”Flera juridiska frågor hänger i luften när nya visselblåsarlagen börjar tillämpas i större bolag”
KRÖNIKA – Av advokaterna Sten Bauer och Margarita Kozlov som arbetar med arbetsrätt på den globala advokatbyrån Baker McKenzie
Från och med den 17 juli i år gäller kravet på att ha interna visselblåsarkanaler för större bolag med 250 eller fler anställda. Medelstora bolag med 50 – 249 anställda har fram till december 2023 på sig att inrätta dessa kanaler. Detta enligt den nya visselblåsarlagen som trädde i kraft i Sverige under december 2021.
Då visselblåsarlagen bygger på ett EU-direktiv saknas de traditionella förarbeten som hjälper till med tolkning av regelverket. Den svenska implementeringen av direktivet lämnar flera praktiska frågor avseende inrättande av kanaler obesvarade.
Det är angeläget att frågorna som hänger i luften besvaras snarast, åtminstone senast tills dess att medelstora bolag börjar omfattas av kravet att inrätta visselblåsarkanaler, vilket är i slutet av nästa år.
Den första, tillika en av de mest diskuterande frågorna i den nya visselblåsarlagen, är under vilka omständigheter bolag kan ha gemensamma visselblåsarkanaler och dela resurser för hantering och utredning av inkomna visselblåsarärenden med andra bolag i samma koncern.
Enligt visselblåsarlagen kan de interna rapporteringskanalerna och förfaranden för mottagning och utredning av rapporter delas med andra verksamhetsutövare som har upp till 249 anställda. Det som får delas inom koncerner är det rena mottagandet av rapporter samt utredning av visselblåsarärenden. Resurser för att hålla kontakt med den rapporterande personen får inte delas.
Varje bolag i koncernen är också skyldigt att utse en oberoende och självständig person eller enhet som ska vara behörig att ta emot rapporter och ha kontakt med rapporterande personer, följa upp det som rapporteras, och lämna återkoppling om uppföljningen till rapporterande personer.
Den som utses som oberoende och självständig person får antingen vara anställd hos företaget eller hos någon som har anlitats för att hantera rapporteringskanalerna och förfarandena för företagets räkning. I det sistnämna fallet ska det handla om en helt extern tredje part.
Den oberoende och självständiga personen kan i dagsläget inte utses på koncernivå, vilket har visat sig orsaka huvudbry för företag som har haft avsikt att dela resurserna.
Vi anser att en ändamålsenligare lagstiftning borde ha tillåtit för företag att utse en gemensam oberoende och självständig person på koncernnivå. Detta skulle underlätta för verksamhetsutövare att dela resurserna för hantering av visselblåsarkanaler. Ofta hanteras HR-relaterade frågor och andra frågor som rör regelefterlevnad på moderbolagsnivå, och en liknande tillämpning av visselblåsardirektivet skulle inte äventyra skyddet för visselblåsare.
Den andra stora frågan är varför större företag med 250 eller fler anställda inte kan dela visselblåsarkanaler inom koncernen. Fram till den nya visselblåsarlagen trädde i kraft har de flesta företag som har visselblåsarfunktioner i praktiken delat på resurserna, då kanalerna ofta har styrts av moderbolaget.
Genom centralt förhandlade kollektivavtal går det att göra avvikelser från reglerna om interna rapporteringskanaler, förutsatt att kollektivavtalet respekterar de rättigheter som de rapporterande personerna har. Det nya kollektivavtalet mellan Teknikföretagen, IF Metall, Unionen, Sveriges Ingenjörer och Ledarna möjliggör för stora bolag inom samma koncern att dela rapporteringskanaler med varandra. Den möjligheten har inte lämnats för icke-kollektivavtalsbundna företag.
En tredje central fråga är reglerna för behandling av personuppgifter – och särskilt uppgifter om lagöverträdelser som visselblåsarrapporterna ofta består av.
Företag som har en skyldighet att inrätta visselblåsarkanaler kan behandla uppgifterna om lagöverträdelser med stöd av kompletterande bestämmelser till EU:s dataskyddsförordning, enligt vilka sådana uppgifter får behandlas för att fullgöra en rättslig förpliktelse enligt lag.
Problemet för företag med färre än 50 anställda är att de inte har en rättslig skyldighet att ha kanaler. De kan dock gynnas av att komma till rätta med missförhållanden och andra typer av oegentligheter genom inrättande av frivilliga visselblåsarsystem. Således har de en annan grund för behandling av uppgifter om lagöverträdelser jämfört med företag som är skyldiga att ha kanaler.
Enligt Integritetsskyddsmyndighetens föreskrifter, som gällde redan innan visselblåsarlagen trädde i kraft, kan företag med stöd av ett legitimt intresse behandla uppgifter om lagöverträdelser i visselblåsarsystem –förutsatt att uppgifter som får rapporteras begränsas till vissa allvarliga oegentligheter som har begåtts av nyckelpersoner eller andra personer i ledande ställning.
Vi anser att det är dags för en uppdatering av rättsläget då olika lagliga grunder för behandling av uppgifter kommer att medföra svårigheter för företag där antal anställda varierar kring 50-strecket. Ena året har de fler än 50 anställda och andra året färre, vilket leder till att de då inte faller under skyldigheten för att inrätta visselblåsarkanaler. Reglerna skiljer sig också åt för olika bolag i samma koncern beroende på antal anställda, vilket skapar oklarheter.
Till ytterligare frågetecken hör bland annat avsaknaden av definitionen för ’verksamhetsutövare’. Att det centrala begreppet för regelverket inte har definierats varken i lagtexten eller i förarbetena orsakar huvudbry, särskilt för filialer till utländska företag.
Är en svensk filial, som har färre än 50 anställda, till ett utländskt bolag som har många fler anställda, skyldigt att inrätta visselblåsarkanaler enligt den svenska visselblåsarlagen? Och om filialen är skyldig att inrätta en egen visselblåsningskanal, får känsliga personuppgifter om lagöverträdelser föras över från filialen till det utländska bolaget – särskilt när bolaget befinner sig utanför EU?
Det kan knappast ha varit lagstiftarens avsikt att lämna centrala frågor utan svar. Men rättsläget lär komma att klarna allt eftersom lagen tillämpas. I mellantiden och senast fram till dess att medelstora bolag börjar omfattas av kravet på att inrätta kanaler, vore det önskvärt att Arbetsmiljöverket som tillsynsmyndighet och ansvarig för kontroll över lagens efterlevnad, samt Integritetsskyddsmyndigheten som ansvarig för personuppgiftsfrågor, förtydligar vad som gäller för delning av kanaler samt behandling av uppgifter om lagöverträdelser!
