Arbejdsgivere med en intern whistleblowerordning skal sikre streng fortrolighed om indberetninger. En udpeget whistleblowerenhed håndterer ordningen og er underlagt en særlig tavshedspligt. Overtrædelse kan medføre personligt bødeansvar for de involverede. Beskyttelsen omfatter både whistleblowerens identitet og oplysninger i selve indberetningen.
Fortrolighed og tavshedspligt
Tavshedspligten er målrettet identiteten og indholdet i indberetningen. Oplysninger, der først indsamles efterfølgende som led i en sag, er ikke omfattet af den særlige tavshedspligt, men reguleres fortsat af øvrig ret, herunder ansættelsesretlige og databeskyttelsesretlige regler. Personer, der nævnes i en indberetning, har som udgangspunkt ret til indsigt i oplysninger, der vedrører dem, hvilket skal afvejes mod hensynet til whistleblowerens anonymitet.
Tavshedspligten gælder også for personer uden for enheden, der lovligt modtager oplysninger om identiteten. Arbejdsgiveren bør derfor begrænse adgangen, logge opslag og sikre, at alle modtagere er instrueret i fortrolighedskravene.
Videregivelse og identificerbarhed
Oplysninger, som kan afsløre whistleblowerens identitet, må kun videregives i særlige tilfælde efter en konkret vurdering. Identificerbarhed kan følge af både direkte data (navn, kontaktoplysninger) og indirekte data som stillingsbetegnelse, ledelsesforhold eller beskrivelse af unikke hændelsesforløb.
Identiteten kan deles internt i den udpegede whistleblowerenhed. Ved tredjepartsadministration (fx advokat eller moderselskab) skal det klart defineres, hvem der udgør enheden, så det er tydeligt, hvilke personer der lovligt kan få kendskab til identiteten.
Videregivelse uden samtykke kan ske til relevante myndigheder, herunder politiet eller Finanstilsynet, når det er nødvendigt for at imødegå overtrædelser eller sikre berørtes ret til et forsvar. Whistlebloweren bør som udgangspunkt underrettes, og den dataansvarlige skal dokumentere hjemmel, formål, modtagere og omfang.
Praktiske tiltag for arbejdsgivere
Effektiv efterlevelse forudsætter klare processer og tekniske kontroller. Følgende tiltag styrker compliance og reducerer identifikationsrisikoen:
- Fastlæg enhedens sammensætning, adgangskontrol og logning for alle indberetninger.
- Etabler procedurer for modtagelse, dokumentation, indsigtsanmodninger og underretninger.
- Uddan enhedens medlemmer i tavshedspligt, identifikationsrisici og lovlige videregivelser.
- Foretag løbende vurdering af identificerbarhed og anvend dataminimering ved deling.
- Indgå klare aftaler og databehandleraftaler ved brug af eksterne administratorer.
En gennemarbejdet governance-struktur, konsekvent dokumentation og regelmæssig opfølgning er afgørende for at beskytte whistlebloweren og samtidig sikre lovlig sagsbehandling.
