Deloitte Legal Guide to Cross-Border Secured Transactions

Analys

Tre frågor om visselblåsarkanaler och förfaranden

Publicerad: 2022-06-29

Sverige har sedan december 2021 en ny visselblåsarlag i lag (2021:890) om skydd för personer som rapporterar om missförhållanden. Den nya visselblåsarlagen uppställer bland annat krav på att arbetsgivare med 50 eller fler anställda ska ha interna kanaler för rapportering av missförhållanden och förfaranden för mottagning och utredning av rapporter. Även om lagen trädde i kraft redan förra året så börjar kraven på kanaler och förfaranden gälla först nu i sommar. Senast 17 juli 2022 ska offentliga arbetsgivare och arbetsgivare med fler än 249 anställda ha sina kanaler och förfaranden på plats medan privata företag med 50–249 anställda får fram till den 17 december 2023 på sig. Den nya visselblåsarlagen har vållat många frågor och i den här artikeln besvarar vi tre frågor med inriktning på rapporteringskanaler och förfaranden.*

 

The article is available in English here.

1. Vilka arbetsgivare måste ha kanaler och förfaranden?

Alla arbetsgivare, privata som offentliga, som vid kalenderårets början hade 50 eller fler anställda är skyldiga att ha interna kanaler för rapportering av missförhållanden och förfaranden för mottagning och utredning av rapporter. Vid bedömningen av om en arbetsgivare har 50 eller fler anställda ska alla anställda räknas in, även deltidsanställda, visstidsanställda, tjänstlediga och företagsledare. Tidpunkten för när en arbetsgivare ska ha 50 eller fler anställda är kalenderårets början. Den arbetsgivare som vid kalenderårets början inte har 50 eller fler anställda är således inte skyldig att ha kanaler och förfaranden enligt visselblåsarlagen. Detta innebär till exempel att det kan finnas en legal skyldighet att ha kanaler och förfaranden under ett visst år men inte under efterföljande år om antalet anställda då sjunkit. Arbetsgivare som inte är skyldiga att ha kanaler och förfaranden kan välja att ändå ha det på frivillig basis. Lagen tillämpas dock inte i sin helhet på frivilligt inrättade kanaler och förfaranden till exempel vad gäller krav på tystnadsplikt. Vidare innebär inte frivilligt inrättade kanaler att det finns en rättslig förpliktelse att uppfylla när det gäller laglig grund för behandling av personuppgifter i ett uppföljningsärende, dvs. när en rapport tas emot och hanteras inom ramen för visselblåsarfunktionen. Det är således viktigt att som arbetsgivare från år till år hålla reda på om det finns ett legalt krav att ha kanaler och förfaranden eller inte. I övergångsperioden behöver arbetsgivare som ligger nära gränsen om 249 anställda också hålla koll på antalet anställda vid ingången av 2023 eftersom gränsen för när arbetsgivare som har fler än 249 anställda ska ha kanaler och förfaranden på plats då passerats.

2. Vad innebär det att ha kanaler och förfaranden?

Det uppställs inga krav på den tekniska utformningen av kanalen men kanalen ska vara tillgänglig för personer som är verksamma hos arbetsgivaren. Enligt lagen ska följande grupper kunna rapportera om missförhållanden via den interna rapporteringskanalen:

  1. arbetstagare,
  2. volontärer,
  3. praktikanter,
  4. personer som annars utför arbete under en verksamhetsutövares kontroll och ledning,
  5. egenföretagare,
  6. personer som ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan, och
  7. aktieägare som är verksamma i bolaget.

Före detta anställda och arbetssökande ingår i gruppen som omfattas av lagens skydd mot exempelvis repressalier vid rapportering av missförhållanden men behöver enligt lagens krav inte ha tillgång till de interna rapporteringskanalerna utan får då rapportera på annat vis.

Eftersom det inte finns några krav på den tekniska utformningen av kanalen kan den exempelvis utgöras av ett telefonnummer och en e-postadress. Rapportering ska dock kunna göras muntligt, skriftligt och, om den rapporterande personen begär det, vid ett fysiskt möte. Den rapporterande personen ska inom sju dagar efter lämnad rapport få en bekräftelse på att rapporten tagits emot. Det råder tystnadsplikt avseende uppgifter i uppföljningsärenden och endast personer som utsetts som behöriga får ha tillgång till personuppgifter. När det gäller behandling av personuppgifter gäller ändamålsbegränsningar som innebär att personuppgifter som samlats in av misstag eller inte är nödvändiga för uppföljningsärendet ska raderas. Den bortre gränsen för hur länge personuppgifter får sparas är två år. Många arbetsgivare väljer en digital lösning som underlättar regelefterlevnad genom inbyggda funktioner.

Förutom att inrätta kanaler ska arbetsgivaren utse oberoende och självständiga personer eller enheter som ska vara behöriga att på arbetsgivarens vägnar ta emot och utreda rapporter. De som utses kan antingen vara anställda hos arbetsgivaren eller vara en extern part såsom en extern leverantör av visselblåsartjänster. Det är inte tillåtet att utse personer som är anställda i andra företag i samma koncern.

Kanaler och förfaranden ska dokumenteras genom att de beskrivs skriftligen. Dokumentationen ska på begäran kunna lämnas till Arbetsmiljöverket vid en tillsyn.

3. Kan vi dela kanaler och förfaranden inom koncernen?

Som utgångspunkt är varje enskild arbetsgivare med 50 eller fler anställda vid årets ingång skyldig att ha kanaler och förfaranden. Lagen tillåter dock att arbetsgivare med 50 – 249 anställda delar kanaler och de förfaranden som avser mottagning och utredning av rapporter. Detta gäller oavsett om arbetsgivarna ingår i samma koncern eller inte. Dock innefattas inte kontakt med den rapporterande personen i de förfaranden som får delas. Därför behöver alltid någon som är anställd hos respektive arbetsgivare (eller en extern part) utses som behörig även i fall där kanaler och förfaranden kan delas för att någon ska kunna ha kontakt med den rapporterande personen. Kontakt med den rapporterande personen är i sin tur ett lagkrav då den rapporterande personen bland annat ska få bekräftelse på att rapporten är mottagen.

Arbetsgivare med färre än 50 anställda eller fler än 249 anställda får inte dela kanaler och förfaranden. Dock kan exempelvis arbetsgivare inom en koncern utse samma externa part till behörig att ta emot och utreda rapporter oavsett antal anställda och på det viset indirekt dela resurser för mottagning och utredning av rapporter.

Lagens regler om personuppgiftsbehandling innebär i sin nuvarande utformning att delning av kanaler och förfaranden inom koncerner begränsas till uppföljningsärenden som inte innebär någon personuppgiftsbehandling. Detta då endast de personer som utsetts som behöriga får ha tillgång till personuppgifter i uppföljningsärenden. Eftersom det endast är anställda hos arbetsgivaren och externa parter (dit andra koncernbolag inte räknas) som får utses till behöriga så får exempelvis en anställd i ett annat koncernbolag med vilket förfaranden för mottagning och utredning av rapporter delas inte ha tillgång till personuppgifter. Man kan ställa sig frågande till om detta verkligen varit lagstiftarens avsikt och det är inte omöjligt att vi kommer att se en revidering av lagen i det avseendet. Även lagens regler om tystnadsplikt begränsar i stor utsträckning möjligheten att dela resurser för utredning av ärenden då det för närvarande är oklart i vilken utsträckning information som kan avslöja identiteten på någon som förekommer i ett uppföljningsärende får delas utanför gruppen av behöriga som utsetts av arbetsgivaren. Sannolikt kommer rättsläget kring dessa frågor att klarna allt eftersom lagen tillämpas.

Om ni har frågor om den nya visselblåsarlagen är ni varmt välkomna att kontakta oss på Deloitte Legal.
 

*Informationen ska vare sig ses som uttömmande eller rådgivande. För rådgivning i specifika fall, vänligen kontakta oss via nedan angivna kanaler.

 

Fullwidth SCC. Do not delete! This box/component contains JavaScript that is needed on this page. This message will not be visible when page is activated.

Hade du nytta av den här informationen?