Selv om over ti danske og internationale virksomheder med afdelinger herhjemme inden for de seneste to år har indført whistleblower-kanaler, så har blot én af dem fået Datatilsynets tilladelse til sladrelinjen, sådan som loven i de fleste tilfælde kræver.

Tilladelsen blev givet til Vestas 5. december 2006. Årsagen til vindmøllefabrikantens anmodning er ifølge koncernpersonaledirektør Roald Steen Jakobsen ellers såre simpel:

»Man kan jo ikke indføre et system, hvor man ønsker at sikre, at medarbejderne kan indberette uregelmæssigheder, og så starte det på en uregelmæssighed. Sådan noget skal jo være i overensstemmelse med dansk lovgivning,« konstaterer han.

Med til historien om Vestas’ whistleblower-funktion, hvor medarbejderne anonymt kan rapportere om kollegers eller forretningspartneres eventuelt ulovlige betalinger, dårlig forretningsetik eller brud på sikkerheden uden at grue for gengældelser, hører også, at selve funktionen er ladt i hænderne på et amerikansk selskab.

Netop det, at oplysninger, der kan være personfølsomme, bevæger sig over landegrænser, var ydermere en tungtvejende grund til, at Vestas ville sikre sig, at kanalen lever op til kravene i persondataloven.

Følsomme oplysninger om ansatte
I et rundspørge foretaget af Ingeniøren oplyser Danisco, Shell Danmark, Dong, Novozymes, Rambøll, Grontmij | Carl Bro og Novo Nordisk, at de også har oprettet whistleblower-kanaler, men ikke fulgt Vestas eksempel.

Den viden er ny hos Datatilsynet, som kontrollerer behandlinger af personoplysninger hos både private og offentlige institutioner.

»Som udgangspunkt er whistleblower-kanaler omfattet af anmeldelsespligten og kravet om forudgående tilladelse fra os, når de indeholder følsomme oplysninger omfattet af persondatalovens paragraf syv og otte. Hvis nogen ikke er opmærksomme på det, så er det fint, hvis de bliver det. Men der er undtagelser. Hvis man ikke behandler følsomme oplysninger, som i whistleblower-kanaler typisk vil være oplysninger om strafbare forhold, så skal man ikke anmelde behandlingen,« fortæller Henriette Vincens Nielsen, fuldmægtig i Datatilsynet.

Jan Trzaskowski beskæftiger sig med internetjura og persondatabeskyttelse som adjunkt ved juridisk institut på Copenhagen Business School. Han vurderer, at firmaerne med rette bør få kontrolleret opbygningen af kanalerne hos Datatilsynet.

»Det er en slags sikkerhedsforanstaltning for de folk, som der bliver behandlet data om, og et eksempel på, at persondataloven kommer ind alle steder. Det bør virksomhederne være opmærksomme på,« pointerer Jan Trzaskowski.

Kan behandlingen af oplysningerne så være ulovlig?

»Ja. I visse tilfælde, må man ikke behandle oplysningerne, før man har fået Datatilsynets svar. Men pointen er, at det ikke er ulovligt at behandle sådanne oplysninger, så længe der er et berettiget formål med det, og de formelle krav bliver overholdt,« siger Jan Trzaskowski.

Vil rette op på brist
Det har ikke været muligt at få en kommentar fra Novo Nordisk eller Rambøll. Chefen for Daniscos bæredygtighedsafdeling, Søren Hjuler Vogelsang, erkender, at virksomheden ikke har været klar over forholdet.

»Det må vi bare se at få i orden. Alle større virksomheder i verden får jo breve og henvendelser om uregelmæssigheder, som så bliver placeret i en eller anden juridisk mappe et sted,« siger Søren Hjuler Vogelsang.

Hos Shell Danmark oplyser kommunikationschef Regitze Reeh, at olieselskabets juridiske afdeling er i færd med at undersøge reglerne på området.

»Hvis der skulle mangle en tilladelse, vil vi naturligvis sørge for at få den. Men jeg tror faktisk, at vores danske model, hvor man skriver anonymt til direktøren, er lukket,« siger hun.

Grontmij | Carl Bro tog en snak med juristerne hos Dansk Industri, før ingeniørvirksomheden oprettede en whistleblower-kanal til sine cirka 7.000 medarbejdere.

»Da juristerne ikke kunne give os et entydigt svar på behovet for en tilladelse, har vi nu været i dialog med Datatilsynet og aftalt, at vi for at være på den sikre side indhenter en tilladelse,« fortæller kvalitetschef Søren Vestergaard.

Mener anmeldelse er unødig
Hos Dong kan de ansatte sende et brev, som en ekstern advokat modtager. Hvis advokaten vurderer, at der retmæssigt kan ske en videregivelse af personhenførbarebare oplysninger, overdrager han brevet til en revisionskomité.

På grund af dette postkasse-system vurderede energiselskabet i første omgang, at der ikke var brug for en tilladelse efter persondataloven.

»For at undgå tvivl vil Dong dog kontakte Datatilsynet for at få bekræftet skønnet,« fortæller pressechef Louise Münter.

En lignende overvejelse gjorde Novozymes, da den bioteknologiske virksomhed for to år siden besluttede at leve op til etiske investorer, kunder og Transparency International, som stigende grad krævede whistleblower-kanaler.

Modsat Dong fastholder Novozymes, at det er unødigvendigt at inddrage Datatilsynet. Dels kan oplysningerne være i offentlighedens interesse og dækket af undtagelserne, dels holdes personoplysninger fuldt anonyme i den samlede sagsbehandling.

»Der er således ikke tale om videregivelse af personoplysninger, men kun begivenheder. På den baggrund vurderede vi, at en anmeldelse ikke var nødvendig,«siger Eva Hald, chef for ekstern kommunikation i Novozymes.