Menu
I henhold til EU’s whistleblower-direktiv for 2019 skal juridiske enheder etablere interne rapporteringskanaler og interne procedurer for modtagelse og opfølgning af indberetninger om overtrædelser. Her er nogle af de vigtigste konklusioner for praktikere.
De generelle tærskler er 50 arbejdstagere og/eller 10.000 indbyggere. Kravet gælder for juridiske enheder i den private sektor, som har mindst 50 ansatte. I nogle sektorer gælder denne tærskel overhovedet ikke.
I den offentlige sektor gælder kravet for alle juridiske enheder. Man skal dog henvise til den nationale lovgivning, da medlemsstaterne har mulighed for at gøre undtagelser fra denne generelle regel. De kan undtage kommuner med under 10 000 indbyggere eller 50 ansatte samt andre offentlige enheder med under 50 ansatte
Den interne rapporteringskanal skal stilles til rådighed for virksomhedens ansatte. Selve loven om whistleblowing kræver ikke, at den interne kanal også skal være tilgængelig for andre personer (f.eks. leverandører, underleverandører osv.), så de kan indberette oplysninger om overtrædelser. Sidstnævnte er dog ikke forhindret i at indsende deres rapporter via eksterne rapporteringskanaler, da brugen af disse kanaler ikke er betinget af, at de interne rapporteringskanaler først er blevet anvendt.
Der er ikke noget krav om at acceptere og følge op på anonyme indberetninger om overtrædelser.
Det står medlemsstaterne frit for at beslutte, om de vil stille et sådant krav eller ej. Beslutningen om kun at acceptere og følge op på indberetninger med oplysning om identiteten af de indberettende personer kan imidlertid vise sig at være en udfordring. Metoderne til bekræftelse af identifikation er nemlig begrænsede, og desuden er en sådan strategi ikke i overensstemmelse med bedste praksis. At afvise en anmeldelse, uanset dens indhold, alene fordi den er anonym, giver ikke meget mening, især fordi det at forblive anonym faktisk kan være den bedste beskyttelse af den anmeldende person mod gengældelse.
Identiteten på den indberettende person må kun videregives med denne persons udtrykkelige samtykke, eller når en sådan videregivelse er nødvendig og forholdsmæssig i henhold til EU-retten eller national ret.
Rapporteringskanalen skal sikre, at den rapporterende persons og enhver tredjeparts identitet, der er nævnt i rapporten, beskyttes fortroligt, og at uautoriserede medarbejdere ikke får adgang hertil. Den indberettende persons identitet må ikke videregives til andre end det autoriserede personale uden denne persons udtrykkelige samtykke, eller når en sådan videregivelse er nødvendig og forholdsmæssig i henhold til EU-retten eller national ret. Den indberettende person skal underrettes om sidstnævnte inden videregivelsen, medmindre sådanne oplysninger vil bringe de relaterede undersøgelser eller retssager i fare. Den samme tavshedspligt gælder også for alle andre oplysninger, hvoraf den indberettende persons identitet direkte eller indirekte kan udledes.
Rapporteringskanalen skal gøre det muligt at rapportere skriftligt eller mundtligt eller begge dele. Alle modtagne rapporter skal registreres.
Med henblik på mundtlig indberetning kan den indberettende person også anmode om et fysisk møde med medarbejderne inden for en rimelig tidsfrist. Mødet kan dokumenteres enten ved at optage samtalen på en varig og lettilgængelig måde eller ved hjælp af et nøjagtigt referat af mødet, som udarbejdes af de medarbejdere, der er ansvarlige for behandlingen af rapporten. Den rapporterende person skal have mulighed for at kontrollere, rette og godkende referatet af mødet ved at underskrive det. Tilsvarende bestemmelser gælder for optagelse af andre mundtlige rapporter, der udleveres via telefonlinjer eller andre talebeskedssystemer. Hvor længe en rapport kan opbevares, afhænger af, hvad der er nødvendigt og proportionalt for at opfylde kravene i direktivet, EU-retten eller national ret.
Juridiske enheder skal indføre procedurer for intern rapportering og omhyggelig opfølgning heraf. Oplysningerne skal være klare og let tilgængelige.
Procedurerne skal derfor regulere selve indberetningen samt enhver foranstaltning, som modtageren af en indberetning vil træffe for at vurdere nøjagtigheden af påstandene i indberetningen og, hvor det er relevant, for at afhjælpe den indberettede overtrædelse, herunder ved hjælp af foranstaltninger som f.eks. en intern undersøgelse, en efterforskning, retsforfølgning, en sag om tilbagebetaling af midler eller afslutning af proceduren. Oplysningerne om brugen af de interne indberetningskanaler og om procedurerne for ekstern indberetning til de kompetente myndigheder skal være klare og let tilgængelige.
Rapporterne kan håndteres internt eller af en tredjepartsleverandør.
Der skal udpeges en person eller en afdeling til at varetage de interne rapporteringskanaler. Sidstnævnte omfatter modtagelse af rapporterne og opretholdelse af kommunikationen med den rapporterende person samt anmodning om yderligere oplysninger fra og feedback til den rapporterende person.
Denne opgave kan udliciteres til tredjepartsleverandører som f.eks. eksterne rådgivere, eksterne udbydere af rapporteringsplatforme, advokatfirmaer, revisorer, arbejdstagerrepræsentanter og lignende. Der bør også være effektive garantier og sikkerhedsforanstaltninger med hensyn til uafhængighed, fortrolighed, databeskyttelse og tavshedspligt hos de tredjepartsleverandører, der leverer tjenester.
Opfølgningen af rapporten kan foretages af en udpeget, kompetent og upartisk person eller afdeling. Denne person eller afdeling kan være den samme som den, der betjener den indberettende kanal. Hvem denne person eller afdeling er, afhænger af størrelsen og strukturen i den enkelte organisation. Den mest hensigtsmæssige person eller afdeling bør dog have denne funktion i organisationen, som sikrer uafhængighed og fravær af interessekonflikter. Normalt udføres sådanne opgaver af en chef for compliance eller HR-ansvarlig, en integritetsansvarlig, en juridisk eller privatlivsansvarlig, en økonomichef, en revisionschef eller et bestyrelsesmedlem. Private juridiske enheder med 50-249 ansatte kan dele ressourcer til modtagelse af anmeldelser og til gennemførelse af eventuelle efterfølgende undersøgelser.
Den indberettende person skal underrettes om modtagelsen af rapporten inden for 7 dage og skal have feedback senest efter 3 måneder.
Modtagelsen af rapporten skal bekræftes over for den indberettende person senest syv dage efter modtagelsen af rapporten. Der er ingen undtagelse fra denne forpligtelse, mens den kompetente myndighed ved ekstern indberetning kan undlade at give en sådan bekræftelse, hvis den indberettende person udtrykkeligt har anmodet herom, eller hvis den med rimelighed mener, at det ville bringe beskyttelsen af den indberettende persons identitet i fare.
De interne procedurer skal fastlægge en rimelig frist for tilbagemelding, som ikke må overstige tre måneder fra kvitteringen for modtagelsen eller udløbet af den ovennævnte periode på syv dage.
Det kræves, at tilbagemeldingen gives til den indberettende person, og at denne informeres om de foranstaltninger, der er planlagt eller truffet som opfølgning, og om begrundelsen for denne opfølgning. Hvis der ikke træffes passende foranstaltninger inden for denne periode, kan den indberettende person beslutte at offentliggøre bruddet og stadig være berettiget til beskyttelse mod repressalier i henhold til direktivet. Selvfølgelig er det en juridisk standard, om opfølgningen er hensigtsmæssig, og vurderingen heraf afhænger af omstændighederne i den enkelte sag og af arten af de regler, der er blevet overtrådt.
Der er ikke fastsat nogen tidsfrist for, hvornår opfølgningsforanstaltningerne skal være afsluttet. Jo længere tid der går, jo mere sandsynligt er det imidlertid, at eventuelle handlinger vil blive betragtet som upassende, hvilket vil motivere den rapporterende person til at benytte eksterne rapporteringskanaler eller endda offentliggøre overtrædelsen. I modsætning til ekstern rapportering er der ikke nogen udtrykkelig forpligtelse til at meddele den rapporterende person det endelige resultat af de undersøgelser, der er udløst af rapporteringen, til den rapporterende person.