Whistleblowerordning – Artikel 30-fortegnelse

Senest opdateret 21 december – 2022

I henhold til Databeskyttelsesforordningens (herefter ”GDPR”) artikel 30 skal der udarbejdes en fortegnelse vedrørende behandling af personoplysninger i organisationens whistleblowerordning. Her er et eksempel på, hvordan en fortegnelse kan udformes. 

Dataansvarlig  

Kontaktperson: Casper Bøndergaard

E-mail: casper@vidar.dk

Telefon: 28942383

Oversigt
Behandlingens formål og det retlige grundlag for behandlingenFormålet er at stille en whistleblowerordning til rådighed for organisationens medarbejdere i henhold til VIDARs forpligtelser i whistleblowerloven. Behandlingsgrundlag for behandling af personoplysninger:GDPR artikel 6, stk. 1, litra c (nødvendig for at overholde en retlig forpligtelse, jf. whistleblowerlovens § 22).Undtagelse til forbuddet mod behandling af følsomme personoplysninger og oplysninger om straffedomme og lovovertrædelser:GDPR artikel 9, stk. 2, litra g (nødvendig af hensyn til væsentlig samfundsinteresse, jf. whistleblowerlovens § 22).GDPR artikel 10 (hjemmel i whistleblowerlovens § 22). Behandlingsgrundlag for behandling af personoplysninger:GDPR artikel 6, stk. 1, litra f (interesseafvejningsreglen), idet organisationen har en saglig interesse i at varetage oplysninger rapporteret via en whistleblowerordning, og denne interesse vurderes at vægte tungere end hensynet til registrerede, som måtte være nævnt i en indberetning.Undtagelse til forbuddet mod behandling af følsomme personoplysninger og oplysninger om straffedomme og lovovertrædelser:GDPR artikel 9, stk. 2, litra f (nødvendig for at retskrav kan fastlægges, gøres gældende eller forsvares).GDPR artikel 9, stk. 2, litra g (nødvendig af hensyn til væsentlig samfundsinteresse).Databeskyttelseslovens § 8 vedrørende oplysninger om strafbare forhold og straffedomme. 
Kategorier af registrerede personerMedarbejdereEvt. whistleblowere, som ikke er medarbejderePersoner omfattet af en indberetningØvrige samarbejdspartnere mv.  
Kategorier af personoplysningerDe oplysninger whistlebloweren vælger at indberette til whistleblowerordningen.  Whistlebloweren kan vælge at være anonym i forbindelse med en indberetning. Whistlebloweren kan dog vælge at fravige anonymiteten undervejs i processen, ligesom en indberetning om andre identificerbare personer vil være en behandling omfattet af databeskyttelseslovgivningen. Særlige kategorier af oplysninger Behandlingen kan omfatte særlige kategorier af personoplysninger efter GDPR artikel 9, hvis sådanne oplysninger er omfattet af indberetningen. 
BehandlingsaktiviteterModtage og screene indberetningUndersøge habilitet Vurdere indberetningEventuel anmeldelse til myndighederFeedback til whistlebloweren 
Hvor finder behandlingen sted?Behandlingen finder sted hos organisationen og organisationens eksterne rådgiver, som administrerer whistleblowerordningen, Nordic Whistle.  Behandlingen finder sted i driftscentre, som ligger i EU.  
Databehandlere Nordic Whistle og dennes underdatabehandlere i EU. Organisationens egne interne IT-systemer.
Modtagere af personoplysninger (selvstændige dataansvarlige)MyndighederSåfremt henvendelsen giver anledning til anmeldelse til en myndighed, afhænger myndigheden af den konkrete henvendelse, men der kan f.eks. være tale om SØIK (Statsadvokaten for Særlig Kriminalitet) eller politiet. 
Overførsel til 3. lande og internationale organisationerData overføres ikke til lande uden for EU og heller ikke til internationale organisationer.   
SletningOpbevaringsperioden afhænger af den konkrete sag og hvilke tiltag sagen giver anledning til. Oplysningerne slettes, så snart de ikke længere er relevante ift. dokumentationskrav over for myndigheder, en evt. ansættelsesretlig tvist m.v. Oplysninger omfattet af en grundløs indberetning slettes inden for 90 dage fra den endelige vurdering foreligger. 
SikkerhedsforanstaltningerDer er fastsat adgangs- og brugerstyring for det IT-system, databehandleren anvender til whistleblowerordningen, ligesom systemet også omfatter kryptering og sikrer anonymitet. For så vidt angår organisationens interne håndtering af oplysninger omfattet af en indberetning, er der ligeledes fastsat adgangs- og brugerstyring, således at kun udvalgte nøglemedarbejdere har adgang til oplysningerne.