Nye regler fra Datatilsynet lægger snærende bånd på de virksomheder, der vil etablere ordninger, hvor medarbejderne kan anmelde mistanke om urent trav.
Af advokat Filip Hermann & advokat Pia Kirstine Voldmester
Datatilsynet har i en ny vejledning leveret en grundig gennemgang af, hvordan virksomhederne skal indrette deres whistleblower-ordninger for at overholde den danske persondatalov.
Vejledningen sætter dog temmelig snævre rammer for ordningernes indhold og det kan give problemer for en række virksomheder.
En whistleblower-ordning kan være mere eller mindre formaliseret. Kendetegnende er dog, at ordningen indebærer (mulighed for) en behandling af personoplysninger om den anmeldte og – afhængig af ordningens karakter – anmelderen.
Når virksomhederne udbyder mere formaliserede ordninger evt. med elektronisk anmeldelsesmulighed og pligt til behandling af de indkomne anmeldelser, skal ordningen overholde persondatalovens regler. Behandlingen vil udover grundlæggende stamdata typisk omfatte behandling af oplysninger om (potentielt) strafbare forhold og rent private forhold. Det er derfor et krav, at Datatilsynets tilladelse er indhentet, inden ordningen iværksættes.
Med Datatilsynets nye vejledning er der ikke længere nogen undskyldning for virksomhederne for ikke at få deres whistleblower-ordning anmeldt. De væsentligste spørgsmål, som tidligere stod ubesvaret hen, er der nu kommet en afklaring på og oven på den pause i sagsbehandlingen, som Datatilsynet tog til at udarbejde vejledningen, bliver anmeldelserne igen behandlet. Indtil videre er antallet af godkendte ordninger dog ganske beskedent. Det ændrer dog ikke på, at det ”helle”, som udarbejdelsen af vejledningen gav virksomhederne, nu er bortfaldet.
Hvem må styre systemet?
De spørgsmål, som i første omgang er blevet besvaret ved udgivelsen af vejledningen, er primært spørgsmålene om, hvilket selskab, der i større koncerner er dataansvarligt og dermed – afhængig af geografiske forhold – eventuelt skal foretage anmeldelse til Datatilsynet, hvem der må rapportere via whistleblower-ordningerne samt, hvad der må rapporteres om.
Hvad angår det første spørgsmål, er svaret afhængigt af, hvorvidt det danske selskab er et moderselskab, et datterselskab med et moderselskab inden for EU eller et datterselskab med et moderselskab uden for EU. Ens for alle situationerne er dog, at der skal foretages en konkret vurdering af, hvilken rolle det danske selskab har i forhold til administrationen af ordningen. Datatilsynet har ikke givet nogen konkrete kriterier til brug for denne vurdering, men har tilsyneladende anlagt den holdning, at danske datterselskaber kun yderst sjældent vil være at anse som dataansvarlige, hvis whistleblower-ordningerne vel at mærke er etableret på koncernniveau.
Hvad må anmeldes?
Med hensyn til spørgsmålet om, hvad der kan anmeldes, fastslår Datatilsynet, at ordningen kun må bruges til at indsamle oplysninger om alvorlige forseelser – eller mistanke herom – der kan få betydning for virksomheden som helhed, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred.
Det kan f.eks. være tilfældet ved mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lignende. Der må således efter Datatilsynets opfattelse altid ske indsamling i det omfang, det kræves i medfør af de amerikanske Sarbanes Oxley-regler, dvs. uregelmæssigheder inden for områderne regnskabsføring, intern regnskabskontrol, revision, samt ved mistanke om korruption og kriminalitet i bank- og finanssektoren.
Miljøforurening, alvorlige brud på arbejdssikkerheden samt andre alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb må typisk anmeldes og behandles som led i whistleblower-ordninger, hvorimod dette ikke er tilfældet for mindre alvorlige forseelser.
Mindre alvorlige forseelser er ifølge Datatilsynet mobning, samarbejdsvanskeligheder, inkompetence, fravær og overtrædelse af retningslinjer for f.eks. påklædning, rygning/alkohol, brug af e-post/internet m.v.
Hermed lægger Datatilsynet sig op ad tilsvarende retningslinjer fra andre medlemslandes datatilsyn som f.eks. Østrig samt Europa-Parlamentets rådgivende organ, den såkaldte ”Artikel 29” gruppe.
Pres på ordning
De begrænsninger, som følger af retningslinjerne på dette punkt, giver dog ofte internationale koncerner problemer med at implementere en ensartet whistleblower-ordning, idet særligt amerikanske koncerner ønsker en så bred whistleblower-ordning som muligt. Problemet løser de fleste danske virksomheder med ledsagende information til medarbejderne om de lokalt begrænsede anmeldelsesmuligheder eller med tekniske løsninger, der simpelthen gør det umuligt for medarbejdere i Danmark at rapportere forseelser af mindre alvorlig karakter.
Det forhold, at problemet lader sig løse, rokker dog ikke ved, at særligt meget store virksomheder kan have et helt berettiget ønske om at fastholde en bred whistleblower-ordning som en omsorgsfunktion for medarbejderne. Det er tvivlsomt, om den meget restriktive tilgang til ordningerne på sigt kan stå distancen – ikke mindst fordi de bredere ordninger kan være endog særdeles sympatiske – og måske endda nødvendige – ud fra et medarbejdersynspunkt.
Hvem må sladre?
En anden problemstilling, der er blevet fremtrædende ved udformningen af den nye vejledning, er spørgsmålet om, hvem der skal have adgang til at anmelde forseelser.
Medarbejdernes anmeldelsesmulighed, som er cementeret via vejledningen, er selvfølgelig helt central, men for mange virksomheder er det en unødig restriktion – og en restriktion, der reelt risikerer at påvirke ordningernes effektivitet – at det ikke må være muligt for andre end ansatte og bestyrelsesmedlemmer at foretage indberetninger til whistleblower-ordningerne.
Ifølge Datatilsynet må leverandører, kunder og aktionærer nemlig ikke have adgang til at foretage anmeldelser. Alle sammen grupper som mange virksomheder ellers ser som naturlige interessenter.
Adgangen til at foretage indberetninger må som konsekvens heraf ikke etableres på virksomhedernes hjemmesider, men skal flyttes til interne intranetportaler.
Virker det?
Whistleblower-ordninger kan ikke forhindre korruption, bedrageri og forurening. Men det er realistisk at tro, at de kan hjælpe med at standse ulovlighederne i tide – eller i hvert fald tidligere end tilfældet er uden ordninger.
Det giver virksomhederne en chance for at gribe ind, inden skaderne bliver alt for omfattende. De fleste virksomheder håber selvfølgelig på, at de aldrig får brug for whistleblower-ordningerne, og at de aldrig kommer til at modtage en anmeldelse – lidt ligesom når man etablerer en livsforsikring eller opsætter en brandalarm. Det kan selvfølgelig være helt sagligt for visse typer virksomheder ikke at indføre whistleblower-ordninger, men det må være et element i ansvarlig selskabsledelse, at man som minimum får afdækket virksomhedens risikoprofil, fordele og ulemper, forinden der træffes beslutning om en eventuel etablering af en whistleblower-ordning.
Hertil kommer, at amerikanske børsnoterede virksomheder med datterselskaber i Danmark samt danske virksomheder, der er noteret på en af de amerikanske børser, er forpligtet til at etablere ordninger, som giver medarbejderne mulighed for anonymt at rapportere uregelmæssigheder ved virksomhedens regnskaber og bogføring til virksomhedernes regnskabskommittere.
Mange virksomheder, også virksomheder der ikke er forpligtet til det, fordi de ikke er børsnoterede, benytter anledningen til at etablere omfattende whistleblower-ordninger. Det er derfor også blevet en vigtig del af mange virksomheders corporate governance, at de stiller krav om, at deres samarbejdspartnere har tilsvarende ordninger.
Den første virksomhed i Danmark, der som led i en international ordning etablerede en whistleblower-ordning, var Vestas.
I 2008 opdagede Vestas, at ledende medarbejdere i det spanske datterselskab havde svindlet og bedraget for 90 millioner kroner. En stor del af æren for at svindlen blev opdaget, tilfaldt koncernens velfungerende whistleblower-ordning, som en medarbejder valgte at benytte til at råbe vagt i gevær mod de ulovlige aktiviteter.
Målsætningen for enhver whistleblower-ordning må – udover den oplagte præventive effekt – være at endnu flere medarbejdere vælger at stå frem og afsløre eventuelle kriminelle forhold i virksomheden.
Regler for sladrehanke
Datatilsynet udsendte sin vejledning om whistleblower-ordninger 27. juli 2009.
Kun to virksomheder i Danmark har indtil videre fået tilladelse til at etablere whistleblower-ordninger.
Vestas whistleblower-ordning var en medvirkende årsag til, at bedrageri for 90 millioner kroner blev opdaget i 2008.