Menu
Den 16. december 2019 trådte EU’s whistleblower-direktiv om beskyttelse af personer, der indberetter overtrædelser af EU-retten, i kraft. Medlemsstaterne skal omsætte direktivet i national lovgivning indtil den 17. december 2021.
Direktivets anvendelsesområde er enormt. Det regulerer emnet på hele kontinentet, hvor der bor 450 millioner borgere og 22,5 millioner SMV’er, hvoraf mange vil blive direkte berørt af direktivet.
Direktivet kræver, at juridiske enheder skal etablere interne rapporteringskanaler og interne procedurer for modtagelse og opfølgning af rapporter. Her er nogle af de vigtigste konklusioner for praktikere.
De generelle tærskler er 50 arbejdstagere og/eller 10.000 indbyggere. EU’s whistleblower-direktiv gælder for juridiske enheder i den private sektor med mindst 50 ansatte. I nogle sektorer gælder denne tærskel slet ikke, og interne kanaler er obligatoriske uanset arbejdsstyrkens størrelse.
I den offentlige sektor gælder kravet om intern rapporteringskanal for alle juridiske enheder. Det er dog også nødvendigt at henvise til national lovgivning, da medlemsstaterne har mulighed for at gøre undtagelser fra denne generelle regel. Dvs. at de kan undtage kommuner med under 10 000 indbyggere eller 50 ansatte samt andre offentlige enheder med under 50 ansatte.
Rapporteringskanalen bør gøre det muligt at rapportere skriftligt eller mundtligt eller begge dele. Alle modtagne rapporter skal registreres. Ved mundtlig indberetning skal den indberettende person kunne anmode om et fysisk møde med medarbejderne inden for en rimelig tidsramme. Mødet kan dokumenteres enten ved at optage samtalen på en varig og lettilgængelig måde eller ved hjælp af et nøjagtigt referat af mødet, som udarbejdes af de medarbejdere, der er ansvarlige for behandlingen af rapporten.
Den rapporterende person skal have mulighed for at kontrollere, rette og godkende referatet af mødet ved at underskrive det. Tilsvarende bestemmelser gælder for optagelse af andre mundtlige rapporter, der indgives via telefon eller andre talebeskedssystemer. Hvor længe en rapport kan opbevares, afhænger af, hvad der er nødvendigt og proportionalt for at overholde direktivet, EU-retten eller national ret.
Den interne rapporteringskanal skal stilles til rådighed for virksomhedens ansatte.
EU’s whistleblower-direktiv kræver ikke, at whistleblower-portalen også skal være offentlig for andre personer (f.eks. leverandører, underleverandører osv.), som kan indberette oplysninger om overtrædelser. Sidstnævnte kan dog til enhver tid indsende deres rapporter via eksterne rapporteringskanaler. Brugen af disse er ikke betinget af, at der forud er gjort brug af interne rapporteringskanaler.
Der er ikke noget generelt krav i whistleblower-loven om at acceptere og følge op på anonyme indberetninger om overtrædelser. Det står medlemsstaterne frit for at beslutte, om de vil indføre et sådant krav i deres nationale lovgivning eller ej. Beslutningen om kun at acceptere og følge op på indberetninger med oplysning om identiteten af de indberettende personer kan imidlertid vise sig at være en udfordring. Identifikationsbekræftelsesmetoderne er nemlig begrænsede og udgør en yderligere barriere for en whistleblower. Desuden er en sådan fremgangsmåde ikke i overensstemmelse med bedste praksis. Det giver ikke meget mening at afvise en anmeldelse, blot fordi den er indgivet anonymt og uanset dens indhold. Ofte kan det at forblive anonym være den bedste og i realiteten den eneste beskyttelse for den anmeldende person mod gengældelse.
Den indberettende persons identitet må kun videregives med dennes udtrykkelige samtykke, eller når en sådan videregivelse er nødvendig og forholdsmæssig i henhold til EU-retten eller national ret.
Rapporteringskanalen skal sikre, at den rapporterende persons og enhver tredjeparts identitet, der er nævnt i rapporten, beskyttes fortroligt, og at uautoriserede medarbejdere ikke får adgang hertil.
Den indberettende persons identitet må ikke videregives til andre end det autoriserede personale uden denne persons udtrykkelige samtykke, eller når en sådan videregivelse er nødvendig og forholdsmæssig i henhold til EU-retten eller national ret. Den indberettende person skal underrettes om sidstnævnte inden videregivelsen, medmindre sådanne oplysninger vil bringe de relaterede undersøgelser eller retssager i fare. Den samme tavshedspligt gælder også for alle andre oplysninger, hvoraf den indberettende persons identitet direkte eller indirekte kan udledes.
Juridiske enheder skal indføre procedurer for intern rapportering og omhyggelig opfølgning heraf. Oplysningerne skal være klare og let tilgængelige.
Procedurerne skal derfor regulere selve indberetningen samt enhver foranstaltning, som modtageren af en indberetning vil træffe for at vurdere nøjagtigheden af påstandene i indberetningen og, hvor det er relevant, for at afhjælpe den indberettede overtrædelse, herunder ved hjælp af foranstaltninger som f.eks. en intern undersøgelse, en efterforskning, retsforfølgning, en sag om tilbagebetaling af midler eller afslutning af proceduren.
I henhold til loven om whistleblowing skal oplysningerne om brugen af interne indberetningskanaler og om procedurerne for ekstern indberetning til de kompetente myndigheder være klare og let tilgængelige.
I henhold til EU’s whistleblower-direktiv kan rapporterne behandles internt eller af en tredjepart. Det skal sikres, at de er uafhængige og ikke er i interessekonflikt. Der skal udpeges en person eller en afdeling til at varetage de interne rapporteringskanaler.
Sidstnævnte omfatter modtagelse af rapporterne og opretholdelse af kommunikationen med den rapporterende person samt anmodning om yderligere oplysninger fra og feedback til den rapporterende person. Denne opgave kan udliciteres til tredjepartsleverandører som f.eks. eksterne rådgivere, eksterne udbydere af rapporteringsplatforme, advokatfirmaer, revisorer, arbejdstagerrepræsentanter og lignende. Der bør også være effektive garantier og sikkerhedsforanstaltninger med hensyn til uafhængighed, fortrolighed, databeskyttelse og tavshedspligt hos de tredjepartsleverandører, der leverer tjenester. Opfølgningen af rapporten kan foretages af en udpeget, kompetent og upartisk person eller afdeling. Denne person eller afdeling kan være den samme som den, der betjener den indberettende kanal. Hvem denne person eller afdeling er, afhænger af størrelsen og strukturen i den enkelte organisation. Den mest hensigtsmæssige person eller afdeling bør dog have denne funktion i organisationen, som sikrer uafhængighed og fravær af interessekonflikter. Normalt udføres sådanne opgaver af en chef for compliance eller en HR-ansvarlig, en integritetsansvarlig, en juridisk eller privatlivsansvarlig, en økonomichef, en revisionschef eller et bestyrelsesmedlem. Private juridiske enheder med 50-249 ansatte kan dele ressourcer til modtagelse af anmeldelser og til gennemførelse af eventuelle efterfølgende undersøgelser.
I henhold til EU’s whistleblower-direktiv skal den indberettende person informeres om modtagelsen af indberetningen inden for 7 dage og gives feedback senest efter 3 måneder. Modtagelsen af rapporten skal bekræftes over for den indberettende person senest syv dage efter modtagelsen af rapporten. Der er ingen undtagelse fra denne forpligtelse, mens den kompetente myndighed ved ekstern indberetning kan undlade at give en sådan bekræftelse, hvis den indberettende person udtrykkeligt har anmodet herom, eller hvis den med rimelighed mener, at det ville bringe beskyttelsen af den indberettende persons identitet i fare.
De interne procedurer skal fastlægge en rimelig tidsramme for at give feedback til den indberettende person. Denne frist må ikke overstige tre måneder fra kvitteringen for modtagelsen eller udløbet af ovennævnte syv-dages-periode.
I tilbagemeldingen skal den indberettende person informeres om de foranstaltninger, der er planlagt eller truffet som opfølgning, og om begrundelsen for denne opfølgning. Hvis der ikke træffes passende foranstaltninger inden for denne periode, kan den indberettende person offentliggøre overtrædelsen og stadig være berettiget til beskyttelse mod repressalier i henhold til loven om whistleblowing. Selvfølgelig er det en juridisk standard, om opfølgningen er hensigtsmæssig, og vurderingen heraf afhænger af omstændighederne i den enkelte sag og af arten af de regler, der er blevet rapporteret overtrådt.
Der er ikke fastsat nogen tidsfrist for, hvornår enhedens opfølgningsforanstaltninger skal være afsluttet. Men jo længere tid de tager, jo større er sandsynligheden for, at eventuelle foranstaltninger vil blive betragtet som uhensigtsmæssige, hvilket vil motivere den rapporterende person til at benytte eksterne rapporteringskanaler eller offentliggøre overtrædelsen.
I modsætning til ekstern rapportering er der ikke nogen udtrykkelig forpligtelse til at meddele den rapporterende person det endelige resultat af de undersøgelser, der er udløst af rapporteringen, til den rapporterende person.
Trusty er en compliance-platform, der er udviklet af førende eksperter til at støtte virksomheder på deres compliance-rejse. Det tilbyder gratis whistleblowing-løsninger til SMV’er og en bred vifte af øjeblikkelige og overkommelige løsninger til forvaltning af overholdelse af reglerne. www.trusty.report