige typer personoplysninger om én eller flere personer, der måske har begået en lovovertrædelse, eller som måske har været involveret i et alvorligt forhold. Det kan eksempelvis være en indberetning om seksuel chikane, tyveri eller bedrageri på arbejdspladsen.

Fordi der alt andet lige derfor vil være tale om en alvorlig sag, opstår der samtidig et behov for at holde oplysningerne i indberetningen så fortrolige som muligt. Det kan dog sætte whistleblowerenheder i klemme, hvis de involverede pludselig beder om at se de oplysninger, der bliver behandlet om dem.

Årsagen er, at databeskyttelsesreglernes grundlæggende indsigtsret kort sagt indebærer, at de involverede som udgangspunkt har ret til indsigt i hvilke oplysninger, der bliver behandlet om dem. Formålet med reglerne er at skabe gennemsigtighed – den gennemsigtighed kan imidlertid spænde ben for både den effektive beskyttelse af whistlebloweren samt whistleblowerens undersøgelser af indberetningen.

Whistleblowerenheder skal kende undtagelserne godt

Whistleblowerenheder skal selvfølgelig efterleve databeskyttelsesreglerne som led i behandlingen af indberetningerne, der kommer ind via whistleblowerordningen. Men ligesom flere af databeskyttelsesreglernes hovedregler gælder der også undtagelser til den grundlæggende ret til indsigt.

Whistleblowerenheder kan eksempelvis for det første afvise at efterkomme en anmodning om indsigt, hvis en enhed efter en konkret vurdering vurderer, at den involveredes interesse i at få adgang til oplysningerne burde vige for Danmarks eller EU's samfundsinteresser. Derudover kan whistleblowerenheder for det andet vælge at afvise at efterkomme en indsigtsanmodning, hvis den involveredes interesse i at få adgang til oplysningerne burde vige for beskyttelsen af andre, såsom whistlebloweren.

I begge tilfælde vil en hel eller delvis adgang til oplysningerne i en indberetning nemlig kunne give en involveret adgang til at kunne forhindre eller på anden måde vanskeliggøre whistleblowerenheders arbejde, såsom ved at ødelægge relevante beviser eller lignende.

IUNO mener

Whistleblowerenheder skal være opmærksomme på, at databeskyttelsesreglerne forudsætter, at vurderingen af om en anmodning om indsigt helt eller delvist bør afvises ultimativt kræver en konkret afvejning af hver oplysning for sig. Det kan være en svær vurdering, der vil afhænge af omstændighederne.

IUNO anbefaler, at virksomheder som led i træningen af den ansvarlige whistleblowerenhed indarbejder en grundig oplæring i databeskyttelsesreglerne – uanset om whistleblowerenheden delvist har outsourcet ansvaret til en ekstern tredjepart. Årsagen er, at der vil opstå mange forskellige spørgsmål og problemstillinger, som i sidste ende vil kunne medføre overtrædelse af databeskyttelsesreglerne, hvis whistleblowerenheden ikke har de rigtige rutiner indarbejdet fra start.

Læs mere om, hvordan vi kan hjælpe med GDPR og whistleblowerordninger her.

[Lov om beskyttelse af whistleblowere af 24. juni 2021]

Når en whistleblower foretager en indberetning, vil virksomhedens whistleblowerenhed normalt behandle forskellige typer personoplysninger om én eller flere personer, der måske har begået en lovovertrædelse, eller som måske har været involveret i et alvorligt forhold. Det kan eksempelvis være en indberetning om seksuel chikane, tyveri eller bedrageri på arbejdspladsen.

Fordi der alt andet lige derfor vil være tale om en alvorlig sag, opstår der samtidig et behov for at holde oplysningerne i indberetningen så fortrolige som muligt. Det kan dog sætte whistleblowerenheder i klemme, hvis de involverede pludselig beder om at se de oplysninger, der bliver behandlet om dem.

Årsagen er, at databeskyttelsesreglernes grundlæggende indsigtsret kort sagt indebærer, at de involverede som udgangspunkt har ret til indsigt i hvilke oplysninger, der bliver behandlet om dem. Formålet med reglerne er at skabe gennemsigtighed – den gennemsigtighed kan imidlertid spænde ben for både den effektive beskyttelse af whistlebloweren samt whistleblowerens undersøgelser af indberetningen.

Whistleblowerenheder skal kende undtagelserne godt

Whistleblowerenheder skal selvfølgelig efterleve databeskyttelsesreglerne som led i behandlingen af indberetningerne, der kommer ind via whistleblowerordningen. Men ligesom flere af databeskyttelsesreglernes hovedregler gælder der også undtagelser til den grundlæggende ret til indsigt.

Whistleblowerenheder kan eksempelvis for det første afvise at efterkomme en anmodning om indsigt, hvis en enhed efter en konkret vurdering vurderer, at den involveredes interesse i at få adgang til oplysningerne burde vige for Danmarks eller EU's samfundsinteresser. Derudover kan whistleblowerenheder for det andet vælge at afvise at efterkomme en indsigtsanmodning, hvis den involveredes interesse i at få adgang til oplysningerne burde vige for beskyttelsen af andre, såsom whistlebloweren.

I begge tilfælde vil en hel eller delvis adgang til oplysningerne i en indberetning nemlig kunne give en involveret adgang til at kunne forhindre eller på anden måde vanskeliggøre whistleblowerenheders arbejde, såsom ved at ødelægge relevante beviser eller lignende.

IUNO mener

Whistleblowerenheder skal være opmærksomme på, at databeskyttelsesreglerne forudsætter, at vurderingen af om en anmodning om indsigt helt eller delvist bør afvises ultimativt kræver en konkret afvejning af hver oplysning for sig. Det kan være en svær vurdering, der vil afhænge af omstændighederne.

IUNO anbefaler, at virksomheder som led i træningen af den ansvarlige whistleblowerenhed indarbejder en grundig oplæring i databeskyttelsesreglerne – uanset om whistleblowerenheden delvist har outsourcet ansvaret til en ekstern tredjepart. Årsagen er, at der vil opstå mange forskellige spørgsmål og problemstillinger, som i sidste ende vil kunne medføre overtrædelse af databeskyttelsesreglerne, hvis whistleblowerenheden ikke har de rigtige rutiner indarbejdet fra start.

Læs mere om, hvordan vi kan hjælpe med GDPR og whistleblowerordninger her.

[Lov om beskyttelse af whistleblowere af 24. juni 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

14. januar 2022

Virksomheder skal passe på med at bede om medarbejderes vaccinestatus

logo
Teknologi

13. januar 2022

Nu kan der indberettes til Datatilsynets nye whistleblowerordning

logo
HR-jura Corporate Teknologi

2. november 2021

Fælles whistleblowerordninger i internationale koncerner

logo
HR-jura Corporate Teknologi

29. oktober 2021

Whistleblowerordninger i kommuner og offentlige virksomheder

logo
HR-jura Corporate Teknologi

22. oktober 2021

Ny vejledning om whistleblowerordninger

logo
Teknologi

7. oktober 2021

Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat