Arbejdsgivere i koncerner kan efter whistleblowerloven oprette én fælles whistleblowerordning, som håndterer indberetninger for alle selskaber i gruppen. En central enhed kan stå for modtagelse, opfølgning og feedback samt sikre fortrolighed og dokumentation.
Virksomheder med under 50 ansatte
Indgår selskaber med færre end 50 medarbejdere i ordningen, er deres deltagelse frivillig. Det påvirker det retlige grundlag for databehandling, fordi disse selskaber ikke er omfattet af den lovbestemte pligt i whistleblowerloven.
Uden hjemmel i whistleblowerlovens § 22 kan de ikke behandle særlige kategorier af personoplysninger efter GDPR artikel 9 som led i ordningen. Virksomheder bør derfor begrænse databehandlingen, fastlægge klare procedurer og vurdere alternative behandlingsgrundlag, hvor det er muligt.
Internationale koncerner og retlig usikkerhed
Koncernfælles ordninger kan etableres på tværs af lande, men skal overholde både GDPR og nationale implementeringer i hvert land. Det kræver lokal tilpasning af proces, sprog, frister og informationspligt samt tydelig afgrænsning af roller mellem dataansvarlig og databehandlere.
Whistleblowerloven indeholder desuden en bemyndigelse til Justitsministeren til at fravige adgangen til koncernfælles ordninger, hvis det viser sig, at direktivet ikke hjemler modellen. Indtil en sådan beslutning træffes, kan ordningerne anvendes, men virksomheder bør følge udviklingen nøje og sikre løbende compliance.
