Gælder GDPR for skurke?

Howard Wilkinson, der fløjtede om Danske Bank, efterlyser bedre beskyttelse af whistleblowere. Også fra politisk hold er der nu overvejelser om at etablere en national whistleblowerordning. Men, men, men… En whistleblowerordning kan nemt komme til at overtræde en lang række fundamentale principper i persondatareglerne, skriver Jakob Dedenroth Bernhoft i denne uges klumme.

Danske Bank-sagen i Estland blev opdaget, fordi en whistleblower slog alarm. Uden ham var sagen måske aldrig blevet afsløret. Der findes en lang række andre sager, hvor whistleblowere har spillet en helt afgørende rolle. Tænk bare på whistleblowere som Julian Assange og Edward Snowden. Eller på Watergate, hvor en whistleblower var med til at fælde den amerikanske præsident.

Howard Wilkinson, whistlebloweren i Danske Bank-sagen, er af den opfattelse, at der mangler en helt basal beskyttelse af og rettigheder for whistleblowere i Danmark. Det har ansporet danske politikere til at overveje, om der burde etableres en national whistleblowerordning. Sidste mandag luftede SF en ide med et særlig rådgivende nævn for whistleblowere baseret på en ny whistleblowerlov, som også skulle indeholde bestemmelser om en særlig beskyttelse af whistleblowere.

Som vinden blæser i dag, er der mange, som hælder til ideer a la denne.

Beskyttelse af den person, som indberettes
Men, men, men! En afsløring fra en whistleblower vil i sagens natur indeholde påstand om en persons eller virksomheds lovovertrædelser og kan nemt indeholde andre fortrolige og følsomme oplysninger. Selvom man som person har overtrådt lovgivningen, så har man i et retssamfund rettigheder, som skal beskyttes. Og er man uskyldig, så vil den almindelige retsopfattelse nok være, at vedkommendes rettigheder er endnu mere beskyttelsesværdige.

En whistleblowerordning kan nemt komme til at overtræde en lang række fundamentale principper i persondatareglerne, som for eksempel:

  • Manglende orientering af den, som oplysningerne vedrører
  • Kan man få indsigt?
  • Kan den, som oplysningerne vedrører, gøre indsigelse og få rettet forkerte oplysninger?
  • Hvornår slettes oplysningerne? Er man til tid og evighed ’stemplet’?
  • Hvem videregives oplysningerne til?

… og listen er meget længere, men pointen er den samme: Er der ikke risiko for, at man tilsidesætter alle fundamentale rettigheder i GDPR ved at indføre en sådan ordning? Her skal man huske på, at en whistleblower ikke nødvendigvis har ret eller taler sandt. Han kan jo have sin egen dagsorden, for eksempel at hævne sig eller på anden måde sværte en anden person til.

Hvad nu hvis oplysningerne ved et uheld lækkes og havner på avisernes forside?

Politikere, tænk jer nu godt om!
Mit ærinde er ikke at diskutere, om der er brug for en national whistleblowerordning, men at man ikke hovedkulds får sat en ordning i søen, som ikke i tilstrækkelig grad beskytter personoplysninger. Der findes allerede i dag whistleblowerordninger sporadisk rundt omkring. Nogle brancher er underlagt egentlige lovkrav, mens andre har gjort det frivilligt. Det samme gælder offentlige myndigheder. Men en national ordning dækkende alle virksomheder vil få en helt anden massiv betydning.

I sidste ende er det en politisk afvejning. Men husk, at sådan en ordning også skal virke fornuftig og afbalanceret i en fremtid, hvor hypen om whistleblowere er aftaget. Og ser man på mindre demokratiske lande rundt om i verden, findes der whistleblowerordninger, som ikke hører til i et retssamfund.

Og ja, GDPR gælder også for skurke.

 

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.