Ingen ubetinget indsigtsret i whistleblowerordninger
Indsigtsretten betyder, at medarbejdere og andre har ret til at se de oplysninger, der bliver behandlet om dem. Men når der eksempelvis sker indberetning til virksomhedens whistleblowerordning, kan det være et problem at imødekomme en indsigtsanmodning. Adgang til oplysningerne vil nemlig potentielt både kunne udsætte whistleblowerens beskyttelse og undersøgelserne af indberetningen.
Når en whistleblower foretager en indberetning, vil virksomhedens whistleblowerenhed normalt behandle forskellige typer personoplysninger om én eller flere personer, der måske har begået en lovovertrædelse, eller som måske har været involveret i et alvorligt forhold. Det kan eksempelvis være en indberetning om seksuel chikane, tyveri eller bedrageri på arbejdspladsen.
Fordi der alt andet lige derfor vil være tale om en alvorlig sag, opstår der samtidig et behov for at holde oplysningerne i indberetningen så fortrolige som muligt. Det kan dog sætte whistleblowerenheder i klemme, hvis de involverede pludselig beder om at se de oplysninger, der bliver behandlet om dem.
Årsagen er, at databeskyttelsesreglernes grundlæggende indsigtsret kort sagt indebærer, at de involverede som udgangspunkt har ret til indsigt i hvilke oplysninger, der bliver behandlet om dem. Formålet med reglerne er at skabe gennemsigtighed – den gennemsigtighed kan imidlertid spænde ben for både den effektive beskyttelse af whistlebloweren samt whistleblowerenhedens undersøgelser af indberetningen.
Whistleblowerenheder skal kende undtagelserne godt
Whistleblowerenheder skal selvfølgelig efterleve databeskyttelsesreglerne som led i behandlingen af indberetningerne, der kommer ind via whistleblowerordningen. Men ligesom flere af databeskyttelsesreglernes hovedregler gælder der også undtagelser til den grundlæggende ret til indsigt.
Whistleblowerenheder kan eksempelvis for det første afvise at efterkomme en anmodning om indsigt, hvis en enhed efter en konkret vurdering vurderer, at den involveredes interesse i at få adgang til oplysningerne burde vige for Danmarks eller EU's samfundsinteresser. Derudover kan whistleblowerenheder for det andet vælge at afvise at efterkomme en indsigtsanmodning, hvis den involveredes interesse i at få adgang til oplysningerne burde vige for beskyttelsen af andre, såsom whistlebloweren.
I begge tilfælde vil en hel eller delvis adgang til oplysningerne i en indberetning nemlig kunne give en involveret adgang til at kunne forhindre eller på anden måde vanskeliggøre whistleblowerenheders arbejde, såsom ved at ødelægge relevante beviser eller lignende.
IUNO mener
Whistleblowerenheder skal være opmærksomme på, at databeskyttelsesreglerne forudsætter, at vurderingen af om en anmodning om indsigt helt eller delvist bør afvises ultimativt kræver en konkret afvejning af hver oplysning for sig. Det kan være en svær vurdering, der vil afhænge af omstændighederne.
IUNO anbefaler, at virksomheder som led i træningen af den ansvarlige whistleblowerenhed indarbejder en grundig oplæring i databeskyttelsesreglerne – uanset om whistleblowerenheden delvist har outsourcet ansvaret til en ekstern tredjepart. Årsagen er, at der vil opstå mange forskellige spørgsmål og problemstillinger, som i sidste ende vil kunne medføre overtrædelse af databeskyttelsesreglerne, hvis whistleblowerenheden ikke har de rigtige rutiner indarbejdet fra start.
Læs mere om, hvordan vi kan hjælpe med GDPR og whistleblowerordninger her.
[Lov om beskyttelse af whistleblowere af 24. juni 2021]
Når en whistleblower foretager en indberetning, vil virksomhedens whistleblowerenhed normalt behandle forskellige typer personoplysninger om én eller flere personer, der måske har begået en lovovertrædelse, eller som måske har været involveret i et alvorligt forhold. Det kan eksempelvis være en indberetning om seksuel chikane, tyveri eller bedrageri på arbejdspladsen.
Fordi der alt andet lige derfor vil være tale om en alvorlig sag, opstår der samtidig et behov for at holde oplysningerne i indberetningen så fortrolige som muligt. Det kan dog sætte whistleblowerenheder i klemme, hvis de involverede pludselig beder om at se de oplysninger, der bliver behandlet om dem.
Årsagen er, at databeskyttelsesreglernes grundlæggende indsigtsret kort sagt indebærer, at de involverede som udgangspunkt har ret til indsigt i hvilke oplysninger, der bliver behandlet om dem. Formålet med reglerne er at skabe gennemsigtighed – den gennemsigtighed kan imidlertid spænde ben for både den effektive beskyttelse af whistlebloweren samt whistleblowerenhedens undersøgelser af indberetningen.
Whistleblowerenheder skal kende undtagelserne godt
Whistleblowerenheder skal selvfølgelig efterleve databeskyttelsesreglerne som led i behandlingen af indberetningerne, der kommer ind via whistleblowerordningen. Men ligesom flere af databeskyttelsesreglernes hovedregler gælder der også undtagelser til den grundlæggende ret til indsigt.
Whistleblowerenheder kan eksempelvis for det første afvise at efterkomme en anmodning om indsigt, hvis en enhed efter en konkret vurdering vurderer, at den involveredes interesse i at få adgang til oplysningerne burde vige for Danmarks eller EU's samfundsinteresser. Derudover kan whistleblowerenheder for det andet vælge at afvise at efterkomme en indsigtsanmodning, hvis den involveredes interesse i at få adgang til oplysningerne burde vige for beskyttelsen af andre, såsom whistlebloweren.
I begge tilfælde vil en hel eller delvis adgang til oplysningerne i en indberetning nemlig kunne give en involveret adgang til at kunne forhindre eller på anden måde vanskeliggøre whistleblowerenheders arbejde, såsom ved at ødelægge relevante beviser eller lignende.
IUNO mener
Whistleblowerenheder skal være opmærksomme på, at databeskyttelsesreglerne forudsætter, at vurderingen af om en anmodning om indsigt helt eller delvist bør afvises ultimativt kræver en konkret afvejning af hver oplysning for sig. Det kan være en svær vurdering, der vil afhænge af omstændighederne.
IUNO anbefaler, at virksomheder som led i træningen af den ansvarlige whistleblowerenhed indarbejder en grundig oplæring i databeskyttelsesreglerne – uanset om whistleblowerenheden delvist har outsourcet ansvaret til en ekstern tredjepart. Årsagen er, at der vil opstå mange forskellige spørgsmål og problemstillinger, som i sidste ende vil kunne medføre overtrædelse af databeskyttelsesreglerne, hvis whistleblowerenheden ikke har de rigtige rutiner indarbejdet fra start.
Læs mere om, hvordan vi kan hjælpe med GDPR og whistleblowerordninger her.
[Lov om beskyttelse af whistleblowere af 24. juni 2021]
Lignende
Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet