Virksomheder, der driver whistleblowerordninger, skal forene whistleblowerloven med GDPR. For enheder med mindst 50 ansatte kan whistleblowerloven § 22 udgøre behandlingsgrundlag for at håndtere almindelige, følsomme og oplysninger om strafbare forhold, når det er nødvendigt for en konkret indberetning. Ordningen skal være etableret efter loven.
Lovgrundlag
Whistleblowerloven § 22 kan kun anvendes, hvis den konkrete behandling er nødvendig og proportional. Den dataansvarlige skal vurdere hver oplysning og frasortere alt, der ikke er relevant for sagens oplysning. Bestemmelsen omfatter også behandling af oplysninger om strafbare forhold.
Etableres en frivillig ordning uden lovpligt, kan § 22 ikke bruges som hjemmel. Det indebærer, at behandling af særlige kategorier efter GDPR art. 9 som udgangspunkt ikke kan ske via ordningen, medmindre andet tydeligt retligt grundlag foreligger. Overvej derfor alternative kanaler eller snævrere datatyper.
Praktiske GDPR tiltag
Ud over et gyldigt behandlingsgrundlag skal arbejdsgiveren sikre dokumentation og respekt for registreredes rettigheder gennem hele sagsforløbet.
Det kræver robuste processer, dataminimering og passende sikkerhedsforanstaltninger fra modtagelse til afslutning af indberetningen:
- Retningslinjer for modtagelse, undersøgelse og lukning af indberetninger.
- Fortegnelser over behandlinger i ordningen.
- Oplysningspligt efter GDPR art. 13 og 14, hvor undtagelser ikke gælder.
- Databehandleraftale med leverandør af eventuel whistleblowerportal.
- Procedurer for indsigt, indsigelse, sletning og begrænsning.
