1 juli 2021

Ny lag om visselblåsning

Bakgrund

EU-direktivet om visselblåsning[1] (nedan ”Direktivet”) antogs i oktober 2019. Direktivet ska vara genomfört i medlemsstaterna senast den 17 december 2021. Såvitt gäller kraven i Direktivet på att organisationer med mellan 50 och 249 anställda ska tillhandahålla interna rapporteringskanaler, ska det vara infört senast den 17 december 2023.

Redan 2014 rapporterade Europeiska Kommissionen om behovet av ett mer effektivt skydd för visselblåsare, detta på grund av flera skandaler såsom Cambridge Analytica och Panama Papers som avslöjades av visselblåsare.

Enligt Direktivet ska medlemsstaterna tillse att personer som rapporterar om oegentligheter ska skyddas mot repressalier såsom uppsägning, nekande till befordran eller löneökning, omplacering eller diskriminering.

Direktivet stipulerar att alla bolag med 50 eller fler anställda ska tillhandahålla rapporteringskanaler. Bolag som är verksamma inom vissa specifika branscher såsom finansiella tjänster, produkter och marknader samt bolag som är särskilt utsatta för penningtvätt eller terroristfinansiering måste inrätta denna typ av rapporteringskanaler. Alla offentligt ägda bolag måste också ha denna typ av rapporteringskanaler med undantag för mindre kommuner och offentliga organ.

Svensk lagstiftning om visselblåsning

Det skydd som ges till visselblåsare enligt nuvarande lagstiftning fokuserar på skadestånd till den som rapporterar och utsätts för repressalier. Den nya lagen om visselblåsning[2] som kommer att ersätta den nuvarande arbetsrättsliga lagen om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden, innebär att myndigheter och bolag måste inrätta kraftfulla system för efterlevnad som möjliggör säkra och effektiva rapporteringskanaler för visselblåsare. Den nya lagen ska gälla vid rapportering i ett arbetsrelaterat sammanhang, dvs. rapportering av personer som i sitt nuvarande eller tidigare arbete fått information om missförhållanden som rapporterats och som utsätts för repressalier. Den proaktiva hållningen i Direktivet och den svenska lagstiftningen som kommer att genomföra Direktivet kräver omfattande insatser från myndigheter, bolag och organisationer för att ställa om till detta nya legala regelverk.

Bolag med 50 eller fler anställda måste inrätta interna visselblåsarkanaler. Samma gäller för kommuner med fler än 10.000 invånare. Information om visselblåsarens identitet ska behandlas med konfidentialitet.

Vilken typ av rapporteringskanal måste inrättas?

Det ska vara möjligt att slå larm skriftligen, muntligen eller på ett fysiskt möte. Rapporteringskanalen ska erbjuda möjligheten att motta rapporter om oegentligheter, att ha kontakt med visselblåsaren, att följa upp rapporten och att lämna feedback på uppföljningen till visselblåsaren.

Rapporteringskanalen för visselblåsare kan vara intern hos myndigheten/bolaget, dvs. personer inom myndigheten/bolaget utses för att ta hand om rapporteringskanalen och procedurerna i samband därmed, eller extern, dvs. en tredje part utses att ta hand om rapporteringskanalen och procedurerna i samband därmed på uppdrag av arbetsgivaren. Sådan tredje part måste garantera konfidentialitet, dataskydd, sekretess och oberoende.

Bolag med mellan 50 och 249 anställda tillåts dela rapporteringskanal för visselblåsare med andra bolag. Större bolag måste inrätta sina egna rapporteringskanaler. Kommuner och regioner tillåts dela rapporteringskanaler med andra kommuner samt med kommunala bolag, stiftelser och föreningar.

Vad kan en visselblåsare rapportera om?

Visselblåsare kan larma om en rad olika missförhållanden och vara skyddade mot motanklagelser. Det kan gälla t.ex. offentlig upphandling, finansiella tjänster, produkter och marknader, förhindrande av penningtvätt och finansiering av terrorism, produktsäkerhet, miljöskydd, dataskydd och säkerhet i nätverks- och informationssystem. I bilaga till Direktivet finns en förteckning över aktuella unionsrättsakter. Om dessa unionsrättsakter i sin tur anger sina materiella tillämpningsområden genom hänvisning till andra unionsrättsakter omfattas även sådana rättsakter. Vidare omfattas alla genomförandeåtgärder eller delegerade åtgärder på nationell nivå och unionsnivå som har antagits i enlighet med dessa rättsakter.

Vem kan rapportera?

Alla som arbetar i privat eller publik sektor kan slå larm. Det är inte bara anställda som omfattas utan även arbetssökande, egenföretagare, volontärer, praktikanter, personer som ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan och för aktiebolag aktieägare som är verksamma i bolaget. Skydd ges också till personer innan de har börjat arbeta hos en arbetsgivare och efter det att arbetet har upphört under förutsättning att personen fått information under anställningstiden eller den period annars som personen var verksam i bolaget.

Brytande av sekretess

En visselblåsare är skyddad även om ett sekretessbrott har begåtts. Detta gäller under förutsättning att visselblåsaren hade skälig anledning att tro att rapporteringen av informationen var nödvändig för att avslöja de missförhållanden som rapporterats. Det är inte tillåtet att bryta mot s.k. stark sekretess som enligt offentlighets- och sekretesslagen hindrar offentliggörande av information. Det är inte heller tillåtet att bryta mot sekretessåtaganden enligt lagen om försvarsuppfinningar eller att ge ut dokument som innehåller konfidentiell information.

Vad händer om en visselblåsare rapporterar något som inte är ett missförhållande?

En visselblåsare kan vara skyddad även om information har lämnats om något som inte är ett missförhållande om det gjordes av misstag. För att vara skyddad ska visselblåsaren vid tidpunkten för rapportering ha haft skälig anledning att tro att den information som lämnats var korrekt. Personer som uppsåtligen rapporterar felaktigt eller vilseledande information skyddas inte.

Vad händer om regelverket inte efterlevs?

De nya reglerna innehåller bestämmelser om vite gentemot arbetsgivare som inte inrättar rapporteringskanaler. Vidare kan arbetsgivare bli skyldiga att betala skadestånd.

Behandling av personuppgifter

Den nya lagen kommer att komplettera GDPR. Personuppgifter får bara behandlas om det är nödvändigt för att följa upp rapportering i visselblåsarkanalen. Enbart sådana personer som har utsetts till behöriga personer eller personer som arbetar på den enhet som har utsetts att ta emot, följa upp och ge feedback på rapporter får ha åtkomst till personuppgifterna.

Om du har några frågor angående visselblåsning och hur du skapar sådana system, tveka inte att kontakta Anna Fernqvist Svensson.

[1] Europaparlamentets och rådets direktiv (EU) 2019/1937 av den 23 oktober 2019 om skydd för personer som rapporterar om överträdelser av unionsrätten (visselblåsardirektivet).

[2] Se prop. 2002/21:193 – Genomförande av visselblåsardirektivet som överlämnades den 20 maj 2021.