GDPR og whistleblowing: Hvorfor man ikke bør forlade sig på samtykke

Personer, der indgiver en rapport via et whistleblowing-system, kan inkludere personlige oplysninger i deres meddelelse. Organisationer, der ønsker at stille et whistleblowing-system til rådighed for deres medarbejdere, leverandører eller andre parter, er nødt til at tage beskyttelse af personlige oplysninger med i betragtningerne. Hvordan kan man kombinere whistleblowing og GDPR på pragmatisk vis?

I artikel 6 i EU-forordning 2016/679 (generel forordning om databeskyttelse eller GDPR) kræves der en “lovlig behandling”. Samtykke virker umiddelbart som et godt valg. Men det er det ikke. Ikke i forbindelse med whistleblowing.

Hvorfor ikke?

Samtykke skal gives frivilligt, men der eksisterer et afhængighedsforhold mellem arbejdsgiver og arbejdstager. Hvis chefen beder om samtykke, vil de fleste medarbejdere uden videre give det. Artikel 29-gruppen vedrørende databeskyttelse udtrykker det således i sin udtalelse 2/2017 (WP 249): “Undtagen i helt særlige tilfælde skal arbejdsgiverne gøre et andet retsgrundlag end samtykke gældende.”

Set fra et mere praktisk synspunkt er samtykke et ustabilt grundlag. Det kan til enhver tid trækkes tilbage. Hvis der er en alvorlig efterforskning i gang, og en medarbejder pludselig beslutter sig for at trække sit samtykke tilbage, hvad gør man så?

Lad os forestille os – uden at tage hensyn til juridiske og praktiske detaljer – at en medarbejder er blevet udsat for sexchikane. Organisationens whistleblowing-system har et samtykkefelt, der skal markeres, før man kan afgive en rapport. Medarbejderen har langt om længe taget mod til sig og ønsker at afgive en anonym rapport – og det første spørgsmål er: “Giver du samtykke til, at vi må behandle dine persondata?” Der er en stor risiko for, at rapportører bliver skræmt væk, eller de kan beslutte sig for at offentliggøre deres klage i stedet for. Organisationen risikerer at gå glip af vigtige sager!

Så – intet samtykke. Men hvordan kan man så overholde GDPR i forbindelse med whistleblowing?

Basér behandlingen på den legitime interesse, organisationen har i at opdage upassende adfærd, som måske ellers ikke var blevet opdaget på et tidligt tidspunkt. I sidste ende må vi ikke glemme, at nok er beskyttelse af data og personoplysninger meget vigtigt, men vores mål her er at skabe en effektiv metode til whistleblowing. Folk skal kunne føle sig trygge ved at stå frem, så organisationen rent faktisk kan opdage og gøre noget ved alvorlig upassende adfærd!

Tal med vores eksperter

Vil du lære mere, diskutere idéer eller dele tanker?

Kontakt os

Share this page