Den 13 juli 2021 begärde DLA Piper Denmark Advokatpartnerselskab (DLA Piper) Datatilsynet om ett rådgivande yttrande angående rollfördelningen i dataskyddslagstiftningen mellan en arbetsgivare och en extern whistleblower-administratör i den situation där en arbetsgivare lägger ut en intern whistleblower-system till en extern whistleblower-administratör.
DLA Piper har satt upp tre olika scenarier som, enligt DLA Pipers erfarenhet, är de typiskt förekommande sätten på vilka whistleblower-system outsourcas och som DLA Piper vill att Datatilsynet ska ta ställning till; när en extern leverantör hanterar rapporter från whistleblowers via direktkontakt (mail, telefon etc.), när en leverantör hanterar rapporter via direktkontakt och även tillhandahåller en it-plattform (t.ex. en webbplats), samt när en leverantör endast ställer en it-plattform till arbetsgivarens förfogande.
Datatilsynet har i svaret på förfrågan behandlat hur myndigheten uppfattar personuppgiftsansvar i de enskilda scenarierna. Detta är enligt Datatilsynet ett svar på en specifik förfrågan och alltså inte en mer generell vägledning om personuppgiftsansvar i andra tänkta situationer.