Testmiljö Kontakta oss Kalendarium TEKO dagen In english
Bli medlem
Arbetsgivarguiden Visselblåsarkanaler och skydd för rapporterande

Visselblåsarkanaler och skydd för rapporterande

Navigera i Arbetsgivarguiden
I det här avsnittet samlar vi information om visselblåsarkanaler och lagen om skydd för personer som rapporterar om missförhållanden. Under avsnitt 1 till 5 redogörs för den nya visselblåsarlagen som gäller från den 17 december 2021. Under avsnitt 6 återfinns information om visselblåsarlagen från 2017. Innehållsförteckning 1. Tillämpningsområde 2. Skydd i form av ansvarsfrihet och mot hindrande åtgärder och repressalier 3. Interna rapporteringskanaler – gäller bolag med 50 eller fler anställda 4. Tystnadsplikt 5. Personuppgiftsfrågor (”GDPR”) 6. 2017 års visselblåsarlag 7. Fördjupningsmaterial och lagar Den nya visselblåsarlagen gäller från den 17 december 2021. För arbetsgivare som har 50 till 249 anställda ska rapporteringskanalerna finnas på plats och tillämpas från och med den 17 december 2023. Beträffande arbetsgivare med över 249 anställda gäller detta istället från och med den 17 juli 2022. Den nya visselblåsarlagen ersätter den nuvarande visselblåsarlagen.

1. Tillämpningsområde

Visselblåsarlagen har ett brett tillämpningsområde och gäller framför allt vid två överlappande situationer. Missförhållanden som det finns ett allmänintresse av att de kommer fram Lagen gäller vid en rapportering i ett arbetsrelaterat sammanhang av information om missförhållanden som det finns ett allmänintresse av att de kommer fram. Utgångspunkten är att det ska finnas ett legitimt intresse av att informationen kommer bolaget eller myndigheten till del. Bedömningen av om det finns ett allmänintresse är därför framåtsyftande och inriktad på att man ska kunna komma till rätta med missförhållandena. Ju mer frekventa och systematiska missförhållandena är, desto större är samhällsintresset av att missförhållandena avhjälps eller avbryts. Det finns som regel ett allmänintresse av att överträdelser av svenska eller utländska lagar och andra föreskrifter kommer fram. Detsamma kan gälla när ett agerande strider mot bolagets interna regler, särskilt när dessa innebär ett moraliskt åtagande som tydliggjorts för allmänheten. Det är som regel inte möjligt att få skydd enligt visselblåsarlagen för förhållanden som enbart rör en persons egen arbetssituation, till exempel anställningsvillkor eller arbetsmiljösituation. Dessa frågor hanteras istället genom de mekanismer som redan finns på arbetsmarknaden såsom förhandlingsordningar eller skyddsombuds möjligheter att begära åtgärder gällande arbetsmiljön. Det gäller om det inte handlar om sådant som är helt oacceptabelt utifrån ett bredare samhällsperspektiv, exempelvis om en migrantarbetare utnyttjas otillbörligt eller om någon arbetar under slavliknande förhållanden. Handlande eller en underlåtenhet som strider mot eller motverkar målet eller syftet med vissa EU-rättsakter Lagen gäller vid rapportering i ett arbetsrelaterat sammanhang av missförhållanden som utgörs av ett handlande eller en underlåtenhet som strider mot eller motverkar målet eller syftet med vissa EU-regler, exempelvis regler om offentlig upphandling, produktsäkerhet, personuppgiftshantering och miljöskydd. Lagen gäller också missförhållanden som består i handlanden eller underlåtenheter som strider mot svensk lag, förordning eller föreskrift som genomför eller kompletterar sådana EU-rättsakter. Visselblåsarlagen tillförsäkrar rättigheter och skydd till en bredare personkrets och omfattar:
  • arbetstagare
  • personer som gör en förfrågan om eller söker arbete
  • personer som söker eller utför volontärarbete
  • personer som söker eller fullgör praktik
  • personer som annars står till förfogande för att utföra eller utför arbete under en verksamhetsutövares kontroll och ledning (till exempel inhyrda arbetstagare och entreprenörer)
  • egenföretagare som söker eller utför uppdrag
  • personer som står till förfogande för att ingå eller ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan (till exempel styrelseledamöter och verkställande direktör)
  • aktieägare som står till förfogande för att vara eller som är verksamma i aktiebolaget
Skyddet gäller även personer som har tillhört någon av personkategorierna ovan och som har fått del av eller inhämtat informationen under tiden personen varit aktiv i verksamheten. Undantag för säkerhetsskyddsklassificerade uppgifter Även om en situation faller in under någon av de just beskrivna typsituationerna så kan lagens tillämpning ändå vara utesluten i vissa begränsade fall. Lagen omfattar nämligen inte rapportering av säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen.

2. Skydd i form av ansvarsfrihet och mot hindrande åtgärder och repressalier

Förutsättningar för att omfattas av skyddet Det krävs att den rapporterande personen vid tidpunkten för rapporteringen hade skälig anledning att anta att informationen om missförhållandena var sanna och att rapporteringen sker internt, externt eller genom offentliggörande. Med ett sådant villkor ställs vissa krav på att den rapporterande personen har ett visst kunskapsunderlag för sin rapport samtidigt som rapportering av medvetet falsk information inte skyddas. Skyddet gäller under förutsättning att missförhållandena förekommer eller som högst sannolikt kommer att uppstå i den verksamhet som den rapporterande personen är, har varit eller kan komma att bli verksam i, eller en annan verksamhet som den rapporterande personen är eller har varit i kontakt med genom sitt arbete. Överträdelsen behöver alltså inte ha inträffat i just den verksamhet där den aktuella personen är anställd. Däremot krävs att personen får kännedom om överträdelsen som en följd av att personen har kommit i kontakt med verksamheten i ett arbetsrelaterat sammanhang. Så kan exempelvis vara fallet då en underentreprenör tillhandahåller tjänster till ett företag och personen som utför tjänsten åt företaget är anställd hos underentreprenören. Intern rapportering Skyddet gäller om rapporteringen sker via bolagets interna rapporteringskanaler. Om någon rapporterar internt på annat sätt än via interna rapporteringskanaler gäller skyddet ändå om det saknas interna rapporteringskanaler eller om rapporteringskanalerna som finns tillgängliga inte uppfyller lagens krav. Repressalieskydd gäller således även i bolag som inte har en skyldighet att inrätta rapporteringskanaler. Extern rapportering Det är upp till den rapporterande personen själv att avgöra om intern eller extern rapportering är lämpligast. Skyddet gäller således även om rapporteringen först sker till en myndighet, i Sverige eller EU, via externa rapporteringskanaler. I lagen anges tre tillfällen då skyddet också gäller om den rapporterande personen rapporterar externt till en myndighet på annat sätt än via externa rapporteringskanaler, bland annat om en person rapporterar till en myndighet som inte etablerat en rapporteringskanal. Offentlig rapportering Endast i undantagsfall har den rapporterande skydd vid offentlig rapportering, det vill säga när informationen görs tillgänglig för allmänheten, exempelvis på sociala medier, i media eller genom att uppgifter lämnas till någon annan för publicering. Offentlig rapportering kan exempelvis ge skydd när det handlar om nödsituationer eller vid allvarlig ekonomisk brottslighet. Skydd i form av ansvarsfrihet för regelöverträdelser En rapporterande person får inte göras ansvarig för att ha åsidosatt tystnadsplikt, enligt lag eller avtal, om personen vid rapporteringen hade skälig anledning att anta att rapporteringen av informationen var nödvändig för att avslöja det rapporterade missförhållandet. Detta medför att en rapporterande persons rättsliga eller avtalsenliga skyldigheter, såsom lojalitetsklausuler i avtal eller sekretessavtal, inte hindrar rapportering. Den rapporterande kan som regel inte åläggas ansvar för åsidosättande av tystnadsplikt av något slag, varken civil-, straff-, förvaltnings- eller arbetsrättsligt, exempelvis för röjande av företagshemligheter eller brott mot bestämmelser om skydd av personuppgifter. Under vissa förutsättningar är det också tillåtet för den rapporterande att avslöja innehållet i dokument som den hade lagenlig tillgång till. Detsamma gäller i fall där den rapporterande kopierar sådana dokument eller avlägsnar dem från de lokaler som tillhör den organisation där de är anställda, i strid med avtalsklausuler eller andra klausuler. Ansvarsfriheten gäller inte om en person anskaffar information i syfte att rapportera men senare väljer att inte rapportera informationen eller om personen gör sig skyldig till brott i samband med inhämtandet. Tänk dock på att ansvarsfriheten bara omfattar åsidosättande av tystnadsplikt. Den rapporterande personen åtnjuter därmed inte ansvarsfrihet för andra brott begångna i samband med röjandet, exempelvis spioneri. Skydd mot hindrande åtgärder och repressalier Arbetsgivare får inte hindra eller försöka hindra rapportering, eller på grund av rapportering vidta repressalier mot den rapporterande personen. En hindrande åtgärd kan bestå i att en chef försöker förmå en person att inte rapportera genom att bestraffa den rapporterande personen eller att försvåra för någon att rapportera. Repressalier inkluderar bland annat skiljande från anställningen, avstängning, omplacering och annan orättvis eller straffande behandling. Indirekta repressalier är åtgärder som skulle kunna vidtas gentemot en rapporterande persons familjemedlemmar. Arbetsgivaren får heller inte hindra eller vidta repressalier på grund av att någon vänder sig till sin arbetstagarorganisation för samråd i fråga om rapportering. Skyddet omfattar även någon hos arbetsgivaren som bistår den rapporterande personen vid rapporteringen, såsom en förtroendevald eller ett skyddsombud, eller någon hos arbetsgivaren som har koppling till den rapporterande personen, såsom en anhörig eller kollega. En arbetsgivare som bryter mot förbuden mot hindrande åtgärder eller repressalier kan få betala både ekonomiskt och allmänt skadestånd. Åtgärder vid osann rapportering Om de uppgifter som lämnas till allmänhet eller myndigheten saknar grund, vittnar om bristande hänsyn eller lojalitet, eller enbart syftar till att skada arbetsgivaren, kan detta vara en grund för att skilja arbetstagaren från anställningen. Arbetsgivaren ska inte behöva acceptera allvarliga osanna beskyllningar eller djupt kränkande tillmälen från arbetstagaren. Kontakta gärna TEKO:s rådgivare innan ni vidtar arbetsrättsliga åtgärder. Skydda känslig information Visselblåsarlagen kan innebära en ökad risk för att företagshemligheter eller annan känslig information sprids när en person rapporterar externt eller offentligt. Bolag med betydelsefulla företagshemligheter eller annan känslig information bör därför överväga att se över rutinerna för den interna hanteringen av sådan information.
  • Identifiera företagskritisk information och säkerställ rutiner för hur sådan information hanteras. Uppdatera policy och riktlinjer vid behov. Informera anställda om vad som gäller.
  • Företagshemligheter ska hållas i en mindre krets av medarbetare för att undvika att den kan komma personer till del som kan ha ett intresse av att rapportera uppgifterna, till exempel genom att se över behörighetsbegränsningar i IT-system och se över tillgången till låsta utrymmen med känslig information.
  • Det ska underlättas för medarbetare att rapportera i de interna rapporeringskanaler genom att rapporteringskanalerna görs lättillgängliga och genom att kontinuerligt informera om de interna rapporteringskanalerna. På så sätt kan externa och offentliga rapporter undvikas.
  • Lojalitets- och sekretessklausuler i anställningsavtal och andra affärsmässiga avtal såsom konsultavtal ska ses över. Även om dessa klausuler har begränsat värde vid en rapportering som omfattas av lagen kan de ha en preventiv effekt.

3. Interna rapporteringskanaler – gäller bolag med 50 eller fler anställda

Skyldighet att upprätta rapporteringskanaler Bolag som vid ingången av kalenderåret har 50 eller fler anställda är skyldiga att ha interna rapporteringskanaler och förfaranden för rapportering och uppföljning. Andra lagar som innehåller skyldighet att införa visselblåsarfunktioner har företräde framför bestämmelserna i visselblåsarlagen. Som exempel kan nämnas lagen (2004:46) om värdepappersfonder, revisorslagen (2001:883), lagen (2016:1306) om med kompletterande bestämmelser till EU:s marknads-missbruksförordning, lagen (2007:528) om värdepappersmarknaden, förordningen (2016:1318) om Finansinspektionens rutiner för mottagande av anmälningar om regelöverträdelser (anmälningsförordningen) och lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Om det finns särskilda föreskrifter som innebär en skyldighet att tillhandahålla en visselblåsarfunktion och skyldigheten även gäller för verksamhetsutövare som har färre än 50 anställda, ska dessa föreskrifter tillämpas. Bolag med färre än 50 anställda kan överväga att inrätta rapporteringskanaler även om det inte finns en formell skyldighet att göra så. Med hjälp av interna rapporteringskanaler kan nämligen mindre bolag skapa incitament till att rapportera internt istället för externt eller offentligt. På så sätt kan bolaget skydda företagshemligheter eller annan känslig information från att bli offentlig. Mindre bolag är inte bundna av lagens regler om utformning av rapporteringskanalerna, men behöver till exempel följa bestämmelser om behandling av personuppgifter i Dataskyddsförordningen. För arbetsgivare med 50 till 249 anställda ska rapporteringskanalerna finnas på plats och tillämpas från och med 17 december 2023. Beträffande arbetsgivare med över 249 anställda gäller detta istället från och med 17 juli 2022. Har inte rapporteringskanalerna inrättats senast per dessa datum kan Arbetsmiljöverket jämte vite förelägga arbetsgivaren att fullgöra lagkraven. Andra lagar med skyldighet att inrätta visselblåsarfunktioner Andra lagar som innehåller skyldighet att införa visselblåsarfunktioner har företräde framför bestämmelserna i visselblåsarlagen. Som exempel kan nämnas lagen (2004:46) om värdepappersfonder, revisorslagen (2001:883), lagen (2016:1306) om med kompletterande bestämmelser till EU:s marknads-missbruksförordning, lagen (2007:528) om värdepappersmarknaden, förordningen (2016:1318) om Finansinspektionens rutiner för mottagande av anmälningar om regelöverträdelser (anmälningsförordningen) och lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Om det finns särskilda föreskrifter som innebär en skyldighet att tillhandahålla en visselblåsarfunktion och skyldigheten även gäller för verksamhetsutövare som har färre än 50 anställda, ska dessa föreskrifter tillämpas. Centraliserad rapporteringskanal TEKO:s bedömning är att det inte finns något som hindrar bolag att hålla en centraliserad rapporteringskanal, exempelvis i ett moderbolag, öppen för rapporterande personer i andra koncernbolag oavsett storlek. Utformningen av en centraliserad rapporteringskanal regleras inte av visselblåsarlagen. Bolagen kan fritt utforma kanalen på det sätt de finner lämpligt, det vill säga att den kan ta emot rapporter, ha kontakt med den rapporterande personen samt följa upp rapporterna och lämna återkoppling till den rapporterande personen. Den centraliserade visselblåsarkanalen måste dock iaktta befintliga regelverk, exempelvis behandling av personuppgifter enligt dataskyddsförordningen. Det bör särskilt uppmärksammas att det inte kan vara en skyldighet för den rapporterande personen att endast kunna rapportera till den centraliserade visselblåsarfunktionen. Det innebär i praktiken, om inte undantagsregeln om gemensamma rapporteringskanaler är tillämplig, att det alltid måste finnas en rapporteringskanal i varje dotterbolag även om koncernen också låter en centraliserad visselblåsarfunktion vara öppen för frivillig rapportering. Genom tydlig information om den centraliserade visselblåsarfunktionens utredningskapacitet och oberoende kan incitament skapas att nyttja den centraliserade visselblåsarfunktionen istället för den lokala. Det måste alltså tydligt stå klart för en rapporterande person som är knuten till ett dotterbolag att den alltid kan rapportera lokalt och att det således är helt frivilligt att nyttja den centrala visselblåsarfunktionen. Möjlighet för små- och medelstora bolag att dela rapporteringskanal För små- och medelstora bolag finns ett undantag som underlättar arbetet med att hantera rapporteringskanaler. Bolag med 50 till 249 anställda får nämligen dela interna rapporteringskanaler och förfaranden för rapportering och uppföljning med varandra. De förfaranden som får delas är mottagande av rapporter, och utredning av de förhållanden som har rapporterats, vilket dock inte innefattar att ha kontakt med eller lämna återkoppling till den rapporterande personen. Det är ett krav att de bolag som delar rapporteringskanaler har mellan 50 och 249 anställda. Har inte rapporteringskanalerna inrättats senast per de datum som anges i lagen kan Arbetsmiljöverket jämte vite förelägga arbetsgivaren att fullgöra lagkraven. Skyldighet att utse behöriga personer eller enheter Arbetsgivare som har en skyldighet att etablera rapporteringskanaler ska utse oberoende och självständiga personer eller enheter som ska vara behöriga att ta emot rapporter och ha kontakt med rapporterande personer, följa upp det som rapporteras, och lämna återkoppling om uppföljningen till rapporterande personer. De som utses får antingen vara anställda hos verksamhetsutövaren eller hos någon som har anlitats för att hantera rapporteringskanalerna och förfarandena för verksamhetsutövarens räkning, så kallade tredje parter, exempelvis externa rådgivare, revisorer eller arbetstagarrepresentanter. Personen eller avdelningen måste ha visst mått av självständighet och oberoende. Personen eller avdelningen som utses som behörig att följa upp rapporter kan vara samma person eller avdelning som tar emot rapporten. Det ska dock säkerställas att intressekonflikter inte förekommer och att personen eller avdelningen har visst mått av självständighet och oberoende. Vidare ska den som utses ha ett visst mandat att agera utan bolagets godkännande. Det gäller framför allt mandat att inleda och avsluta utredningar. Mandatet innefattar även frihet att formulera slutsatser från uppföljningen av rapporter utan att bolaget godkänner slutsatserna. Funktionen kan vara en dubbel befattning som innehas av en anställd vid företaget som kan rapportera direkt till organisationens ledning, till exempel en person med ansvar för regelefterlevnad, en personalhandläggare eller en chefsrevisor. I större bolag är det vanligare med en särskild avdelning som sysslar med regelefterlevnad- och visselblåsarfrågor. Särskilt om att anlita tredje parter Enligt visselblåsarlagen är det ingen skillnad mellan de behöriga personer som är anställda av verksamhetsutövaren eller hos någon som har anlitats (så kallade tredje parter), när det gäller omfattningen på behörigheten att ta emot rapporter och ha kontakt med den rapporterande personen samt följa upp rapporterna och lämna återkoppling. En säker tolkning av själva direktivtexten medför dock enligt vår bedömning att, till skillnad mot anställda hos verksamhetsutövaren, tredje parter endast får överta funktionen att ta emot rapporter å bolagets vägnar. En sådan tolkning innebär att bolag som väljer att nyttja tredje parter behöver dela upp visselblåsarfunktionerna i två delar genom att den tredje parten kan motta och bekräfta rapporter, medan bolaget behöver följa upp och lämna återkoppling. Eftersom den svenska lagen och direktivtexten innehåller olika formuleringar i detta avseende föreligger en viss osäkerhet om vad som faktiskt gäller. Företag som överväger att anlita en tredje part för hantering av visselblåsarkanalen är välkomna att kontakta TEKO:s rådgivare för närmare vägledning. Utformningen av kanaler och förfaranden Arbetsgivare ges förhållandevis stort utrymme att utforma rutiner för intern rapportering. Nedan redogörs dock för några av de krav som gäller vid utformningen av kanaler och förfaranden. Personkrets De interna rapporteringskanalerna ska inte bara vara tillgängliga för arbetstagare, utan även volontärer, praktikanter, personer som annars utför arbete under en verksamhetsutövares kontroll och ledning, egenföretagare, personer som ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan, om verksamhetsutövaren är ett företag, och aktieägare som är verksamma i bolaget. Det finns dock ingen skyldighet att ge personer som rapporterar missförhållanden innan personen har börjat inom verksamheten eller efter det att personen har slutat inom verksamheten tillgång till de interna rapporteringskanalerna. En rapporterande person kan ha tillgång till rapporteringskanaler hos flera verksamhetsutövare. Så kan vara fallet för en bemanningsanställd. Om den uthyrda arbetstagaren upptäcker ett missförhållande i den egna arbetsgivarens verksamhet ska arbetstagaren kunna rapportera detta i bemanningsföretagets interna kanaler, medan om arbetstagaren i stället upptäcker ett missförhållande i kundföretagets verksamhet, ska arbetstagaren kunna rapportera detta i kundföretagets interna kanaler. Möjlighet till skriftlig och muntlig rapportering samt vid fysiskt möte Rapporteringskanaler ska vara utformade så att den rapporterande personen kan rapportera både skriftligt och muntligt, till exempel via telefon eller ett röstmeddelandesystem. Om så begärs ska det kunna rapporteras även vid ett fysiskt möte inom en skälig tid. Vad som är en rimlig tidsfrist beror på omständigheterna i det enskilda fallet. Arbetsgivaren ska arbeta målinriktat för att få till stånd ett fysiskt möte. Det är personen som rapporterar och inte arbetsgivaren som får välja om rapporteringen ska ske muntligen eller skriftligen. Dokumentation av muntlig rapportering Bolag som är skyldiga att ha rapporteringskanaler ska dokumentera muntliga rapporter genom en inspelning som kan sparas i en varaktig och åtkomlig form eller genom ett upprättat protokoll. Med protokoll avses en sammanfattande redogörelse av de muntliga uppgifter som har lämnats. Om den muntliga rapporteringen sker på annat sätt än vid ett fysiskt möte, exempelvis via en telefonlinje eller ett röstmeddelande, ska dokumentationsskyldigheten också fullgöras genom en utskrift av inspelningen eller på annat lämpligt sätt. Med utskrift av inspelning avses en mer eller mindre ordagrann transkribering av inspelningen. För att rapporteringen ska få spelas in krävs att den rapporterande personen samtycker till det. Detta kan hanteras genom att den rapporterande personen innan inspelningen påbörjas upplyses om att en eventuell rapportering kommer att spelas in och på så sätt dokumenteras. Genom fullföljandet av rapporteringen kan personen således anses ha gett sitt samtycke till den. Den rapporterande personen ska ges tillfälle att kontrollera, rätta och genom underskrift godkänna en utskrift eller ett protokoll. Underskriften kan ske på papper med penna eller med elektronisk underskrift. Vid elektronisk underskrift säkerställ att ett tillförlitligt tekniskt verktyg används. Skriftliga rapporter och dokumentation av muntlig rapportering ska bevaras så länge som det är nödvändigt, dock inte längre än två år efter att ett uppföljningsärende har avslutats. Bekräftelse på mottagen rapportering Den rapporterande personen ska också få en bekräftelse på att rapporten är mottagen inom sju dagar från mottagandet, om inte den rapporterande personen har avsagt sig bekräftelse eller mottagaren har anledning att anta att en bekräftelse skulle avslöja personens identitet. Återkopplingsskyldighet Arbetsgivaren ska ge återkoppling i skälig utsträckning om åtgärder som har vidtagits vid uppföljning av rapporten och om skälen. Återkoppling ska ges om att ärendet har lagts ned, att en intern undersökning inletts eller att uppföljningen fortfarande pågår och om eventuella resultat eller åtgärder som vidtagits inom ramen för utredningen. Däremot innefattar återkopplingsskyldigheten som regel inte en rätt till ett personligt möte med den ansvarige handläggaren för att i detalj få svar på varför vissa utredningsåtgärder har vidtagits och andra inte. Det finns ingen skyldighet att återkoppla till den rapporterande personen om rapporteringen har skett anonymt. Återkopplingen ska ges inom tre månader från bekräftelsen. Om någon bekräftelse inte har lämnats och det inte beror på den rapporterande personen gäller skyldigheten om återkoppling redan sju dagar från mottagandet. Formerna för återkopplingen är inte närmare reglerat, men det bör vara praktiskt möjligt för de flesta inom verksamheten att kunna ta del av återkopplingen utan större ansträngningar, exempelvis genom att personen loggar in i bolagets rapporteringsverktyg. När det är aktuellt ska den rapporterande personen också få information om att en uppgift som kan identifiera den rapporterande personen kommer att lämnas ut, om inte informationen gör att syftet med uppföljningen eller åtgärderna hindras eller försvåras. Informationsskyldighet Arbetsgivare ska skriftligen dokumentera sina interna rapporteringskanaler, exempelvis i en policy eller interna riktlinjer. Informationsskyldigheten omfattar information om vilka rapporteringskanaler som finns, hur rapporter tas emot, hur bekräftelse på mottagande lämnas, hur rapporterna dokumenteras, hur de rapporterade förhållandena utreds samt hur den rapporterande personen får återkoppling. Informationen ska vara tydlig och lättillgänglig och det ska vara lätt att förstå hur rapportering ska göras via de interna rapporteringskanalerna. Det ska även finnas information om hur rapportering ska göras till behöriga myndigheter via de externa rapporteringskanalerna och, i tillämpliga fall, till EU:s institutioner, organ eller byråer. Informationen måste som ett minimum innehålla kontaktuppgifter till aktuella behöriga myndigheternas rapporteringskanaler och en beskrivning av vad det innebär att rapportera externt. Det ska också finnas information om det som föreskrivs i tryckfrihetsförordningen och yttrandefrihetsgrundlagen om meddelarfrihet och anskaffarfrihet. Informationen kan exempelvis läggas ut på bolagets externa webbplats. Informationen ska också tillgängliggöras när den efterfrågas, till exempel när en arbetstagare vänder sig till sin chef för att rapportera. I säkerhetskänslig verksamhet bör informationen också innehålla uppgifter om lagens tillämpningsområde. Anonym rapportering Det finns inget krav på att rapporteringskanalerna som inrättats måste tillåta anonym rapportering. Det innebär att en arbetsgivare inte är skyldig att följa upp en anonym rapport på ett visst sätt eller att ge återkoppling till den rapporterande.
Hur fungerar ett uppföljningsärende i praktiken?
I praktiken kan ett uppföljningsärende beskrivs som att ett bolag först tar emot en rapport muntligen, skriftligen eller vid ett fysiskt möte. I samband med mottagandet bekräftas rapporten och i fall rapporteringen sker muntligt dokumenteras den. Därefter vidtas åtgärder för att bedöma riktigheten i de påståenden som framställs. Utredningen kan leda till slutsatsen att inga vidare åtgärder behöver vidtas och att ärandet avslutas. Det kan också leda till slutsatsen att uppgifter behöver överlämnas till någon annan funktion inom verksamheten, exempelvis en lednings- eller rättsfunktion. Den rapporterande personen får återkoppling om den utförda utredningen och de slutsatser som har dragits av utredningen, det vill säga hur bolaget avser att gå vidare med den information som rapporterats och utretts.

4. Tystnadsplikt

Den som hanterar ett uppföljningsärende får inte obehörigen röja en uppgift som kan avslöja identiteten på den rapporterande personen eller på någon annan enskild som förekommer i ärendet. I vissa situationer är det dock nödvändigt att uppgifter från ett uppföljningsärende lämnas vidare från visselblåsarfunktionen till någon annan som kan agera på uppgifterna, så kallade behöriga röjanden av uppgifter. Till exempel kan uppgift behöva lämnas till verksamhetens HR-avdelning i syfte att det ska kunna prövas om en person som har orsakat ett missförhållande ska skiljas från anställningen, omplaceras eller polisanmälas. Tystnadsplikten gäller heller inte om den som skyddas av tystnadsplikten samtycker till att de skyddade uppgifterna lämnas ut. Ett brott mot tystnadsplikten är straffrättsligt sanktionerat med fängelse i straffskalan.

5. Personuppgiftsfrågor (”GDPR”)

Bakgrund Inom en rapporteringskanal kommer olika personuppgifter att behandlas. Arbetsgivaren måste då följa bestämmelserna i dataskyddsförordningen, dataskyddslagen och de kompletterande bestämmelserna i visselblåsarlagen. Rättslig grund för arbetsgivare med 50 eller fler anställda För verksamheter som har en skyldighet att etablera rapporteringskanaler kan den rättsliga grunden för behandlingen av personuppgifter vid rapportering i allmänhet vara att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den arbetsgivaren. Personuppgifter om lagöverträdelser kan för dessa bolag behandlas om behandlingen är nödvändig för att fullgöra förpliktelser enligt visselblåsarlagen. Personuppgifterna kommer att behöva tas emot, registreras, lämnas ut och på andra sätt behandlas i ett uppföljningsärende inom ramen för en visselblåsarfunktion. Arbetsgivaren kommer också behöva behandla personuppgifterna i syfte att bedöma riktigheten i de påståenden som framställs i rapporten och vidta uppföljningsåtgärder. Visselblåsarlagen innehåller också kompletterande bestämmelser till dataskyddsförordningen som endast omfattar arbetsgivare med 50 eller fler anställda. Dessa berör vilka uppgifter som anses vara nödvändiga för att behandla personuppgifter, behörighetsbegränsningar och gallringsbestämmelser.
Kompletterande regler i visselblåsarlagen för arbetsgivare med 50 eller fler anställda
Visselblåsarlagen innehåller dessutom bestämmelser som kompletterar dataskyddsförordningen och dataskyddslagen. Dessa bestämmelser gäller endast för de bolag som har en skyldighet att ha rapporteringskanaler. Således kommer lagens bestämmelser inte att vara tillämpliga för arbetsgivare som frivilligt inrättar rapporteringskanaler. Mindre verksamhetsutövare som inte omfattas av lagen kommer givetvis att behöva säkerställa att frivilligt inrättade rapporteringsordningar är förenliga med dataskyddsförordningen. De kompletterande reglerna i visselblåsarlagen innebär att personuppgifter får behandlas bara om behandlingen är nödvändig för ett uppföljningsärende, det vill säga ta emot och dokumentera rapporter, ha kontakt med den rapporterande personen, vittnen, experter eller andra personer som berörs av rapporten samt lämna återkoppling till den rapporterande personen. Personuppgifter som behandlas för detta ändamål får också behandlas för att fullgöra ett uppgiftslämnande som är nödvändigt för att åtgärder ska kunna vidtas med anledning av det som har framkommit i ett ärende. Det handlar här om att uppföljningen kan leda till slutsatsen att uppgifter behöver lämnas över till andra funktioner inom verksamheten för att avhjälpa ett missförhållande eller för att agera mot en person som har orsakat missförhållandena, exempelvis en ledningsfunktion, rättsfunktion eller HR-avdelning. Det anges också i lagen att uppgifter också får behandlas om det är nödvändigt för att rapporter ska kunna användas som bevisning i rättsliga förfaranden. Ett exempel är att en rapporterande eller berörd person kan behöva en rapport för att kunna använda som bevisning i en arbetsrättslig tvist eller ett brottmålsförfarande. Visselblåsarlagen förtydligar också att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Endast personer som har utsetts som behöriga eller personer som arbetar vid enheter som har utsetts som behöriga att ta emot, följa upp och lämna återkoppling på rapporter får ha tillgång till personuppgifter som behandlas i ett uppföljningsärende. Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. I linje med GDPR föreskriver visselblåsarlagen att personuppgifter som uppenbart inte är relevanta för handläggningen av en viss rapport ska inte få samlas in och ska raderas snarast möjligt om de har samlats in av misstag. Avseende gallring anges att personuppgifter i ett uppföljningsärende inte får behandlas längre än två år efter det att ärendet avslutades.
Rättslig grund för rapporteringskanaler som inrättas frivilligt Arbetsgivare som inrättar rapporteringskanaler frivilligt, till exempel arbetsgivare som har färre än 50 anställda och de arbetsgivare som etablerar rapporteringskanal utan grund i visselblåsarlagen, exempelvis arbetsgivare som använder parallella visselblåsarkanaler, behöver normalt sett ha en annan rättslig grund för behandlingen av personuppgifterna. Den rättsliga grunden för behandling av personuppgifter inom dessa system kan exempelvis vara intresseavvägning där bolagets behov av att upptäcka, utreda och skydda mot oegentligheter anses väga tyngre än den registrerades intresse av att inte få dessa personuppgifter behandlade.

6. 2017-års visselblåsarlag

Sedan 2017 gäller lag (2016:749) om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden. Lagen skydda arbetstagare som slår larm om faktiska, allvarliga missförhållanden hos arbetsgivaren, så kallade visselblåsare. Dessa får genom den äldre visselblåsarlagen ett förstärkt skydd mot repressalier från arbetsgivaren. Skyddet gäller alltså utöver den kritikrätt alla arbetstagare har gentemot sin arbetsgivare, och utöver det skydd för anställningen som finns i LAS. Lagen avser larm om sådana allvarliga missförhållanden att de utgör brott med fängelse i straffskalan. Exempel på sådana missförhållanden kan vara:
  • Kränkningar av grundläggande fri- och rättigheter
  • Risk för liv
  • Risk för säkerhet och hälsa
  • Skador på och risk för skador på miljön
För att det förstärkta skyddet ska gälla ska arbetstagaren först ha slagit larm internt hos arbetsgivaren eller via sin arbetstagarorganisation, innan han eller hon, om ingen åtgärd görs från arbetsgivaren, slår larm externt till myndigheter eller media. Om arbetstagaren har befogad anledning att direkt slå larm externt gäller dock skyddet även då. En arbetstagare som slår larm om den här typen av missförhållanden får inte utsättas för repressalier i någon form, det vill säga avsked, uppsägning, omplacering, ändrade anställningsvillkor, löneavdrag, varningar och så vidare. Notera att arbetstagaren måste ha fog för sina påståenden för att skyddet ska gälla.

7. Fördjupningsmaterial och lagar

Kollektivavtal om koncerngemensamma rapporteringskanaler
Publicerad 2025-01-09Senast uppdaterad 2025-01-09
Hjälpte den här artikeln dig?
Ja, tack! Nej, inte riktigt
Arbetsgivarguiden
Hållbarhet
Märkning
Kollektivavtal
Producentansvar