Visselblåsare är en person som slår larm om oegentligheter ofta på den egna arbetsplatsen till interna beslutsfattare eller till massmedia. Nya visselblåsarlagen godkändes av EU i oktober 2019. Den ger förstärkt skydd för visselblåsare i privat och offentlig verksamhet och ställer krav på implementering av säker och anonymt rapporteringssystem. I den här artikeln kan du läsa om vad detta innebär och hur din organisation kan göra för att anpassa sig. Lästid: 4 min
Nya visselblåsarlagen i korthet
- Direktivet gäller endast larm om överträdelser av EU-rätt (t.ex. GDPR, säkerhet i nätverks- och informationssystem, offentlig upphandling, finansiella tjänster, penningtvätt, produkt- och transportsäkerhet, hälsa, konsumenträtt).
- Visselblåsardirektivet träffar fler personer än den svenska visselblåsarlagen.
- Företag med mer än 50 anställda måste inrätta interna system för hantering av visselblåsarlarm.
- De interna rapporteringssystemen måste säkerställa konfidentialitet och uppföljning
- Personer som larmar om missförhållanden ska skyddas mot repressalier från arbetsgivare
Bakgrund till nya visselblåsarlagen
Visselblåsardirektivet som EU:s ministerråd antog i oktober 2019 ska göra det lättare för individer att rapportera om överträdelser av EU-rätt, både inom offentlig och privat sektor.
Skandaler som Panamadokumenten, Lux Leaks och Cambridge Analytica har synliggjort hur sårbara visselblåsare är. Idag har endast tio av EU-länderna omfattande lagar som skyddar visselblåsare, vilket har lett till att personer som har trätt fram har straffats nationellt. Ett exempel på det är Lux Leaks-visselblåsaren Antoine Deltour, som trots uppmärksamheten på EU-nivå åtalades i hemlandet Luxemburg. Det nya direktivet ska därför skapa ett enhetligt skydd av personer som avslöjar missförhållanden och oegentligheter i hela unionen.
Hur skyddar svensk lag visselblåsare idag?
Sverige har en lag som skyddar arbetstagare som slår larm om allvarliga missförhållanden i arbetsgivarens verksamhet (Lag (2016:749) om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden). Lagen gäller inom såväl offentlig som privat sektor och omfattar även inhyrd personal. Med allvarliga missförhållanden ska avses brott som kan leda till fängelse eller andra jämförbara missförhållanden.
Meddelarfriheten ger offentligt anställda en grundlagsskyddad rätt att (som huvudregel) utan konsekvenser lämna vilken information och uppgifter som helst till media för offentliggörande. Offentligt anställda har i och med meddelarfriheten ett större skydd än personal i privata företag.
Även lagen om företagshemligheter ger ett visst skydd för bland annat anställda som röjer företagshemligheter i syfte att avslöja missförhållanden.
Vilka omfattas av nya visselblåsarlagen?
Det nya visselblåsardirektivet (Europaparlamentets och rådets direktiv (EU) 2019/1936 av den 23 oktober 2019 om skydd för personer som rapporterar om överträdelser av unionsrätten) skyddar inte bara anställda, utan också egenföretagare, volontärer och praktikanter, aktieägare, leverantörer och tidigare anställda i både offentlig och privat verksamhet. Direktivet skyddar inte konsumenter.
Följande organisationer omfattas av de förstärkta skyddet för visselblåsare:
- Privata företag med fler än 50 anställda
- Privata organisationer inom finansbranschen
- Privata organisationer som är känsliga för penningtvätt eller terrorfinansiering
- Offentliga organisationer och myndigheter (vissa undantag för mindre kommuner finns)
Vad visselblåsare kan rapportera om är olagliga verksamheter och överträdelser av EU-rätt. Direktivet omfattar många rättsområden, såsom offentlig upphandling, finansiella tjänster och produktsäkerhet. Rapporteringen kan också gälla skattebrott, pengatvätt och överträdelse av dataskyddsregler och konkurrensregler.
Hur kan visselblåsare rapportera?
En av de mest omstridda frågorna i lagstiftningsprocessen handlade om huruvida visselblåsare måste larma genom interna kanaler innan de får vända sig till myndigheter eller medier. Detta var ett krav i det ursprungliga förslaget till direktivet, men i den slutgiltiga versionen av nya visselblåsarlagen står att visselblåsare kan antingen rapportera internt eller kontakta behöriga myndigheter direkt.
Vissa särskilda förutsättningar måste dock föreligga för att visselblåsaren ska kunna vända sig till allmänheten via media. Sådana förutsättningar är till exempel om personen har larmat internt eller externt först men att inga åtgärder vidtogs som respons, eller att lagöverträdelsen innebär en överhängande fara för allmänhetens intresse. Att larma till pressen ska alltså fungera som en sista utväg.
Fördelen med att interna larm stöds är att det ger organisationen en möjlighet att själv hantera interna larm på ett konfidentiellt sätt. Det är först när ingen lämplig hantering eller åtgärder gjorts till visselblåsarens initiala larm, eller om visselblåsaren tror att det föreligger överhängande hot för det allmänna intresset eller risk för represalier som visselblåsaren med skydd kan larma publikt.
Långtgående krav på säkert rapporteringssystem
Nya visselblåsarlagen innebär bl.a. följande:
- Visselblåsare ska garanteras skydd mot repressalier, såsom uppsägning, degradering och hot.
- Visselblåsare måste också erbjudas olika typer av stöd kostnadsfritt, till exempel rättshjälp och psykologhjälp i samband med att rapportering sker.
- Medlemsstaterna ska även informera allmänheten om tillgängliga rapporteringskanaler och vilket skydd visselblåsare har, samt säkerställa att sanktioner kan beslutas i vissa fall.
- Länderna ska också utse myndigheter som är behöriga att ta emot och hantera externa larm. Dessa myndigheter har särskilda dokumentationskrav på sig.
- Offentliga verksamheter samt alla företag med mer än 50 anställda är tvungna att införa interna och säkra rapporteringskanaler för att hantera larm från visselblåsare.
- Rapporteringskanalerna ska garantera att visselblåsares identitet behandlas konfidentiellt
- Larmen och underlaget ska följas upp ordentligt inom utsatta tider (t.ex. bekräftelse av mottaget larm inom 7 dagar från mottagandet).
- Organisationer ska särskilt utse en person eller en avdelning som ska hantera rapporterna.
Nya visselblåsarlagen innehåller relativt detaljerade bestämmelser om hur organisationer ska utforma sina interna kanaler, varför befintliga visselblåsarsystem kan behöva uppdateras. Till exempel måste visselblåsaren få återkoppling inom viss tid och rapportering ska kunna ske på minst två sätt. Även om direktivet inte uttryckligen kräver att organisationer tillåter anonyma larm är det en funktionalitet som kommissionen uppmuntrar.
En annan viktig aspekt av nya visselblåsarlagen är att systemet måste uppfylla kraven i GDPR. Särskilt kraven på konfidentialitet och IT-säkerhet blir betydelsefulla. Centrala funktioner för systemet är behörighetsstyrning, åtkomstkontroll och loggning.
Slutligen behöver företag utse en person inom organisationen som ska ansvara för hanteringen av visselblåsarärenden och informera om policies för rapportering. Företag bör också utbilda sin personal i larmförfarandet.
Förändringar i Sverige
Nya visselblåsarlagen medför några viktiga förändringar av det svenska skyddet av visselblåsare.
- Kravet på inrättande av både interna och externa rapporteringskanaler är en nyhet i svensk rätt.
- Direktivet träffar också en vidare krets av personer än den svenska visselblåsarlagen, som hittills endast omfattar arbetstagare och inhyrd arbetskraft.
- Den nya regleringen skiljer sig också från den svenska visselblåsarlagen i fråga om vilka sorts missförhållanden som kan rapporteras med skydd av reglerna, då direktivet inte förutsätter att det rör sig om ett brott på vilket fängelse kan följa.
Offentligt anställda bör dock fortfarande ha ett mer långtgående skydd i form av meddelarfriheten.
Så kan er organisation anpassa sig inför nya visselblåsarlagen
Medlemsstaterna har två år på sig att införliva visselblåsardirektivet i nationell rätt vilket innebär att senast under april 2021 ska Sverige ha anpassat nationell lagstiftning. Företag bör dock redan nu börja se över sina rapporteringssystem och arbetsprocesser för att uppfylla lagens krav.
- Se över den egna processen för att hantera visselblåsare
- Utse en ansvarig person för visselblåsarprocessen
- Överväg att köpa in/utveckla systemstöd
- Gör en riskbedömning av er process och systemstöd för att kunna göra relevanta kravställningar (och för att uppfylla GDPR)
- Uppdatera era interna policier och avtal med leverantörer
- Utbilda interna organisationen i detta nya arbetssätt
- Öva och förbättra era processer
Behöver ditt företag rådgivning inför inköp av och implementering av visselblåsarsystem? Tveka inte att höra av dig till oss!