Meny
Enligt EU:s visselblåsardirektiv från 2019 måste juridiska personer inrätta interna rapporteringskanaler och interna rutiner för att ta emot och följa upp rapporter om överträdelser. Här är några av de viktigaste slutsatserna för praktiker.
Generella tröskelvärden är 50 anställda och/eller 10.000 invånare. Kravet gäller för juridiska personer inom den privata sektorn som har minst 50 anställda. I vissa sektorer gäller detta tröskelvärde inte alls.
Inom den offentliga sektorn gäller kravet alla juridiska personer. Man måste dock hänvisa till nationell lagstiftning, eftersom medlemsstaterna har rätt att göra undantag från denna allmänna regel. De får undanta kommuner med färre än 10 000 invånare eller 50 anställda. Samt andra enheter inom den offentliga sektorn med färre än 50 anställda.
Den interna rapporteringskanalen måste göras tillgänglig för företagets anställda. Lagen om visselblåsning i sig kräver inte att den interna kanalen görs tillgänglig. Även till andra personer (t.ex. leverantörer, underleverantörer…) för att rapportera information om överträdelser. De senare är dock inte förhindrade att lämna sina rapporter via externa rapporteringskanaler. Eftersom användningen av dessa inte är villkorad av tidigare användning av interna rapporteringskanaler.
Det finns inget krav på att ta emot och följa upp anonyma rapporter om överträdelser.
Det står medlemsstaterna fritt att besluta om de vill införa ett sådant krav eller inte. Beslutet att endast godta och följa upp rapporter där de rapporterande personernas identitet avslöjas kan dock visa sig vara en utmaning. Metoderna för att bekräfta identifiering är nämligen begränsade och dessutom är en sådan strategi inte i linje med bästa praxis. Att inte acceptera en rapport, oavsett dess innehåll, bara för att den gjordes anonymt är inte särskilt meningsfullt. Särskilt eftersom anonymitet i själva verket kan vara det bästa skyddet för den rapporterande personen mot vedergällning.
Den rapporterande personens identitet får endast avslöjas med denna persons uttryckliga samtycke. Eller när ett sådant utlämnande är nödvändigt och proportionerligt enligt unionsrätten eller nationell rätt.
Den rapporterande kanalen är skyldig att säkerställa skyddet av konfidentialiteten för den rapporterande personens identitet. Dessutom alla tredje parter som nämns i rapporten och för att förhindra att obehörig personal får tillgång till dem. Den rapporterande personens identitet får inte avslöjas för någon annan än behörig personal utan personens uttryckliga samtycke. Eller när ett sådant utlämnande är nödvändigt och proportionerligt enligt unionsrätten eller nationell rätt. Den rapporterande personen måste informeras om det senare före offentliggörandet. Såvida inte sådan information skulle äventyra relaterade utredningar eller rättsliga förfaranden. Samma tystnadsplikt gäller även för all annan information. Från vilken den rapporterande personens identitet direkt eller indirekt kan härledas.
Rapporteringskanalen måste tillåta rapportering skriftligen eller muntligen eller både och. Varje mottagen rapport måste registreras.
Vid muntlig rapportering kan den rapporterande personen även begära ett fysiskt möte med personalen inom en rimlig tidsram. Mötet kan dokumenteras antingen genom en inspelning av samtalet i en varaktig och återvinningsbar form. Genom korrekta mötesprotokoll som upprättats av den personal som ansvarar för att hantera rapporten. Den rapporterande personen måste ges möjlighet att kontrollera, korrigera och godkänna protokollet från mötet genom att underteckna det. Liknande bestämmelser gäller för inspelning av andra muntliga rapporter. Tillhandahålls via telefonlinjer eller andra röstmeddelandesystem. Den tidsperiod som en rapport får lagras. Beror på vad som krävs och är proportionerligt för att uppfylla kraven i direktivet eller unionslagstiftningen eller nationell lagstiftning.
Juridiska personer måste upprätta rutiner för intern rapportering och noggrann uppföljning av dessa. Informationen måste vara tydlig och lättillgänglig.
Förfarandena måste därför reglera själva rapporteringen, liksom alla åtgärder som kommer att vidtas av mottagaren av en rapport. Att bedöma riktigheten i de anklagelser som framförs i rapporten och, i förekommande fall, åtgärda den överträdelse som rapporterats. Inklusive åtgärder som en intern utredning, en undersökning, åtal, en åtgärd för att återkräva medel eller avslutande av förfarandet. Information om användningen av interna rapporteringskanaler. Förfarandena för extern rapportering till behöriga myndigheter måste också vara tydliga och lättillgängliga.
Rapporterna kan hanteras internt eller av en tredjepartsleverantör.
En person eller avdelning måste utses för att hantera interna rapporteringskanaler. Det senare innefattar att ta emot rapporterna och upprätthålla kommunikationen med den rapporterande personen. Samt att be om ytterligare information från och ge feedback till den rapporterande personen.
Denna uppgift kan läggas ut på tredjepartsleverantörer såsom externa rådgivare, externa leverantörer av rapporteringsplattformar, advokatbyråer, revisorer, arbetstagarrepresentanter och liknande. Effektiva garantier och skyddsåtgärder när det gäller oberoende, sekretess, uppgiftsskydd och tystnadsplikt. Detta bör även gälla för tredjepartsleverantörer av tjänster.
Uppföljningen av rapporten får utföras av en utsedd, kompetent och opartisk person eller avdelning. Denna person eller avdelning kan vara densamma som den som driver rapporteringskanalen. Vem denna person eller avdelning är beror på varje enskild organisations storlek och struktur. Den lämpligaste personen eller avdelningen bör dock ha en sådan funktion i organisationen som säkerställer oberoende och frånvaro av intressekonflikter. Vanligtvis utförs sådana uppgifter av en Chief Compliance Officer eller HR Officer, en Integrity Officer, en Legal Officer eller Privacy Officer, en Chief Financial Officer, en Chief Audit Executive eller en styrelseledamot. Privata juridiska personer med 50 till 249 anställda får dela resurser för att ta emot anmälningar och för att genomföra eventuella efterföljande utredningar.
Den rapporterande personen måste informeras om mottagandet av rapporten inom 7 dagar och ges återkoppling senast inom 3 månader.
Mottagandet av rapporten måste bekräftas till den rapporterande personen inom sju dagar efter mottagandet av rapporten. Det finns inget undantag från denna skyldighet, men vid extern rapportering kan den behöriga myndigheten utelämna ett sådant erkännande. När den rapporterande personen uttryckligen begärt det eller när det rimligen kan antas att det skulle äventyra skyddet av den rapporterande personens identitet.
De interna förfarandena måste fastställa en rimlig tidsram för återkoppling, som inte får överstiga tre månader från mottagningsbeviset eller utgången av den ovan nämnda sjudagarsperioden.
Återkopplingen ska ges till den rapporterande personen och informera honom eller henne om de åtgärder som planeras eller vidtas som uppföljning och om skälen för en sådan uppföljning. Om inga lämpliga åtgärder vidtas inom denna tidsperiod kan den rapporterande personen besluta att offentliggöra överträdelsen och fortfarande kvalificera sig för skydd mot vedergällning enligt direktivet. Naturligtvis är lämpligheten av uppföljningen en rättslig standard och dess bedömning kommer att bero på omständigheterna i varje enskilt fall och på arten av de regler som har överträtts.
Det finns ingen fastställd tidsgräns inom vilken uppföljningsåtgärderna skulle behöva ha slutförts. Men ju längre tid det tar desto större är sannolikheten att de eventuella åtgärderna kommer att betraktas som olämpliga, vilket motiverar den rapporterande personen att använda externa rapporteringskanaler eller till och med offentliggöra överträdelsen. Till skillnad från extern rapportering finns det ingen uttrycklig skyldighet att meddela den rapporterande personen det slutliga resultatet av utredningar som föranletts av rapporten.