DEBATT – av Margarita Kozlov, advokat och Amanda Thieme, biträdande jurist, advokatbyrån Baker McKenzie.
Från och med den 17 december utökas visselblåsarlagen till att även omfatta företag med 50 – 249 anställda, som nu blir skyldiga att ha interna visselblåsningskanaler. Det finns flera vanliga missförstånd om vad lagen innebär i praktiken. Det skriver advokat Margarita Kozlov och biträdande jurist Amanda Thieme på den globala advokatbyrån Baker McKenzie.
Visselblåsarlagen, som implementerar EU:s visselblåsardirektiv, innefattar skydd för personer som rapporterar om missförhållanden. Innebörden av lagkraven är fortfarande oklara för många företag; det råder missförstånd kring vad företagen bör tänka på i upprättande av rapporteringskanaler och i hantering av visselblåsningsärenden.
Ett av de vanligaste missförstånden är att det räcker att visselblåsningspolicyn finns på intranätet. Enligt visselblåsarlagen ska företag lämna tydlig och lättillgänglig information om rapporteringskanalerna. Men det räcker inte med att lägga upp policyn på bolagets intranät eller i något annat forum för interkommunikation. Alla som omfattas av lagen ska ha tillgång till policyn, då det inte bara är bolagets egna anställda som omfattas av lagen. Den så kallade personkretsen, som kan rapportera, omfattar även personer som gör en förfrågan om eller söker arbete, volontärer och praktikanter, egenföretagare som söker eller utför uppdrag, konsulter och personal från bemanningsföretag, samt verksamma aktieägare med flera. Dessutom omfattas personer som någon gång har tillhört någon av dessa kategorier, till exempel före detta anställda – om de skulle visselblåsa vid ett senare tillfälle. Personer som har fått tillgång till information om verksamheten på grund av sin ställning, är beroende av verksamheten av samma anledning, och därför tar en risk genom att rapportera missförhållandena, har behov av skydd vid rapportering.
Den breda personkretsen gör att information om bolagets visselblåsningskanaler behöver vara tillgänglig så att alla som berörs har tillgång till kanalerna. Väljer man en digital lösning är en länk eller ett formulär på en öppen hemsida – utöver intranätet – lämpligt.
Vidare behöver företagen också dokumentera sina interna rapporteringskanaler och förfaranden skriftligt.
Ett annat vanligt missförstånd är påståenden om att sexuella trakasserier alltid är visselblåsningsärenden. Vad gäller missförhållanden som inte faller under kategorierna att de strider mot eller motverkar målet eller syftet med en unionsrättsakt inom tillämpningsområdet för visselblåsningsdirektivet, eller svensk rätt som implementerar eller kompletterar sådan unionsrätt, finns ett krav på att det ska finnas ett allmänintresse av att missförhållandena i fråga kommer fram. Detta för att den rapporterande personen ska omfattas av skyddet mot repressalier.
Intresset ska vara legitimt. Ett icke-legitimt intresse är till exempel ren nyfikenhet, medan ett legitimt intresse är att få kännedom om missförhållanden som påverkar allmänheten negativt, för att eventuella oegentligheter ska kunna åtgärdas och personer som riskerar att drabbas kunna skydda sig.
Brott mot bolagets policyer och uppförandekoder anses generellt sett ha ett svagt allmänintresse. Missförhållanden som angår en enskild persons arbets- eller anställningsförhållanden, ofta rubricerat som ”personalärenden”, faller normalt sett utanför lagens tillämpningsområde. Detta gäller så länge det inte är fråga om systematiska, strukturella brott mot gällande regler. Om ett företag mottar ett ärende som handlar om sexuella trakasserier finns det därför flera parametrar att ta ställning till innan man beslutar sig för att utreda ärendet som ett visselblåsningsärende.
Ett ärende som inte formellt omfattas av visselblåsarlagen bör inte heller utredas som ett sådant, då det från ett dataskyddsperspektiv kan saknas rättslig grund för att hantera de uppgifter som framkommer inom ramen för visselblåsarsystemet. Med detta sagt har arbetsgivaren en skyldighet, och därmed rättslig grund, att utreda ärenden om påstådda sexuella trakasserier under annan rättslig reglering, utanför visselblåsarsystemet.
Ett tredje missförstånd är att det är mottagaren som måste utreda hela ärendet. Företaget ska utse en oberoende och självständig person, eller enhet, som har behörighet att ta emot rapporter genom de interna visselblåsningskanalerna, följa upp ärendet, samt ha kontakt med och lämna återkoppling till den rapporterande personen.
Enligt lagen ska denna behöriga person följa upp det som rapporteras. Detta innebär bland annat att vidta åtgärder för att bedöma riktigheten i påståendena som framställs och överlämna dessa uppgifter för fortsatta åtgärder. Visselblåsarlagen ställer inget uttryckligt krav på att det är den utsedda behöriga personen eller gruppen av personer som måste genomföra hela den interna utredningen av ärendet. Däremot medför regleringen av personuppgiftsbehandling och tystnadsplikt vissa begränsningar för hur utredningen kan bedrivas i praktiken.
En verksamhetsutövare kan ta hjälp av till exempel en koncerns centrala utredningsfunktion eller compliance-avdelning, eller en extern rådgivare, såsom en advokatbyrå, förutsatt att detta görs med iakttagande av reglerna avseende personuppgiftsbehandling och tystnadsplikt. I vissa situationer, till exempel när högre chefer är inblandade i klagomål, kan det krävas externt stöd för att undvika intressekonflikter.
Dessutom får bolag med mellan 50 och 249 anställda dela själva visselblåskanalen samt resurser för utredning av de förhållanden som har rapporterats av andra bolag av samma storlek, i samma koncern.
Många företag brottas med frågan hur utredningar ska hanteras internt. Då lagen bygger på ett EU-direktiv saknas de traditionella förarbeten som bidrar till en tolkning av regelverket, och flera praktiska frågor är fortfarande otydliga, såsom kraven på behandling av personuppgifter i bolag av olika storlek samt hur anpassning till lokala krav i multinationella företag ska gå till. Det viktigaste arbetsgivare som omfattas av kravet behöver göra är att upprätta och implementera interna visselblåsningskanaler. I takt med att de oklarheter som finns successivt adresseras genom rättspraxis så kan befintliga system uppdateras och justeras om det skulle behövas. Är det något vi har lärt oss från den inte helt okomplicerade implementeringen av GDPR, är det att som verksamhetsutövare inte låta sig avskräckas av komplexa regler och vänta för länge med att ta tag i att få rutinerna på plats.
