Betyder, at regeringen har valgt ikke at gennemføre forslaget. Regeringen forklarer hvorfor.
Betyder, at enkelte dele ikke gennemføres eller gennemføres på en anden måde end Virksomhedsforum har foreslået.
Betyder, at forslaget gennemføres og der iværksættes initiativer for at levere forenkling på området.
Betyder, at regeringen er ved at behandle forslaget fra Virksomhedsforum.
X
Baggrund
Internationale organisationer som FN, OECD, det internationale handelskammer (ICC)
og Transparency International anbefaler, at større og/eller internationale virksomheder
etablerer et whistleblowing system. Dette følges på dansk grund op af Komitéen
for god Selskabsledelse der i anbefalingerne om god selskabsledelse i børsnoterede
selskaber anbefaler, ”at det øverste ledelsesorgan beslutter, hvorvidt der skal
etableres en whistleblower-ordning med henblik på at give mulighed for en hensigtsmæssig
og fortrolig rapportering af alvorlige forseelser eller mistanke herom”.
Når en virksomhed etablerer whistleblower-ordninger, er formålet bl.a. at indsamle
eventuelle oplysninger om personer med tilknytning til virksomheden, f.eks. ansatte,
bestyrelsesmedlemmer, revisorer, advokater og leverandører, der har været involveret
i alvorlige forseelser som f.eks. bestikkelse, bedrageri, alvorlig miljøforurening
eller dokumentfalsk.
Da formålet med whistleblower-ordninger således er at registrere personoplysninger
af følsom karakter, bl.a. strafbare forhold, skal behandlingen anmeldes til Datatilsynet,
og virksomheden skal have Datatilsynets tilladelse til behandlingen, inden den iværksættes,
jf. persondatalovens § 48 og § 50, stk. 1, nr. 1 som afspejlet i EU's
databeskyttelses direktiv: ”Europa-Parlamentet og Rådets direktiv 95/46/EF af
24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af
personoplysninger og om fri udveksling af sådanne oplysninger”.
Den største forhindring for etablering af whistleblowing-ordninger er dels uens tolkning
i EU af reglerne for ansøgning/godkendelse af systemet, og dels uens tolkning af reglerne
for hvad der må indberettes om gennem systemet. Dertil kommer, at godkendelse fra
et EU-land ikke accepteres i et andet EU-land. Det pålægger virksomheder, der ønsker
at leve op til anerkendte anbefalinger om god selskabsledelse, ekstraordinære store
byrder med at ansøge om godkendelse i alle de EU-lande hvori de gør forretning, samt
lokal tilpasning af ordningen ift. det enkelte EU-lands forskrifter. Dette ses som
den største barriere for etablering af whistleblowing-ordninger i Danmark og EU.
Forskellig tolkning af reglerne i EU
Den primære udfordring ved etablering af en whistleblower-ordning i EU er, at EU Direktiv,
”Europa-Parlamentet og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse
af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling
af sådanne oplysninger” tolkes forskelligt i de respektive EU lande. Derved
accepteres en godkendelse i et EU-land ikke i de øvrige EU-lande.
Derved skal virksomheder, der opererer i flere EU lande, på forskellig vis ansøge
i hvert EU land om godkendelse til etablering af en whistleblower-ordning. Det betyder
unødig bureaukrati og ressourcetræk hos virksomhederne, samtidig med at det skaber
et system, der ikke er transparent.
I Danmark skal Datatilsynet give tilladelse til etablering af en whistleblower-ordning
efter de af Datatilsynet udarbejdede retningslinjer. I Frankrig ansøges også hos det
franske datatilsyn, men her er ansøgningen af mere deklaratorisk format, hvorved der
ikke skal afventes lang sagsbehandlingstid. I Tyskland har hver del-stat sine retningslinjer
for etablering af en whistleblower-ordning, hvilket indebærer at SU-udvalg el.lign.
som led i den tyske arbejdstagerlovgivning, skal høres før etablering af en whistleblower-ordning.
I Sverige er det en betingelse, at det kun er topchefer og personer i nøglepositioner
som der kan rapporteres om gennem en whistleblower-ordning.
Samlet set er billedet meget ugennemsigtigt og forskelligartet, hvilket er en stor
hindring for virksomheder i at etablere whistleblower-ordninger.
Begrænsning på hvad der må indberettes om
En yderligere hindring for etablering af et whistleblower-system er uens fortolkning
af hvad der må indberettes om gennem en whistleblower-ordning.
I Danmark skriver Datatilsynet i sine retningslinjer: ”Der vil efter Datatilsynets
opfattelse kunne ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser
– eller mistanke herom – der kan få betydning for koncernen som helhed
/ selskabet, eller som kan have afgørende betydning for enkeltpersoners liv eller
helbred. Det kan f.eks. være tilfældet ved mistanke om alvorlig økonomisk kriminalitet,
herunder bestikkelse, bedrageri, dokumentfalsk og lign.”
Dog åbner Datatilsynet op for, at der også kan indberettes om ”miljøforurening,
alvorlige brud på arbejdssikkerheden samt alvorlige forhold, der retter sig mod en
ansat, f.eks. vold eller seksuelle overgreb.” Men Datatilsynet beskriver samtidig
eksplicit, at der ikke kan ske indberetning af ”mindre alvorlige forseelser
for eksempel mobning, samarbejdsvanskeligheder, inkompetence, fravær, overtrædelse
af retningslinjer for f.eks. påklædning, rygning / alkohol, brug af e-post / internet
og lign.” Denne begrænsning betyder, at der er meget restriktive anvendelsesmuligheder
ved et whistleblower-system. Det skal ses i lyset af at omkostningerne ved etablering
af et whistleblower-system let løber op i 100.000 – 200.000 kr.
Hertil kommer at hvert EU land har forskellig fortolkning af, hvad et whistleblower-system
må omfatte, hvilket gør ordningerne bureaukratiske at håndtere for virksomhederne.
Der er pt. ca. 100 virksomheder der har ansøgt Datatilsynet i Danmark om etablering
af et whistleblower-system. Der ligger samtidig ca. 60 ansøgninger hos Datatilsynet
som er under behandling. Flere kommer til hver måned.
Virksomheder noteret på den danske børs anbefales at have en whistleblower-ordning
jf. Komitéen for god Selskabsledelse. Samtidig anbefales virksomheder, der
opererer internationalt at etablere en whistleblower-ordning. Det er både større og
mindre virksomheder der etablerer whistleblowing-ordninger, med overvægt at virksomheder
med mere end 250 ansatte.
Det er et krav, at virksomheder noteret på NASDAQ og New York Stock Exchange (NYSE),
har en whistleblower-ordning.
Der anbefales en ens tolkning af reglerne i EU, således at en godkendelse i et EU-land har gyldighed i et andet EU-land. Det vil gøre det langt enklere og mindre omkostningstungt for virksomheder i hele EU at etablere whistleblower-ordninger til gavn for bekæmpelse af korruption, bestikkelse og andre ulovligheder.
Direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger. Der ansøges hos Datatilsynet, som ligeledes er tilsynsmyndighed. Datatilsynet er placeret under Justitsministeriet.
Forslaget gennemføres ikke.
Regeringen anser det ikke for muligt at gennemføre forslaget i dansk ret, idet gennemførsel
af forslaget ikke vil være foreneligt med databeskyttelsesdirektivet.
Det bemærkes i den forbindelse, at der for tiden pågår forhandlinger om EU-Kommissionens
forslag til en ny databeskyttelsesforordning. Ét af formålene med forslaget
er netop yderligere at harmonisere databeskyttelsesreglerne i EU-landene.
Etablering af whistleblowerordninger rejser imidlertid også spørgsmål, der relaterer
sig til andre retsområder (f.eks. arbejdsretlige regler og regler om retspleje).
Om databeskyttelsesdirektivet kan følgende oplyses:
Det fremgår af forslaget fra Virksomhedsforum for enklere regler, at den primære udfordring
ved etablering af en whistleblowerordning i EU er, at databeskyttelsesdirektivet (direktiv
95/46/EF) tolkes forskelligt i de respektive EU-lande. En godkendelse i et EU-land
gælder ikke i de øvrige EU-lande.
Det bemærkes i den forbindelse, at databeskyttelsesdirektivet ikke er et totalharmoniseringsdirektiv.
Direktivet overlader derimod på visse områder de enkelte medlemsstater et vist spillerum
til at fastlægge nærmere regler om behandling af personoplysninger. I Danmark er direktivet
gennemført ved persondataloven.
Der vil typisk i forbindelse med en whistleblowerordning blive behandlet oplysninger
om bl.a. strafbare forhold. Behandling af oplysninger om strafbare forhold er særligt
reguleret i persondatalovens § 8 og betragtes som følsomme personoplysninger.
Bestemmelsen i § 8 blev indført for at sikre, at der ikke – uden samtykke
– kunne registreres og videregives personoplysninger i videre udstrækning end
efter den tidligere gældende registerlovgivning (lov om privates registre m.v. og
lov om offentlige myndigheders registre).
Der findes ikke i databeskyttelsesdirektivet en bestemmelse om behandling af oplysninger
om strafbare forhold, som svarer til bestemmelsen i persondatalovens § 8. Direktivet
overlader derimod medlemsstaterne et vist spillerum til at fastlægge de nærmere kriterier
for adgangen til at behandle sådanne oplysninger, der ikke – i direktivets forstand
– har karakter af følsomme personoplysninger (jf. herved direktivets artikel
8, stk. 5).
Der gælder som følge heraf forskellige regler for behandling af oplysninger om strafbare
forhold de enkelte medlemsstater imellem. Der er derfor ikke tale om, at de enkelte
datatilsyn i medlemsstaterne i forbindelse med meddelelse af tilladelse til whistleblowerordninger
fortolker databeskyttelsesdirektivet forskelligt, men derimod om forskellig national
regulering af adgangen til at behandle oplysninger om bl.a. strafbare forhold.
For så vidt angår det forhold, at en tilladelse opnået i ét EU-land ikke er
gældende i de øvrige EU-lande, bemærkes, at de enkelte medlemsstaters datatilsyn alene
har kompetence til at meddele tilladelse til behandling af oplysninger, som er omfattet
af den pågældende medlemsstats databeskyttelseslovgivning. De enkelte medlemsstaters
databeskyttelseslovgivning gælder som udgangspunkt kun for virksomheder mv., som er
etableret i den pågældende medlemsstat. Det indebærer, at en tilladelse udstedt af
en tilsynsmyndighed i én medlemsstat ikke kan udstrækkes til at gælde for behandling
af personoplysninger i en anden medlemsstat. Dette følger af databeskyttelsesdirektivets
artikel 4.