Cecilia Hagman och Michelle Smed är jurister verksamma på Deloitte.
Michelle är inriktad på dataskydd och IT har tidigare erfarenhet av både personuppgiftsfrågor och integritetslagstiftning. Michelle arbetar också med visselblåsning och är en del av det team på Deloitte som är externa mottagare av visselblåsarrapporter för andra organisationer.
Cecilia Hagman är verksam som arbetsrättsjurist och senior manager på Deloitte Legal i Göteborg. Hon har tidigare arbetat som advokat på en affärsjuridisk byrå och har flera års erfarenhet av arbetsrättslig rådgivning, främst inom avsked, uppsägningar, omorganisationer och företagshemligheter.
I den här artikeln svarar de på nio av de vanligaste frågorna om visselblåsning och den svenska visselblåsarlagen.
1. Måste jag som arbetsgivare ha en visselblåsarkanal och vem kan visselblåsa genom den?
Från den 17 december 2023 måste verksamhetsutövare med fler än 50 anställda ha en rapporteringskanal för visselblåsning. Sedan tidigare har lagen gällt verksamhetsutövare med fler än 249 anställda.
De som omfattas av lagen är bland annat anställda, arbetssökande, praktikanter, aktieägare.
2. Vad för händelser och situationer kan man visselblåsa om?
Situationer som man kan visselblåsa om anges i lagen som ”missförhållanden som har ett allmänintresse”. Tidigare rörde det istället “allvarliga missförhållanden.
Om man rapporterar om saker som inte omfattas av ett allmänintresse omfattas man som visselblåsare inte av visselblåsarlagens skydd. Exempel på vad som faller utanför lagen kan vara klagomål på lön eller missnöjdhet med tjänster eller varor som verksamheten säljer.
3. Vem får hantera visselblåsningar som kommer in?
Verksamheten ska utse en så kallad ”behörig person”. Huvudregeln är att personen ska vara anställd inom verksamheten. Det betyder att det kan vara antingen en person eller en grupp personer som hanterar rapporteringskanalen och det bör handla om en snäv krets av personer.
De som utses ska till viss del, exempelvis, kunna inleda och avsluta utredningar och ha friheten att formulera slutsatser från uppföljningen av rapporter utan att verksamhetsutövaren godkänner slutsatserna.
Det finns dock inga formkrav på hur personen eller enheten utses.
Den ”behöriga personen” kan även vara en extern enhet, till exempel Deloitte. Vi på Deloitte hanterar visselblåsarrapporter för flera företag. Fördelen att anlita en extern part som “behörig person” är att det säkerställer oberoende och självständighet. Det är också en fördel om en verksamh inte har kompetensen eller resurserna för att hantera det internt.
4. Vad menas med att arbetsgivaren är skyldig att informera om rätten att visselblåsa?
Visselblåsarlagen (5 kap. 9 §) reglerar en skyldighet för verksamhetsutövare att tillhandahålla information om viktiga delar av innehållet i visselblåsarlagen.
Dessa regler innebär att alla arbetsgivare, som har minst 50 anställda, ska lämna ”tydlig och lättillgänglig” information om hur rapportering ska göras via den interna visselblåsarfunktionen och via externa visselblåsarfunktioner (hos myndigheter och EU-institutioner).
Dessutom ska information ges om meddelarfrihet och anskaffarfrihet och (i verksamheter där det är aktuellt) om efterforskningsförbud och repressalieförbud.
5. Det pratas om både interna och externa visselblåsarkanaler. Vad är skillnaden på dessa?
En intern visselblåsarkanaler är den egna verksamhetens kanal. Det vill säga uppsatta och organiserade av till exempel ett företag med 50 anställda.
Externa visselblåsarkanaler syftar istället på respektive kanal hos respektive utvald svenska myndighet – dit du som enskild också kan rapportera in oegentligheter av allmänintresse.
Det är dock tillåtet att ha en extern behörig person utsedd som mottagare i en intern visselblåsarkanalerna, vilket inte ska blandas ihop med en extern kanal.
6. Företaget jag jobbar på tillhör en grupp eller koncern. Kan vi dela rapporteringskanaler inom gruppen?
Alla verksamheter med över 50 anställda måste från och med den 17 december 2023 ha en rapporteringskanal.
Lagen uttrycker att verksamheter med 50 – 249 anställda får dela rapporteringskanal. Men möjligheten är begränsad då behöriga personer måste vara anställda i verksamheten, och för att man bara får dela personuppgifter med behöriga personer.
Även om visselblåsarlagen tillåter att kanaler delas, finns det ett hinder mot detta eftersom personuppgifter bara för delas med behöriga personer, så som lagen är utformad idag.
7. I visselblåsarrapporten som kommit in finns en hel del personuppgifter. Vad är viktigt att tänkta på när man hanterar personuppgifter som finns i rapporter?
Enligt visselblåsarlagen får personuppgifter inte delas. Dessutom finns en lagringstid på maximalt två år.
Dessutom måste man följa Dataskyddförordningen, GDPR, när personuppgifter behandlas, vilket innebär att man måste informera om behandlingen av personuppgifter, till exempel med en integritetspolicy.
8. Nu har vi undersökt anklagelserna och kommit fram till att de stämmer. Vad gör man med rapporten då?
När utredning genomförts ska resultatet återkopplas till visselblåsaren.
Om anklagelserna stämmer skapas ett så kallat uppföljningsärende.
Beroende på vad det handlar om kan man behöva involver andra avdelningar, till exempel HR om det föreligger grund för uppsägning av personen som anmälts.
Om rapporteringen inte omfattas av visselblåsarlagen, och således per definition inte är en visselblåsning, får man hantera rapporteringen enligt bolagets andra rutiner.
9. Är det något särskilt man som offentlig myndighet, på regional, statlig respektive kommunal nivå behöver tänka på?
Regelverket gäller i stora drag både privat och offentlig verksamhet.
Däremot finns andra regelverk såsom Offentlighets- och sekretesslag (OSL) som reglerar sekretess, vilket medför att en offentlig aktör kan behöva tänka på bredare frågor vid visselblåsning än en privat aktör.
Visselblåsarlagen i praktiken
Se seminariet där bland andra två jurister från Deloitte hjälper dig att komma igång med din visselblåsarkanal.