Den 17 december 2021 träder en ny visselblåsarlag i kraft. Lagen baseras på ett EU-direktiv och ersätter den nuvarande lagen på området (lag om skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden). I likhet med vad som redan gäller ger den nya visselblåsarlagen skydd för visselblåsare. Jämfört med den tidigare lagen har dock detta skydd förstärkts och kretsen av skyddade personer har utvidgats. Dessutom medför den nya visselblåsarlagen en skyldighet för alla verksamhetsutövare med 50 eller fler anställda att inrätta visselblåsarsystem.
Nedan följer en översiktlig guide till den nya visselblåsarlagen, vad den innebär och hur du kan förbereda din verksamhet. Vill du veta mer eller önskar hjälp för att säkerställa att din verksamhet uppfyller de nya kraven tveka inte att kontakta oss. Lindahl har omfattande expertis inom rättsområden såsom compliance och antikorruption, arbetsrätt, dataskydd och har stor erfarenhet av att hantera ärenden rörande visselblåsare, inklusive internutredningar.
Hur ska jag förbereda min verksamhet för den nya visselblåsarlagen?
Den nya visselblåsarlagen är tillämplig i förhållande till alla verksamheter, oavsett antal anställda och oaktat om verksamheten redan idag har implementerat ett visselblåsarsystem.
För att säkerställa att din verksamhet uppfyller kraven enligt den nya visselblåsarlagen:
- Utvärdera hur din verksamhet idag arbetar med att fånga upp signaler om missförhållanden. Finns det ett visselblåsarsystem idag och hur frekvent används det? Vet alla anställda hur de kan rapportera om missförhållanden? Följs alla indikationer om missförhållanden upp? Syftet med utvärderingen är att få en ”nulägesbild” att utgå från.
- Verksamheter med 50 eller fler anställda som inte har visselblåsarsystem behöver inleda arbetet med att inrätta sådant. Även om den nya visselblåsarlagen inte anger tekniska krav för visselblåsarsystem finns det flera aspekter att beakta. Visselblåsarsystemet kan exempelvis behöva vara tillgängligt på flera språk, konfidentialitets- och anonymitetsaspekter behöver beaktas, de tekniska lösningarna måste säkerställa en personuppgiftsbehandling i enlighet med GDPR och bör underlätta en hantering av rapporter inom de lagstadgade tidsfristerna.
- Gå igenom, komplettera och uppdatera befintliga policydokument och rutiner så att dessa är i enlighet med den nya visselblåsarlagen. Särskilt viktigt är det att säkerställa att all dokumentation är tydligt formulerad och lättillgänglig.
- Utse personer och/eller enheter som ska ansvara för att ta emot, följa upp och återkoppla på rapporter som inkommer i visselblåsarsystemet. Det är viktigt att fundera på hur dessa personers oberoende och självständighet ska garanteras. Här kan det finnas anledning att överväga att lägga över denna uppgift på en extern aktör.
- Ta fram en plan för hur ni ska hantera rapporter om missförhållanden. Planen ska besvara bl.a. följande frågor; Vilka ska genomföra eventuella internutredningar? Hur ska kommunikation ske? När bör extern hjälp för utredningar tas in? Säkerställ också att ni har möjlighet att genomföra tillräckliga utredningsåtgärder, t.ex. genom att ha antagit IT-policys och infogat lämpliga skrivningar i anställningsavtal.
Vad är en visselblåsare?
Begreppet visselblåsare används generellt för personer som slår larm om missförhållanden, ofta i en arbetsrelaterad kontext. Den nya visselblåsarlagen använder begreppet ”rapporterande personer” för att avgränsa visselblåsare som omfattas av lagens skydd från övriga visselblåsare.
Skyddade visselblåsare enligt lagen är personer som i ett arbetsrelaterat sammanhang har fått del av eller inhämtat information om missförhållanden som de rapporterar om.
För att en person ska vara skyddad ska personen även ingå i en av följande personkategorier; arbetstagare, arbetssökande, praktikant eller volontär, bemanningspersonal eller övrig person som står till verksamhetsutövarens förfogande för utförande av arbete, egenföretagare eller konsult eller i övrigt en person som utför arbete under en verksamhetsutövares ledning eller kontroll, personer i ett företags förvaltnings-, lednings- eller tillsynsorgan och aktieägare verksamma i företaget. Även utredare, inspektörer och revisorer omfattas.
Vad är ett missförhållande och vad menas med allmänintresse?
För att en visselblåsare ska åtnjuta skydd under den nya visselblåsarlagen ska denne rapportera om ett missförhållande som det finns ett allmänintresse av att det kommer fram. Det är därför viktigt att klargöra vad som utgör ett ”missförhållande” respektive vad som är ett ”allmänintresse”.
Ett missförhållande kan bestå av såväl en handling som en underlåtenhet att agera. Även försök att dölja missförhållanden kan i sig utgöra ett missförhållande.
Det finns inget entydigt svar på när ett missförhållande är av allmänintresse. Dock förutsätts att missförhållandet angår allmänheten. Därutöver måste det finnas ett legitimt allmänintresse att missförhållandet kommer fram.
Det är endast i vissa begränsade fall som missförhållanden rörande enskilda personer eller enskilda avtalsparter anses ha ett allmänintresse. Som exempel kan nämnas slaveriliknande arbetsvillkor, trafficking och korrupta handlingar.
Ytterligare exempel på vad som är av allmänintresse är missförhållanden inom områden som är av betydelse för samhället i stort. Till dessa områden hör bland annat offentlig upphandling, finansiella tjänster, produktsäkerhet, miljöskydd, livsmedels- och fodersäkerhet, djurskydd och skydd av personuppgifter.
Vad innebär kravet på att inrätta visselblåsarsystem?
En av de viktigaste nyheterna i den nya visselblåsarlagen är att samtliga verksamhetsutövare med 50 eller fler anställda måste inrätta ett visselblåsarsystem. Detta ska vara klart senast den 17 juli för offentliga aktörer och organisationer med fler än 249 anställda. För organisationer med 50-249 anställda gäller att visselblåsarsystemet ska vara på plats senast den 17 december 2023.
Den nya visselblåsarlagen uppställer ett flertal krav som visselblåsarsystemet ska uppfylla:
- Det ska finnas särskilt utsedda personer eller enheter som ska vara behöriga att ta emot och följa upp rapporter samt lämna återkoppling till rapporterande personer. De särskilt utsedda personerna eller enheterna ska vara oberoende och självständiga.
- Visselblåsarsystemet och förfarandena ska dokumenteras. Det ska med andra ord finnas en skriftlig beskrivning av hela visselblåsarfunktionen och hur rapporter hanteras, från start till slut.
- Visselblåsarsystemet ska göras tillgängligt för personer som är verksamma hos en verksamhetsutövare och som kan vara rapporterande personer.
- Visselblåsarsystemet ska möjliggöra rapportering såväl skriftligt som muntligt. Dessutom ska det finnas en möjlighet att rapportera genom ett fysiskt möte. Vidare ska en rapport bekräftas och återkopplas på inom vissa tidsfrister.
Utöver det ovanstående ska det finnas tydlig och lättillgänglig information både om hur rapportering sker såväl genom det interna visselblåsarsystemet som externa rapporteringskanaler. För verksamheter där meddelarfrihet och anskaffarfrihet gäller ska det också finnas information om efterforsknings- och repressalieförbudet. Även den informationen ska vara tydlig och lättillgänglig.
Slutligen uppställer den nya visselblåsarlagen krav på dokumentation, bevarande och rensning av rapporter. Visselblåsarlagen innehåller också bestämmelser om behandling av personuppgifter.
Vilka myndigheter ska inrätta externa rapporteringskanaler?
De olika myndigheter som ska inrätta externa rapporteringskanaler framgår av en förordning. Det rör sig om ett stort antal myndigheter som tillsammans täcker flera områden inom vilka rapportering om missförhållanden kan ske.
Arbetsmiljöverket har också ett särskilt ansvar för att tillse att verksamhetsutövare uppfyller kraven enligt den nya visselblåsarlagen.
Vilka regler gäller för personuppgiftshantering?
GDPR utgör den generella regleringen av personuppgiftsbehandling, och gäller även för personuppgiftsbehandling enligt visselblåsarlagen. Enligt det bakomliggande visselblåsardirektivet bör särskild hänsyn tas till allmänna principer för behandling av personuppgifter samt principen om inbyggt dataskydd och dataskydd som standard.
Visselblåsarlagen innehåller skyldigheter som innebär att personuppgifter om lagöverträdelser kan behöva behandlas. Nu gäller att sådana uppgifter kan behandlas i visselblåsarsystem enligt en föreskrift från Integritetsskyddsmyndigheten, dock enbart i förhållande till personer i nyckelpersoner eller ledande ställning inom det egna bolaget eller koncernen. Någon ny föreskrift kommer inte att utfärdas med anledning av visselblåsarlagen. Istället kommer sådana uppgifter kunna behandlas med stöd i att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse. Begränsningen till enbart vissa personer försvinner därmed. För att kunna spela in samtal vid rapportering behövs samtycke.
Principerna om uppgiftsminimering och lagringsminimering följer redan av GDPR, men visselblåsarlagen ställer mer konkreta krav exempelvis på dokumenteringen och lagringstiden för rapporter. Verksamhetsutövare kommer även att behöva begränsa tillgång till rapporterna till personer som är behöriga att ta emot rapporter.
Även GDPR:s regler om tredjelandsöverföringar gäller fullt ut på behandlingen av uppgifter enligt visselblåsarlagen. Verksamhetsutövare måste därför säkerställa att uppgifter inte överförs utanför EU/EEA i strid med GDPR.
Vill du veta mer om den nya lagen eller gav artikeln upphov till andra frågor? Du är varmt välkommen att kontakta någon av oss eller din vanliga kontakt på Lindahl.
