Hovedforpligtelser og anvendelsesområde
Whistleblowerloven forpligter offentlige myndigheder og private virksomheder med mindst 50 ansatte til at tilbyde sikre og fortrolige kanaler til indberetning af alvorlige forseelser. Ordningen skal kunne bruges af medarbejdere og andre med tilknytning til organisationen uden risiko for repressalier. Loven gennemfører EU’s direktiv om beskyttelse af whistleblowere og fastsætter minimumsstandarder for håndtering af indberetninger i Danmark. Se lovgrundlaget i Lov nr. 1436 på Retsinformation.
Organisationer, der endnu ikke har etableret en intern ordning, skal sikre adgang til en fortrolig kanal og kan i mellemtiden henvise til Datatilsynets eksterne whistleblowerordning. Dette gælder, uanset om virksomheden er over eller under 250 ansatte. Kravene omfatter både private og offentlige arbejdsgivere samt særligt regulerede sektorer med forhøjet risiko, fx finans og hvidvask.
Krav til indberetningskanaler og sagsbehandling
Rapporteringskanalerne skal være sikre, beskytte whistleblowerens identitet og give mulighed for anonymitet. Indberetninger skal bekræftes modtaget inden for kort frist, behandles inden for en rimelig tidsramme og følges op med information til indberetteren. Arbejdsgiveren skal udpege en upartisk, kompetent enhed eller person til at håndtere sagerne; opgaven kan lovligt outsources til en ekstern administrator, fx advokat.
Ud over proceskravene indeholder loven et udtrykkeligt forbud mod repressalier. Det omfatter enhver ugunstig behandling, såsom afskedigelse, degradering, løn- eller arbejdstidsændringer og trusler herom. Forpligtelserne omfatter også tydelig information til potentielle indberettere om, hvad der kan indrapporteres, hvordan processen forløber, og hvilke rettigheder der gælder.
Typiske emner, der kan indberettes via ordningen, omfatter blandt andet:
- Overtrædelser vedrørende databeskyttelse, forbrugersikkerhed og finansielle tjenester.
- Hvidvask, skatteovertrædelser og produktsikkerhed.
- Offentlige indkøb, miljøbeskyttelse, føde- og fodersikkerhed samt folkesundhed.
Sammenhæng med databeskyttelse og praktiske skridt
Whistleblowerordninger behandler typisk følsomme personoplysninger. Derfor skal de opfylde kravene i GDPR og databeskyttelsesloven, herunder dataminimering, adgangsbegrænsning, passende tekniske og organisatoriske sikkerhedsforanstaltninger, klare slettefrister samt dokumentation af behandlingsaktiviteter. Databehandleraftaler, rolle- og rettighedsstyring og audit trail er centrale elementer for at demonstrere compliance.
Praktisk bør arbejdsgivere etablere en skriftlig whistleblowerpolitik, beskrive sagsflow, udpege en upartisk sagsbehandler, uddanne berørte funktioner og sikre, at kommunikationskanaler er let tilgængelige for medarbejdere og relevante eksterne parter. Indtil en intern kanal er operationaliseret, kan indberetninger henvises til Datatilsynet via whistleblower.dk. Supplerende baggrund findes i direktivet på EUR-Lex og i den danske lov på Retsinformation.
Læs direktivet her: EUR-Lex. Læs den danske lov her: Retsinformation. Ekstern offentlig ordning: Datatilsynet.
