I en värld där förtroendet för företag och institutioner ständigt ifrågasätts, har visselblåsare blivit samhällets osynliga hjältar. De vågar stå upp och rapportera om orättvisor och missförhållanden, ofta med risk för egen del. Nu är en ny visselblåsarlag på plats i EU, vilket påverkar hundratals verksamheter och tusentals anställda över hela Sverige. Från och med december kommer även en ny skara verksamheter att börja omfattas av reglerna. Är ditt företag redo? Denna artikel tar dig igenom allt du behöver veta för att förbereda dig inför dessa förändringar.
Om ditt företag eller organisation har över 50 anställda inom EU, eller om du jobbar för en kommun i Sverige, måste du vara medveten om EU:s direktiv för visselblåsare. Enligt detta direktiv och Sveriges visselblåsarlag, som trädde i kraft den 17 december 2021, behöver organisationer och företag inrätta ett pålitligt system som tillåter anställda att rapportera om missförhållanden på ett säkert och anonymt vis.
Visselblåsarlagen klubbades igenom den 29 september 2021, när Sveriges riksdag godkände regeringens förslag att förstärka skyddet för de som vill rapportera om missförhållanden. Syftet med lagen är att uppmuntra till rapportering av information om problem i arbetssituationer, särskilt när det finns ett allmänt intresse. Det nya med denna lag från den tidigare lagen om visselblåsning är att det inte finns någon specifik begränsning angående vilka som kan rapportera. Tidigare lagstiftning pekade särskilt ut personer i höga positioner eller nyckelroller inom organisationen.
Vad sker nu?
Från och med den 17 december 2023 kommer även privata verksamheter med 50 till 249 anställda omfattas av visselblåsarlagen. Detta innebär att interna rapporteringskanaler och förfaranden för rapportering och uppföljning ska finnas även i sådana små och medelstora företag.
Senast den 17 december ska alltså dessa verksamheter ha ett visselblåsarsystem på plats där anställda skriftligen eller muntligen kan rapportera om missförhållanden.
Varför behövs en visselblåsarfunktion?
Det är viktigt att organisationer har ett system där anställda kan flagga för orättvisor på ett säkert och enkelt sätt. Oegentligheter och bedrägerier kan medföra stora förluster för arbetsgivare, dels ekonomiska för privata företag, och dels genom att negativt påverka möjligheten för offentlig verksamhet att använda skattemedel på ett effektivt sätt. Dessutom kan osakligt beteende som mobbning och trakasserier ha djupgående negativa effekter på dem det drabbar. För att tackla dessa problem effektivt i arbetslivet och samhället i stort, är det avgörande att de som ser eller upplever sådana händelser talar ut, och kan göra detta på ett säkert sätt som inte äventyrar deras anställning. Genom att inrätta en opartisk visselblåsarmekanism kan anställda dela med sig av sina observationer utan rädsla för repressalier.
Vad säger lagen?
Lagen om visselblåsning ser till att de som rapporterar, s.k. visselblåsare, är skyddade från repressalier på grund av deras rapportering av missförhållanden. En repressalie är en negativ åtgärd eller bestraffning. Verksamheter får alltså inte agera på ett sätt som kan tolkas som bestraffning eller nackdel efter en sådan rapportering. Dessutom är det även otillåtet att hindra någon från att rapportera.
Skyddet som erbjuds av lagen gäller inte bara för anställda, utan även för en bredare grupp, inklusive dem som arbetar under verksamhetens övervakning, dem som söker jobb och andra liknande grupper. De bestämmelser som i visselblåsarlagen börjar gälla den 17 december 2023 föreskriver en skyldighet för privata verksamhetsutövare som vid ingången av 2023 haft mellan 50 och 249 anställda att ha interna rapporteringskanaler och förfaranden för rapportering och uppföljning. För övriga verksamhetsutövare, som exempelvis kommuner och regioner, började dessa regler att gälla redan den 17 juli 2022.
Arbetsgivaren är även skyldig att tillsätta opartiska och självständiga individer eller team för att motta och hantera rapporter. Dessa personer eller grupper ska också kommunicera med dem som rapporterar, granska informationen och ge feedback. Allt detta ska utföras inom specifika tidsramar som lagen specificerar. Lagen kräver även att rapporter kan lämnas både skriftligen och muntligen, och att det ska vara möjligt att hålla ett personligt möte om det önskas. Processen för rapportering och de kanaler som används måste vara skriftligen dokumenterade. Det finns också detaljerade krav på att informera om hur rapportering kan genomföras. Slutligen finns det strikta regler kring sekretess, särskilt när det gäller personuppgifter som behandlas.
Anpassningar och tidsramar
Enligt visselblåsarlagen ska verksamhetsutövaren anpassa de interna visselblåsarkanalerna och metoderna för rapportering och uppföljning utefter ett antal kriterier.
Först och främst ska den som rapporterar ha möjlighet att göra detta både skriftligt och muntligt. Om det önskas ska den rapporterande personen även kunna begära ett fysiskt möte inom en rimlig tidsram.
Vidare ska den rapporterande personen motta en bekräftelse inom en vecka om att rapporten har tagits emot, förutsatt att personen inte har avstått från att få en sådan bekräftelse eller om det finns skäl att tro att bekräftelsen kan avslöja dennes identitet. Den rapporterande personen bör också få feedback inom tre månader efter bekräftelsen om vilka åtgärder som har vidtagits baserat på rapporten och varför dessa åtgärder togs. Om ingen bekräftelse gavs, och det inte var på grund av den rapporterande personen, ska återkoppling ges inom sju dagar efter att rapporten togs emot.
Slutligen, om det skulle vara aktuellt, bör den rapporterande personen informeras om att någon information som kan identifiera dem kan komma att delas, såvida denna information inte försvårar uppföljningsprocessen eller de åtgärder som vidtas.
Behandling av personuppgifter
Två nya sekretessregler har lagts till i offentlighets- och sekretesslagen. Sekretessen skyddar den som rapporterar och andra som nämns i ärendet. Även om upplysningarna kan verka ofarliga, får de inte lämnas ut. Sekretessen gäller vanligtvis inte för detaljerna kring felaktigheterna, men det finns undantag. Sekretessens nivå kan variera beroende på var i processen ärendet är.
När det gäller personuppgifter, får dessa bara hanteras om det är nödvändigt för ärendet. Trots reglerna i visselblåsarlagen, måste myndigheter fortfarande följa den allmänna dataskyddsförordningen, det vill säga GDPR. Verksamheterna bör vara försiktiga med hur de hanterar personuppgifter och begränsa tillgången till dem. Uppgifterna får behållas i max två år efter ärendets avslut, och irrelevant information ska tas bort snabbt. Dock hindrar inte lagen verksamheter från att arkivera dokument, även om en extern part har hanterat rapporteringen. Den externa parten agerar då som en databehandlare för verksamheten.
Delade visselblåsarfunktioner
Är det möjligt för flera företag inom en koncern att dela på en och samma visselblåsartjänst? Svaret är ja, men det finns vissa villkor som måste beaktas. Även om koncerner kan ha en övergripande visselblåsarstruktur, krävs det att varje koncernbolag med 50 anställda eller fler också inför en individuell visselblåsarmekanism för intern rapportering.
När det kommer till koncernbolag med färre än 250 anställda är det tillåtet att dela den interna visselblåsarfunktionen med andra bolag inom koncernen. Å andra sidan, om ett bolag i koncernen har 250 medarbetare eller mer, måste det ha sin egen unika visselblåsarstruktur
För offentliga organisationer gäller att de kan samordna sina visselblåsarresurser med andra offentliga enheter som delar samma förpliktelser. Denna möjlighet att dela resurser kan underlätta processen och skapa en enhetlig plattform för rapportering.
Undantag genom kollektivavtal
Det finns möjlighet att göra undantag från reglerna angående hur interna rapporteringskanaler ska utformas och hur rapporteringsprocessen ska skötas, om detta sker genom ett kollektivavtal. En förutsättning för detta är dock att kollektivavtalet slutits eller godkänts av en central arbetstagarorganisation. Trots möjligheten till avvikelser får kollektivavtalet inte eliminera eller begränsa några av de rättigheter som fastställts i visselblåsardirektivet.
Chefsansvar
Som chef bör man vara klar och direkt när det gäller upplysningar om visselblåsningssystemet. Vad innebär denna kanal? Vilka ärenden bör rapporteras via den? Var finns tillgången till systemet? En central del av lagen kring visselblåsning är att rapporteringssystemet måste vara opartiskt och självstyrande. Lagen kräver alltså att det är oberoende och självständiga individer eller grupper som tar hand om de ärenden som rapporteras internt. Vilka dessa individer eller grupper är kan skilja sig åt mellan olika organisationer. Ofta kan det handla om HR, den som har personalansvar eller en internjurist. Dessutom kan man anlita en extern instans för att garantera en opartisk och oberoende hantering av dessa ärenden.
För att säkerställa att allt är klart när lagen börjar gälla i december, rekommenderar vi att du sätter igång med införingsprocessen så tidigt som möjligt.
Checklista
Vi har här tagit fram en checklista för de arbetsgivare som ännu inte har sina visselblåsarkanaler på plats och behöver vägledning inför implementeringen.
- Förstå lagen: Innan du implementerar något bör du noggrant läsa igenom visselblåsarlagen för att till fullo förstå vilka krav som ställs på ditt företag. Lagtext kan dock ofta vara svårläst och svårtolkad för någon som inte är juridiskt skolad. Vi rekommenderar dig därför att ladda ned Fack:app där du hittar lättförståeliga förklaringar av lagens innebörd och krav.
- Upprätta kanaler för rapportering: Skapa en säker och konfidentiell kanal där anställda kan rapportera överträdelser. Detta kan vara en dedikerad telefonlinje, e-postadress, webbportal, eller andra kommunikationsverktyg. Det är viktigt att visselblåsarkanalen är i linje med övrig lagstiftning, som till exempel GDPR.
- Anonymitet: Se till att visselblåsaren kan rapportera anonymt om de så önskar. Detta skyddar individen från repressalier. I vissa fall rekommenderas det dock inte att visselblåsare förblir anonyma. Detta beror på att när ursprunget till informationen är känd kan visselblåsarens skydd prioriteras och det kan underlätta granskningen av rapporten. Dock kan digitala visselblåsarlösningar som tillåter anonymitet erbjuda ett starkare skydd för individen eftersom det minskar risken för repressalier. Anonymitet garanterar att visselblåsaren inte kan identifieras av den som tar emot rapporten, vilket hjälper till att bibehålla informationens integritet. Det är självklart att allt som delas inom ramen för ett visselblåsande är strikt konfidentiellt, oavsett om källans identitet är känd eller dold.
- Intern granskning: Ha ett team eller en ansvarig person som tar emot och granskar rapporteringar. Teamet ska vara opartiskt och ha rätt kompetens för att kunna utreda påståendena. Denna granskning bör ske i enlighet med fastställda riktlinjer och protokoll för att säkerställa konsekvens och rättvisa i hanteringen. När en rapport mottas bör den registreras i ett centralt system för att spåra dess framsteg och resultat. Den initiala bedömningen bör fokusera på rapportens trovärdighet och den potentiella risken för organisationen. Om det bedöms att en djupare utredning behövs, bör teamet samla in ytterligare bevis, intervjua relevanta parter och analysera dokumentation.
- Följ upp: All visselblåsning måste tas på allvar och utredas snabbt. Det bör finnas en tydlig process för hur rapporter utreds och åtgärdas. Det är viktigt att hela processen genomförs snabbt för att undvika onödiga fördröjningar, men samtidigt noggrant nog för att inte missa viktiga detaljer. Teamet bör också arbeta i nära samarbete med andra avdelningar, såsom juridik och HR, för att säkerställa att alla aspekter av rapporteringen beaktas.
- Återkoppling: För att upprätthålla visselblåsarens förtroende, bör granskningsteamet regelbundet uppdatera den visselblåsande personen om utredningens framsteg. Detta förutsätter dock att visselblåsarens identitet är känd. Ännu en förutsättning är att en sådan återkoppling inte äventyrar integriteten i utredningsprocessen.
- Skydd mot repressalier: Lagstiftningen syftar till att skydda visselblåsare från repressalier. Se till att företagets policy klart och tydligt förbjuder repressalier och ange tydliga konsekvenser för de som bryter mot denna policy. För att verkligen garantera ett skydd mot repressalier, bör organisationer ta ett proaktivt tillvägagångssätt och skapa en miljö där medarbetare känner sig värderade och skyddade när de tar upp oro eller rapporterar överträdelser.
- Utbildning: Alla medarbetare, inklusive ledningen, bör genomgå regelbunden utbildning om visselblåsarpolicyn, med särskilt fokus på förbudet mot repressalier och de potentiella konsekvenserna av att bryta mot detta förbud. Alla måste vara medvetna om hur visselblåsarkanalen fungerar, varför den finns och hur de kan använda den.
- Dokumentation: Det är även viktigt att ha en klar och tydlig dokumentationsprocess för alla visselblåsningar, undersökningar och uppföljningar. Dokumentationsrutiner ska finnas på plats så fort visselblåsarkanalen är på plats för att undvika missförstånd. Detta kan vara avgörande om det skulle uppstå en tvist eller om ni som företag behöver visa att ni har handlat i enlighet med lagen.
- Utvärdera och uppdatera: Regelbunden granskning av visselblåsarsystemet bör göras för att se till att det fungerar effektivt och uppfyller sitt syfte. Granska systemet genom exempelvis feedback från användarna eller statistik över systemets effektivitet utefter de visselblåsningar som inkommit. Ibland kan det även vara klokt att ta in en tredje part för extern granskning av systemet, både vad gäller effektivitet men även efterlevnad av lagar och regler.
Vi hoppas att denna checklista kan hjälpa dig som arbetsgivare att få på plats ditt visselblåsarsystem innan den 17 december. Har du specifika frågor som rör din verksamhet bör du inte tveka på att använda vår tjänst Fråga Juristen där våra jurister svarar på dina frågor inom 24 arbetstimmar!