GDPR och visselblåsning: varför du inte ska förlita dig på samtycke

Människor som lämnar en rapport genom ett visselblåsningssystem kan inkludera personuppgifter i sitt meddelande. Organisationer som vill använda ett visselblåsningssystem för sina medarbetare, leverantörer eller andra parter måste ta sekretessaspekterna i beaktande. Hur kombinerar man visselblåsning och GDPR på ett pragmatiskt sätt?

Artikel 6 i Europaparlamentets och rådets förordning (EU) 2016/679 (Allmän dataskyddsförordning eller GDPR) kräver ”laglydighet vid behandling”. Samtycke kan tyckas vara ett bra alternativ. Men det är det inte. Inte för visselblåsning.

Varför inte?

Samtycke måste ”ges av fri vilja”, men det finns ett maktförhållande mellan arbetsgivare och medarbetare. Om chefen frågar efter samtycke kommer de flesta medarbetarna helt enkelt ge sitt samtycke. I Opinion 2/2017 (WP 249) formulerar artikel 29-gruppen det på följande sätt: ”Arbetsgivare måste förlita sig på en annan rättslig grund än samtycke, såvida det inte rör sig om en extraordinär situation”.

För att se det mer praktiskt: samtycke är inte en stabil grund. Ett samtycke kan tas tillbaka när som helst. Vad gör du om du till exempel genomför en noggrann undersökning och en medarbetare helt plötsligt drar tillbaka sitt samtycke?

Bortsett från det rättsliga och praktiska, tänk om en medarbetare har blivit utsatt för sexuella trakasserier. Ditt visselblåsningssystem har en samtyckesruta som måste markeras innan någon kan lämna en rapport. Din medarbetare har äntligen tagit mod till sig att lämna uppgifter anonymt och den första frågan är: ”samtycker du till att dina personuppgifter behandlas?” Det finns en stor risk att detta skrämmer bort rapportörer, och de kan till och med bestämma sig för att offentliggöra allt. Du vill inte missa viktiga ärenden!

Så, inget samtycke. Hur uppfyller man då GDPR vid visselblåsning?

Basera din behandling på ditt legitima intresse att upptäcka oegentligheter som annars inte hade upptäckts i ett tidigt skede. Och glöm inte: dataskydd och sekretessrättigheter är väldigt viktiga, men slutmålet här är att skapa en effektiv visselblåsningsmekanism. Personer ska känna sig bekväma med att lämna uppgifter så att din organisation kan upptäcka och hantera allvarliga oegentligheter.

Prata med våra experter

Vill du lära dig mer, diskutera idéer eller dela åsikter?

Kontakta oss

Share this page