Visselblåsarlagen

Så uppfyller du kraven på interna rapporteringskanaler

Lag (2021:890), den så kallade visselblåsarlagen, bygger på EU:s visselblåsardirektiv och trädde i kraft den 17 december 2021. Lagen ersatte den tidigare visselblåsarlagen i Sverige och syftar till att ge personer som rapporterar om missförhållanden ett tydligt rättsligt skydd.

Krav på interna rapporteringskanaler

Lagen ställer krav på interna rapporteringskanaler, men tidpunkterna för när dessa ska vara på plats skiljer sig åt beroende på verksamhetens typ och storlek:

  • Privata verksamheter med 50–249 anställda: ska sedan december 2023 ha interna kanaler och rutiner för rapportering och uppföljning.

  • Offentliga verksamheter och privata verksamheter med fler än 250 anställda: kraven gäller sedan 17 juli 2022.

Vid beräkning av antalet anställda ska alla arbetstagare räknas in, oavsett anställningsform eller arbetstid, för att underlätta tillämpningen av lagen.

Det är viktigt att notera att visselblåsarreglerna skiljer sig från reglerna om meddelarfrihet för offentligt anställda. Dessutom omfattar lagen inte all information exempelvis uppgifter som rör säkerhetsskydd, försvar eller sekretess enligt offentlighets- och sekretesslagen.

Viktiga begrepp i visselblåsarlagen

För att förstå visselblåsarlagen är det bra att känna till några centrala begrepp:

  • Rapportering: Med rapportering menas muntligt eller skriftligt lämnande av information om missförhållanden genom den interna rapporteringskanalen. Den som rapporterar kallas ofta “visselblåsaren”.

  • Arbetsrelaterat sammanhang: Informationen måste ha förvärvats i arbetet, i nuvarande eller tidigare arbetsverksamhet, där den rapporterande kan riskera repressalier.

  • Information om missförhållanden: Det omfattar både handlingar och underlåtenheter, avsiktliga eller oaktsamma, inklusive försök att dölja fel eller olyckshändelser.

  • Allmänintresse: För att skyddet ska gälla måste missförhållandet beröra fler än den rapporterande själv och vara av betydelse för allmänheten. Det räcker inte med nyfikenhets- eller sensationsvärde.

    Personliga problem som endast påverkar den rapporterande bör istället lösas via arbetsrättsliga metoder, kollektivavtal eller arbetsmiljölagens åtgärder.

    För att få anonymitet och skydd mot repressalier måste missförhållandena uppfylla lagens kriterier och ha allmänintresse. Om detta inte uppnås gäller inte samma rättigheter.

Interna rapporteringskanaler – krav och rutiner

Enligt visselblåsarlagen (kap. 5) är verksamhetsutövare skyldiga att ha interna rapporteringskanaler och rutiner för uppföljning.

Det här behöver du känna till:

  • Rapportering ska kunna ske muntligt eller skriftligt, exempelvis via telefon, röstmeddelande eller fysiskt möte.

  • Det ska finnas tydliga rutiner för mottagande, uppföljning och återkoppling.

  • Alla som deltar i verksamheten, inklusive praktikanter och konsulter, ska kunna rapportera och omfattas av skydd mot repressalier.

  • Den som hanterar rapporter ska vara oberoende och opartisk, och omfattas av tystnadsplikt.

  • Identiteten på visselblåsaren och alla tredje parter ska sekretesskyddas.

  • Visselblåsaren ska få bekräftelse inom 7 dagar och återkoppling inom tre månader.

  • Skriftliga rapporter och dokumentation av muntliga rapporter ska sparas högst två år efter avslutat ärende.

  • Brott mot tystnadsplikten kan leda till böter eller fängelse upp till ett år.

  • Arbetsmiljöverket är tillsynsmyndighet och kan ge föreläggande med vite om krav inte följs.

Innan införande av en intern kanal bör verksamheten överväga fackförhandling, riskbedömning och konsekvensbedömning enligt GDPR.

Glöm inte GDPR vid visselblåsarärenden

När din verksamhet hanterar personuppgifter i ett visselblåsarärende måste Dataskyddsförordningen (GDPR) alltid beaktas, precis som vid all annan behandling av personuppgifter i verksamheten.

Företag med fler än 50 anställda som inrättar en intern rapporteringskanal enligt lagen behöver inte ansöka om något särskilt tillstånd för behandlingen. Däremot ska en konsekvensbedömning upprättas och behandlingen måste registreras i registret över personuppgiftsbehandlingar.

Den rättsliga grunden för att behandla personuppgifter i den interna rapporteringskanalen är rättslig förpliktelse enligt GDPR, artikel 6.1.c. Om rapporteringen sker muntligt och spelas in måste den rapporterande parten ge sitt samtycke till inspelningen.

Mer information finns hos Arbetsmiljöverket.

Till Arbetsmiljöverket

 

 

Kontakta oss

Har du frågor om juridik, behöver rådgivning eller vill diskutera ett uppdrag? Välkommen att höra av dig till vår juridikavdelning – vi hjälper dig gärna vidare.

010-510 54 30
juridik@akeri.se