Ensartet procedure for etablering af whistleblower-ordninger i EU

Nuværende problem

Baggrund
Internationale organisationer som FN, OECD, det internationale handelskammer (ICC) og Transparency International anbefaler, at større og/eller internationale virksomheder etablerer et whistleblowing system. Dette følges på dansk grund op af Komitéen for god Selskabsledelse der i anbefalingerne om god selskabsledelse i børsnoterede selskaber anbefaler, ”at det øverste ledelsesorgan beslutter, hvorvidt der skal etableres en whistleblower-ordning med henblik på at give mulighed for en hensigtsmæssig og fortrolig rapportering af alvorlige forseelser eller mistanke herom”.

Når en virksomhed etablerer whistleblower-ordninger, er formålet bl.a. at indsamle eventuelle oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte, bestyrelsesmedlemmer, revisorer, advokater og leverandører, der har været involveret i alvorlige forseelser som f.eks. bestikkelse, bedrageri, alvorlig miljøforurening eller dokumentfalsk.

Da formålet med whistleblower-ordninger således er at registrere personoplysninger af følsom karakter, bl.a. strafbare forhold, skal behandlingen anmeldes til Datatilsynet, og virksomheden skal have Datatilsynets tilladelse til behandlingen, inden den iværksættes, jf. persondatalovens § 48 og § 50, stk. 1, nr. 1 som afspejlet i EU's databeskyttelses direktiv: ”Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger”.

Den største forhindring for etablering af whistleblowing-ordninger er dels uens tolkning i EU af reglerne for ansøgning/godkendelse af systemet, og dels uens tolkning af reglerne for hvad der må indberettes om gennem systemet. Dertil kommer, at godkendelse fra et EU-land ikke accepteres i et andet EU-land. Det pålægger virksomheder, der ønsker at leve op til anerkendte anbefalinger om god selskabsledelse, ekstraordinære store byrder med at ansøge om godkendelse i alle de EU-lande hvori de gør forretning, samt lokal tilpasning af ordningen ift. det enkelte EU-lands forskrifter. Dette ses som den største barriere for etablering af whistleblowing-ordninger i Danmark og EU.

Forskellig tolkning af reglerne i EU
Den primære udfordring ved etablering af en whistleblower-ordning i EU er, at EU Direktiv, ”Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger” tolkes forskelligt i de respektive EU lande. Derved accepteres en godkendelse i et EU-land ikke i de øvrige EU-lande.

Derved skal virksomheder, der opererer i flere EU lande, på forskellig vis ansøge i hvert EU land om godkendelse til etablering af en whistleblower-ordning. Det betyder unødig bureaukrati og ressourcetræk hos virksomhederne, samtidig med at det skaber et system, der ikke er transparent.

I Danmark skal Datatilsynet give tilladelse til etablering af en whistleblower-ordning efter de af Datatilsynet udarbejdede retningslinjer. I Frankrig ansøges også hos det franske datatilsyn, men her er ansøgningen af mere deklaratorisk format, hvorved der ikke skal afventes lang sagsbehandlingstid. I Tyskland har hver del-stat sine retningslinjer for etablering af en whistleblower-ordning, hvilket indebærer at SU-udvalg el.lign. som led i den tyske arbejdstagerlovgivning, skal høres før etablering af en whistleblower-ordning. I Sverige er det en betingelse, at det kun er topchefer og personer i nøglepositioner som der kan rapporteres om gennem en whistleblower-ordning.

Samlet set er billedet meget ugennemsigtigt og forskelligartet, hvilket er en stor hindring for virksomheder i at etablere whistleblower-ordninger.

Begrænsning på hvad der må indberettes om
En yderligere hindring for etablering af et whistleblower-system er uens fortolkning af hvad der må indberettes om gennem en whistleblower-ordning.

I Danmark skriver Datatilsynet i sine retningslinjer: ”Der vil efter Datatilsynets opfattelse kunne ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser – eller mistanke herom – der kan få betydning for koncernen som helhed / selskabet, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred. Det kan f.eks. være tilfældet ved mistanke om alvorlig økonomisk kriminalitet, herunder bestikkelse, bedrageri, dokumentfalsk og lign.”

Dog åbner Datatilsynet op for, at der også kan indberettes om ”miljøforurening, alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en ansat, f.eks. vold eller seksuelle overgreb.” Men Datatilsynet beskriver samtidig eksplicit, at der ikke kan ske indberetning af ”mindre alvorlige forseelser for eksempel mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse af retningslinjer for f.eks. påklædning, rygning / alkohol, brug af e-post / internet og lign.” Denne begrænsning betyder, at der er meget restriktive anvendelsesmuligheder ved et whistleblower-system. Det skal ses i lyset af at omkostningerne ved etablering af et whistleblower-system let løber op i 100.000 – 200.000 kr.

Hertil kommer at hvert EU land har forskellig fortolkning af, hvad et whistleblower-system må omfatte, hvilket gør ordningerne bureaukratiske at håndtere for virksomhederne.

Berørte virksomheder

Der er pt. ca. 100 virksomheder der har ansøgt Datatilsynet i Danmark om etablering af et whistleblower-system. Der ligger samtidig ca. 60 ansøgninger hos Datatilsynet som er under behandling. Flere kommer til hver måned.

Virksomheder noteret på den danske børs anbefales at have en whistleblower-ordning jf. Komitéen for god Selskabsledelse. Samtidig anbefales virksomheder, der opererer internationalt at etablere en whistleblower-ordning. Det er både større og mindre virksomheder der etablerer whistleblowing-ordninger, med overvægt at virksomheder med mere end 250 ansatte.

Det er et krav, at virksomheder noteret på NASDAQ og New York Stock Exchange (NYSE), har en whistleblower-ordning.

Forslag

Der anbefales en ens tolkning af reglerne i EU, således at en godkendelse i et EU-land har gyldighed i et andet EU-land. Det vil gøre det langt enklere og mindre omkostningstungt for virksomheder i hele EU at etablere whistleblower-ordninger til gavn for bekæmpelse af korruption, bestikkelse og andre ulovligheder.

Yderligere oplysninger

Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Der ansøges hos Datatilsynet, som ligeledes er tilsynsmyndighed. Datatilsynet er placeret under Justitsministeriet.

Forslaget gennemføres ikke.

Regeringen anser det ikke for muligt at gennemføre forslaget i dansk ret, idet gennemførsel af forslaget ikke vil være foreneligt med databeskyttelsesdirektivet.

Det bemærkes i den forbindelse, at der for tiden pågår forhandlinger om EU-Kommissionens forslag til en ny databeskyttelsesforordning. Ét af formålene med forslaget er netop yderligere at harmonisere databeskyttelsesreglerne i EU-landene.

Etablering af whistleblowerordninger rejser imidlertid også spørgsmål, der relaterer sig til andre retsområder (f.eks. arbejdsretlige regler og regler om retspleje).

Om databeskyttelsesdirektivet kan følgende oplyses:

Det fremgår af forslaget fra Virksomhedsforum for enklere regler, at den primære udfordring ved etablering af en whistleblowerordning i EU er, at databeskyttelsesdirektivet (direktiv 95/46/EF) tolkes forskelligt i de respektive EU-lande. En godkendelse i et EU-land gælder ikke i de øvrige EU-lande.

Det bemærkes i den forbindelse, at databeskyttelsesdirektivet ikke er et totalharmoniseringsdirektiv. Direktivet overlader derimod på visse områder de enkelte medlemsstater et vist spillerum til at fastlægge nærmere regler om behandling af personoplysninger. I Danmark er direktivet gennemført ved persondataloven.

Der vil typisk i forbindelse med en whistleblowerordning blive behandlet oplysninger om bl.a. strafbare forhold. Behandling af oplysninger om strafbare forhold er særligt reguleret i persondatalovens § 8 og betragtes som følsomme personoplysninger. Bestemmelsen i § 8 blev indført for at sikre, at der ikke – uden samtykke – kunne registreres og videregives personoplysninger i videre udstrækning end efter den tidligere gældende registerlovgivning (lov om privates registre m.v. og lov om offentlige myndigheders registre).

Der findes ikke i databeskyttelsesdirektivet en bestemmelse om behandling af oplysninger om strafbare forhold, som svarer til bestemmelsen i persondatalovens § 8. Direktivet overlader derimod medlemsstaterne et vist spillerum til at fastlægge de nærmere kriterier for adgangen til at behandle sådanne oplysninger, der ikke – i direktivets forstand – har karakter af følsomme personoplysninger (jf. herved direktivets artikel 8, stk. 5).

Der gælder som følge heraf forskellige regler for behandling af oplysninger om strafbare forhold de enkelte medlemsstater imellem. Der er derfor ikke tale om, at de enkelte datatilsyn i medlemsstaterne i forbindelse med meddelelse af tilladelse til whistleblowerordninger fortolker databeskyttelsesdirektivet forskelligt, men derimod om forskellig national regulering af adgangen til at behandle oplysninger om bl.a. strafbare forhold.

For så vidt angår det forhold, at en tilladelse opnået i ét EU-land ikke er gældende i de øvrige EU-lande, bemærkes, at de enkelte medlemsstaters datatilsyn alene har kompetence til at meddele tilladelse til behandling af oplysninger, som er omfattet af den pågældende medlemsstats databeskyttelseslovgivning. De enkelte medlemsstaters databeskyttelseslovgivning gælder som udgangspunkt kun for virksomheder mv., som er etableret i den pågældende medlemsstat. Det indebærer, at en tilladelse udstedt af en tilsynsmyndighed i én medlemsstat ikke kan udstrækkes til at gælde for behandling af personoplysninger i en anden medlemsstat. Dette følger af databeskyttelsesdirektivets artikel 4.