Syftet med EU:s visselblåsardirektiv (2019/1937) är att skydda den som väljer att anmäla och rapportera om arbetsrelaterade missförhållanden (visselblåsning). Samtliga EU:s medlemsländer är skyldiga att implementera direktivet om visselblåsare i sin nationella lagstiftning senast per den 17 december 2021.
(TIPS! Läs mer om vårt förmånliga abonnemang…)
Vad kan rapporteras av en visselblåsare?
Alla överträdelser av EU-lagstiftning i ett arbetsrelaterat sammanhang kan rapporteras. Det inkluderar bland annat offentlig upphandling, penningtvätt, skattebedrägeri, produkt- och transportsäkerhet, dataskydd, skydd av privatlivet och personuppgifter samt säkerhet i nätverks- och informationssystem, folkhälsa, djurskydd, miljöskydd, överträdelser av unionens konkurrensregler och regler om statligt stöd, överträdelser rörande den inre marknaden i förhållande till handlande som utgör överträdelser av reglerna om bolagsskatt eller till arrangemang vars syfte är att erhålla skattefördelar som motverkar målet eller syftet med tillämplig bolagsskattelagstiftning, samt missförhållanden av ett allmänt intresse.
Det är möjligt att omfattas av skyddet även om en person har lämnat information som senare visar sig vara felaktig, om det har skett av misstag. För att omfattas av skyddet krävs att den som visselblåser vid tidpunkten för rapporteringen hade skälig anledning att anta att den information som rapporterades var sann.
Personer som avsiktligt och medvetet rapporterar felaktig eller vilseledande information ska däremot inte skyddas.
Omfattas man av skyddet om man bryter mot tystnadsplikt?
En visselblåsare får inte göras ansvarig för att ha åsidosatt tystnadsplikt, under förutsättning att denna hade skälig anledning att anta att rapporteringen av informationen var nödvändig för att avslöja det missförhållande som rapporterats.
Man får däremot inte bryta mot s.k. kvalificerad tystnadsplikt som enligt den nationella offentlighets- och sekretesslagen inskränker rätten att meddela och offentliggöra uppgifter.
Vem kan vara visselblåsare?
Alla personer som arbetar i den privata eller offentliga sektorn och som förvärvat information om överträdelser i ett arbetsrelaterat sammanhang kan visselblåsa.
Det inkluderar bland annat arbetstagare (även efter avslutat arbetsförhållande), egenföretagare, aktieägare och personer som tillhör ett företags förvaltnings- lednings- eller tillsynsorgan inbegripet icke-verkställande styrelseledamöter, volontärer och praktikanter (också oavlönade), person som arbetar under överinseende och ledning av (under)entreprenörer och leverantörer, främjande personer, tredje personer som har anknytning till rapporterande personer som kan komma att utsättas för repressalier i ett arbetsrelaterat sammanhang däribland kollegor och släktingar till den rapporterande personen, rättsliga enheter som den rapporterande personen äger eller arbetar för eller på annat sätt har anknytning till i ett arbetsrelaterat sammanhang.
Rapportering via verksamhetens interna rapporteringskanal eller myndigheternas externa rapporteringskanaler är valfritt men rekommendationen är att först använda den interna rapporteringskanalen.
Innan man larmar offentligt, till exempel via media, ska man först ha rapporterat till en myndighets externa rapporteringskanal utan att skäliga åtgärder vidtagits före.
Det finns undantag från den regeln, till exempel om det finns en överhängande eller uppenbar fara för liv, hälsa, säkerhet eller risk för omfattande skada i miljön. Eller om man har skälig anledning att anta att en extern rapportering skulle leda till en risk för repressalier eller till att missförhållandet sannolikt inte skulle avhjälpas på ett effektivt sätt.
Visselblåsning till interna och externa rapporteringskanaler kan enligt unionsrätten vara anonym men inskränker inte medlemsstaternas befogenhet att besluta om rättsliga enheters i den privata eller offentliga sektorn och behöriga myndigheters skyldighet att ta emot och följa upp anonyma rapporter. En anonym visselblåsare som senare identifieras är skyddad mot repressalier enligt direktivet.
Befintligt grundlagsskydd förändras inte med anledning av den nya lagen.
Vilka berörs av direktivet för visselblåsare?
Alla rättsliga enheter i den privata sektorn med 50 eller fler arbetstagare, kommuner med 10 000 invånare eller minst 50 anställda samt organisationer som är extra känsliga för penningtvätt eller terrorfinansiering oavsett antal anställda är skyldiga att inrätta rapporteringskanaler och tillhörande processer för visselblåsning.
Medlemsländerna kan ha andra tröskelvärden för speciella verksamheter i sin nationella lagstiftning.
Vad behöver göras?
Alla som berörs av direktivet och den nationella lagstiftningen skall skapa interna rapporteringskanaler och tillhörande processer som gör det möjligt att slå larm internt inom en verksamhet på ett säkert och anonymt sätt.
Rapporteringskanalerna skall vara utformade, inrättade och drivas på ett säkert sätt som säkerställer att en konfidentiell behandling av den rapporterande personens identitet och alla tredje parters identitet som omnämns i rapporten skyddas och så att åtkomst för obehörig personal förhindras.
Man ska kunna slå larm skriftligen (tex via webbformulär), muntligen via telefon eller andra röstmeddelandesystem eller på begäran av den rapporterande personen vid ett fysiskt möte inom en rimlig tidsfrist.
Funktionen ska kunna ta emot rapporter om missförhållanden och ha kontakt med visselblåsare, följa upp det som rapporteras, och lämna återkoppling om uppföljningen till de som slagit larm om visselblåsaren lämnat kontaktmöjligheter (inte är anonym).
De personer eller enheter som utses till att hantera den interna rapporteringskanalen och tillhörande processer kan antingen vara anställda hos verksamhetsutövaren eller hos någon som har anlitats för detta för verksamhetsutövarens räkning, tex den juristbyrå verksamheten normalt anlitar.
Verksamheter med upp till 249 arbetstagare kan dela interna rapporteringskanaler och processer för rapportering och uppföljning. Större verksamheter är skyldiga att införa egna interna rapporteringskanaler. Kommuner och regioner kan dela kanaler och förfaranden med kommunala bolag, stiftelser och föreningar.
Delade rapportkanaler påverkar dock inte de skyldigheter för respektive verksamhet/kommun/region som följer av detta direktiv att upprätthålla konfidentialitet, ge återkoppling och åtgärda rapporterade överträdelser.
(TIPS! Läs mer om vårt förmånliga abonnemang…)
Hur skall rapporter från visselblåsare hanteras?
Rapporteringsfunktionen skall ha tydliga interna processer för hanteringen av rapporter om missförhållanden.
I praktiken bör detta ske genom att implementera en visselblåsningspolicy i enlighet med visselblåsarlagen där det informeras om hur man som visselblåsare kan använda kanalen och för vilken typ av oegentligheter den kan användas, om vem/vilka som är mottagare av rapporterna och som ett internt verktyg för använda tillvägagångssätt för hanteringen av inkomna rapporter.
Förfaranden och uppföljning som bör ingå i policyn:
- Bekräftelse av mottagandet av rapporten till den rapporterande personen inom sju dagar från mottagandet om denna inte valt att vara anonym.
- En opartisk person eller oberoende avdelning som är utsedd som behörig att följa upp rapporter, som kan vara samma person eller avdelning som den som tar emot rapporterna och som, om personen inte valt att vara anonym, kommer att stå i kontakt med den rapporterande personen och när så är nödvändigt be om ytterligare information från och lämna återkoppling till den rapporterande personen.
- Omsorgsfull uppföljning av den utsedda person eller avdelning som avses i punkt 2.
- Omsorgsfull uppföljning om detta föreskrivs i nationell rätt med avseende på anonym rapportering.
- En rimlig tidsfrist för att, om personen inte valt att vara anonym, lämna återkoppling som inte överstiger tre månader från bekräftelsen av mottagandet eller, om ingen bekräftelse sänts till den rapporterande personen, efter utgången av sjudagarsperioden från det att rapporten gjordes.
- Tydlig och lättillgänglig information om förfarandena för extern rapportering till behöriga myndigheter och, i tillämpliga fall, till unionens institutioner, organ eller byråer.
Använd gärna vår policymall för visselblåsning, gratis för ditt eget bruk.
Nya ISO 37002:2021; riktlinjer för ledningssystem för visselblåsning
ISO (International Organization for Standardization) har utvecklat den första standarden helt avsedd för hantering av visselblåsning: ISO 37002:2021 – Ledningssystem för visselblåsning – standard för riktlinjer. ISO 37002 är en typ B-standard som ger riktlinjer för implementering och inte är avsedd för certifiering.
Standarden ger riktlinjer för implementering, hantering, utvärdering, underhåll och förbättring av ledningssystem för visselblåsning (WMS) inom en organisation. Som alla ISO-standarder representerar den en internationell bästa praxis som företag och organisationer över hela världen kan använda som modell för att strukturera sina interna processer.
Standarden täcker hela processen för implementering av WMS, inklusive planering (organisationens sammanhang, ledarskap, resurser), drift (mottagning, bedömning och behandling av rapporter och avslutande av visselblåsarärenden), granskning (internrevision och ledningsgenomgångar) och förbättringar.
När skall system för visselblåsare implementeras?
Medlemsländer är skyldiga att implementera direktivet om visselblåsare i sin nationella lagstiftning senast per den 17 december 2021. Arbetet med detta har dock försenats i flera länder, status 2022-08-29:
- Lagen implementerad: Cypern, Danmark, Frankrike, Irland, Kroatien, Lettland, Litauen, Malta, Portugal, Rumänien samt Sverige.
- Lagen på gång men försenad: Belgien, Bulgarien, Estland, Finland, Grekland, Italien, Luxemburg, Nederländerna, Polen, Slovakien, Slovenien, Spanien, Tjeckien, Tyskland samt Österrike.
- Lagen inte påbörjad: Ungern.
Direktivet skall implementeras i samtliga EU-medlemsländer, det finns ingen orsak för de som berörs av direktivet att vänta med att införa interna rapporteringssystem, särskilt om verksamheten har anställda eller andra som kan vara visselblåsare och är boende och verksamma i sådana länder som redan implementerat lagstiftningen.
Att bryta mot visselblåsardirektivet eller den nationella lagstiftningen?
Direktivet specificerar inga miniminivåer för böter eller viten men kräver att man i den nationella lagstiftningen skall straffa den som hindrar visselblåsare från att slå larm, bryter mot sekretessen eller på något sätt utsätter en visselblåsare för negativa konsekvenser efter rapporteringen.
Vilka krav gäller för visselblåsare i personuppgiftsbehandlingen (GDPR)?
Generellt kan sägas att visselblåsarlagen innehåller särskilda regler om behandling av personuppgifter. Reglerna i visselblåsarlagen kompletterar de bestämmelser om behandling av personuppgifter som finns i berörda förordningar.
Personuppgifter får bara behandlas om behandlingen är nödvändig för ett uppföljningsärende enligt lagen. Vad som avses med uppföljningsärende framgår av lagen.
Vidare gäller att personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport om visselblåsning inte får samlas in och skall snarast möjligt raderas om de samlats in av misstag. Personuppgifter får inte heller behandlas längre än två år efter att uppföljningsärendet avslutats.
I visselblåsarlagen anges också att det endast är personer som är behöriga att ta emot, följa upp och lämna återkoppling på rapporter som får ha tillgång till personuppgifter som behandlas i ett sådant ärende.
Verksamhet med minst 50 arbetstagare har en skyldighet att ha interna rapporteringskanaler enligt visselblåsaslagen och behöver därför inte söka tillstånd för sådan behandling som behövs enligt den nya visselblåsarlagen.
Verksamhet med färre än 50 arbetstagare är inte skyldiga att ha interna visselblåsarkanaler enligt visselblåsarlagen. För frivilligt inrättade rapporteringskanaler behövs därför ansökan om tillstånd i förväg om det finns behov av att behandla personuppgifter om lagöverträdelser på ett sätt som går utöver vad som medges i berörda föreskrifter.
Verksamhetsutövare måste ta upp behandlingen av personuppgifter inom ramen för den interna rapporteringskanalen för visselblåsning i registerförteckningen enligt berörda förordningar.
En konsekvensbedömning skall genomföras när en organisation inför ett internt rapporteringssystem (visselblåsarsystem) i vilket det är möjligt att anmäla missförhållanden på arbetsplatsen.
Måste vi ha ett komplett ärendehanteringssystem för visselblåsare?
De flesta system för visselblåsare som erbjuds idag är kompletta ärendehanteringssystem för mycket stora verksamheter och är egentligen onödigt komplexa och dyra med en onödigt hög inlärningströskel för de flesta verksamheter som berörs av direktivet. I själva verket räcker det med att skapa enkla rapporteringskanaler, processer och en policy för detta.
ANON::form erbjuder ett kostnadseffektivt alternativ med låg inlärningströskel där en intern rapporteringskanal för visselblåsare via säkra och anonyma formulär i specialbyggda system (som drivs av Anonform Ab), med skriftlig inrapportering i form av krypterad e-post till verksamhetens utsedda handläggare som sedan hanterar ärendet i de interna system och processer som man valt för detta.
Förutom rapporteringskanal ingår en standard automatiskt genererad policy för visselblåsning i vårt abonnemang E2EE Form BASIC utan extra kostnad.
Modern mobiltelefoni erbjuder fullgoda alternativ, ofta utan extra kostnader, till att skapa kanaler för röstrapportering.
TIPS! Läs mer om vårt förmånliga abonnemang… och komplettera gärna med säkra kontaktformulär i din webbplats, de ingår kostnadsfritt i ett abonnemang hos oss.
Om du ännu är osäker om hur du skall hantera direktivet och lagstiftningen för visselblåsare?
Det nya visselblåsardirektivet och tillhörande lagstiftning kan kännas stort och ohanterligt men är ändå förvånansvärt lätt att implementera för de flesta verksamheter. Förutom den specialbyggda rapporteringskanalen för visselblåsare vi erbjuder så kan vi hjälpa till med allt från rådgivning till en komplett implementation av hela lösningen, ta gärna kontakt och diskutera dina speciella behov!
