Intern rapportering, extern rapportering och offentliggörande

Uppdaterad 15 oktober 2021

Vad betyder intern rapportering, extern rapportering och offentliggörande?

En stor skillnad mellan den nya visselblåsarlagen och den gamla visselblåsarlagen är reglerna om interna och externa rapporteringskanaler.

Rapportering kan enligt den nya visselblåsarlagen ske genom intern rapportering, extern rapportering och offentliggörande.

Med intern rapportering menas att den rapporterande personen uppmärksammar den verksamhetsutövare som larmet avser, t.ex. sin arbetsgivare, om missförhållandena. En intern rapportering kan ske antingen via en intern rapporteringskanal eller “på annat sätt”. Ett exempel på det senare kan t.ex. vara att en anställd uppmärksammar sin närmaste chef på ett missförhållande. Extern rapportering betyder att en rapporterande person anmäler missförhållandet till en behörig myndighet via myndighetens externa rapporteringskanal eller genom att vända sig till vilken myndighet som helst, utan att gå via en extern rapporteringskanal. Med offentliggörande förstås att en rapporterande person rapporterar till utomstående eller till media.

För att omfattas av den nya visselblåsarlagens skydd krävs det att den rapporterande personen följer den i lagen angivna tågordningen för rapportering. Till skillnad mot regelverket i den gamla visselblåsarlagen finns det dock inget krav på att rapporteringen först ska ske internt, utan den rapporterande personen kan välja att direkt rapportera externt om det sker via en extern rapporteringskanal. En rapporterande person måste dock, som utgångspunkt, först rapportera externt innan denne kan rapportera genom offentliggörande.

Vad innebär skyldigheten att införa s.k. rapporteringssystem/rapporteringskanaler för oss som arbetsgivare (”verksamhetsutövare”)?

Alla verksamhetsutövare/arbetsgivare med 50 eller fler arbetstagare är skyldiga att ha interna rapporteringskanaler och förfaranden för rapportering och uppföljning. Antalet anställda avser förhållandena hos arbetsgivaren vid kalenderårets ingång, dvs. har en arbetsgivare minst 50 anställda per den 1 januari så föreligger en skyldighet att ha interna rapporteringskanaler och förfaranden för rapportering och uppföljning. Alla arbetstagare räknas med, oavsett anställningsform eller arbetstidsmått.

Alla som omfattas av lagens skydd, med undantag för de som inte har börjat eller som har slutat på företaget, ska ha tillgång till de interna rapporteringskanalerna.

Det ska vara möjligt att slå larm skriftligen, muntligen eller vid ett fysiskt möte. Rapporteringskanalen ska erbjuda möjlighet att motta rapporter om missförhållanden, att ha kontakt med den rapporterande personen, att följa upp rapporten och att lämna återkoppling på uppföljningen till den rapporterande personen.
Även rapporterande personer i företag med färre än 50 anställda omfattas av lagens skydd, t.ex. om en anställd rapporterar ett missförhållande till sin närmsta chef. Det finns dock inget lagkrav på att ett sådant företag ska inrätta interna rapporteringskanaler.

Vad är en extern rapporteringskanal?

Enligt den nya visselblåsarlagen kan en rapporterande person alltid välja mellan intern rapportering och rapportering via extern rapporteringskanal.

Rapportering via extern rapporteringskanal innebär att en rapporterande person anmäler missförhållandet till en s.k. behörig myndighet, en myndighet som utsetts av regeringen, istället för genom den interna rapporteringskanalen som finns hos arbetsgivaren.

I kompletterande regler till den nya visselblåsarlagstiftningen finns regler som bl.a. anger vilka myndigheter som har utsetts att ha externa rapporteringskanaler och förfaranden för rapportering och uppföljning för att ta emot, följa upp och lämna återkoppling på rapporter inom respektive ansvarsområde.

Vad innebär offentliggörande?

Offentliggörande innebär att information om ett missförhållande görs tillgänglig för allmänheten. Det kan göras på flera olika sätt, t.ex. genom att uppgifter lämnas till någon annan för publicering, exempelvis en journalist. Informationen kan också göras tillgänglig för allmänheten genom att uppgifter lämnas till aktörer som kan bidra till att uppgiften får spridning, t.ex. miljöorganisationer, folkvalda personer eller andra ideella sammanslutningar. Offentliggörande inkluderar även att den rapporterande personen själv publicerar uppgifterna i något medium som är tillgängligt för allmänheten, t.ex. sociala medier.

Av den nya visselblåsarlagen framgår att lagens skydd gäller vid offentliggörande av information om missförhållanden om någon av följande tre alternativa förutsättningar är uppfyllda:

1. Om den rapporterande personen har rapporterat externt i enlighet med lagen utan att:
a) mottagaren har vidtagit skäliga uppföljningsåtgärder med anledning av rapporteringen, eller
b) mottagaren i skälig utsträckning har lämnat återkoppling om uppföljningen inom tre månader från mottagandet av rapporten eller, om det finns särskilda skäl, sex månader och den rapporterande personen har informerats om skälen att förlänga tidsfristen,

2. Om den rapporterande personen har skälig anledning att anta att missförhållandet utgör en överhängande eller uppenbar fara för liv, hälsa, säkerhet eller risk för omfattande skada i miljön eller av annat skäl har befogad anledning att offentliggöra informationen, eller

3. Om den rapporterande personen har skälig anledning att anta att en extern rapportering skulle innebära en risk för repressalier eller leda till att missförhållandet sannolikt inte skulle avhjälpas på ett effektivt sätt.

Det räcker alltså att en av dessa tre förutsättningar är uppfyllda för att den rapporterande personen ska kunna offentliggöra uppgifter istället för att rapportera internt eller externt.

Den första punkten avser en myndighets hantering av en inkommen rapportering och kommenteras därför inte närmare här. Även den tredje punkten avser primärt en myndighets felaktiga agerande, t.ex. vid misstanke om att en myndighet samverkar med den som står för missförhållandet eller att en myndighet är delaktig i missförhållandet.
Den andra punkten avser situationer där den rapporterande personen har skälig anledning att anta att missförhållandet utgör en överhängande eller uppenbar fara för liv, hälsa, säkerhet eller risk för omfattande skada i miljön. Överhängande eller uppenbar fara kan t.ex. föreligga om det på en arbetsplats saknas föreskriven arbetsutrustning eller personlig skyddsutrustning och att arbetstagarens eller andra enskildas liv, hälsa eller säkerhet därmed äventyras. Med risk för omfattande skada i miljön avses risker för föroreningsskador och allvarliga miljöskador. Av samma punkt framgår också att skyddet gäller om det av annat skäl finns befogad anledning att offentliggöra informationen. Befogad anledning finns t.ex. om det rör sig om mycket allvarliga missförhållanden. Det kan t.ex. handla om mycket allvarlig ekonomisk brottslighet, grova överträdelser av miljöskyddslagstiftningen eller annan grov brottslighet.

Är någon av de tre förutsättningarna uppfyllda kan en rapporterande person alltså nyttja möjligheten att offentliggöra sin rapport istället för att rapportera internt eller externt till myndighet och samtidigt vara skyddad enligt lagen.

Måste en rapporterande person först använda företagets interna rapporteringskanal innan ett missförhållande får rapporteras genom en extern rapporteringskanal?

Nej. En skillnad, jämfört med tidigare, är att den rapporterande personen enligt den nya visselblåsarlagen kan välja mellan att rapportera internt eller att gå direkt via en extern rapporteringskanal. En förutsättning för att det senare ska vara möjligt i praktiken är att det missförhållande som rapporteringen avses faller under något av de ansvarsområden som de behöriga myndigheterna är ansvariga för, dvs. att det finns en extern rapporteringskanal för missförhållandet ifråga.

För att omfattas av visselblåsarlagens skydd vid en extern rapportering på annat sätt än genom att en extern rapporteringskanal används så krävs i regel att den rapporterande personen först har rapporterat internt.

Hur ska den interna rapporteringskanalen vara utformad?

Det finns inga formkrav för hur den interna rapporteringskanalen ska se ut mer än att inkomna rapporter ska hanteras av särskilt utsedda personer eller enheter i företaget. Verksamhetsutövaren/arbetsgivaren har möjlighet att bestämma om det ska vara en och samma person/enhet som tar emot rapporten, som följer upp den och som återkopplar, eller om flera olika personer/enheter ska utses för olika delar.

Den eller de som utses att hantera rapporter om missförhållanden, följa upp rapporterna och återkoppla kan antingen vara anställda i företaget eller vara en extern part, t.ex. en advokatbyrå, som anlitas för uppdraget. Om man väljer att anlita en extern part är det dock fortfarande verksamhetsutövaren som ansvarar för att förfarandet sker i enlighet med lagens krav.

Den/de som hanterar rapporterna ska vara ”oberoende och självständiga”. Med detta avses att personen har mandat att agera utan bolagets godkännande, exempelvis genom att inleda/avsluta utredningar samt att formulera slutsatser. I denna del finns likheter med uppdraget som dataskyddsombud. Intressekonflikter bör undvikas. Om en behörig person är jävig i ett konkret ärende, till exempel genom att utpekas som ansvarig för ett missförhållande, behöver verksamhetsutövaren ha rutiner som säkerställer att den personen inte hanterar den aktuella rapporten.

I större företag är det vanligt att denna funktion ligger på företagets complianceavdelning eller internrevisor.

Om den interna rapporteringskanalen inte uppfyller lagens krav eller om verksamhetsutövaren inte vidtagit skäliga åtgärder så är den rapporterande personen skyddad enligt lagen även om hon eller han väljer att rapportera externt, utan att använda en extern rapporteringskanal. Det ligger därför i verksamhetsutövarens intresse att rapporteringskanalen uppfyller lagens krav och att skäliga åtgärder vidtas.


Hur hanteras rapporteringen praktiskt?

Bild nedan avser att åskådliggöra tågordningen i en intern visselblåsarfunktion/intern rapporteringskanal. Bilden är hämtad från förarbetena till den nya visselblåsarlagen (SOU 2020:38).

Definitioner

Rapport eller rapporteringMuntligt eller skriftligt lämnande av information om missförhållanden genom intern rapportering, extern rapportering eller offentliggörande.
Rapporterande personDen som i ett arbetsrelaterat sammanhang har fått del av eller inhämtat information om missförhållanden och rapporterar den och som tillhör någon eller några av de i lagen skyddade personkategorierna.
UppföljningsärendeEtt ärende som består i att:
a) via en intern rapporteringskanal ta emot en rapport och ha kontakt med den rapporterande personen;
b) vidta åtgärder för att bedöma riktigheten i de påståenden som framställs i rapporten;
c) överlämna uppgifter om de utredda påståendena för fortsatta åtgärder; och
d) lämna återkoppling om uppföljningen till den rapporterande personen.

Förklarande text till bild ovan

  1. En rapport kommer in till visselblåsarfunktionen (d.v.s. den interna rapporteringskanalen i företaget) och ett ärende läggs upp. Rapporten kan komma in muntligen, skriftligen eller vid ett fysiskt möte. I samband med mottagandet dokumenteras rapporten (handlingar bevaras, muntlig rapportering kan spelas in eller nedtecknas).
  2. Mottagandet av rapporten bekräftas. Detta ska ske inom 7 dagar. Bekräftelse av mottagande behöver inte ske om den rapporterande personen har avsagt sig bekräftelse eller mottagaren har anledning att anta att en bekräftelse skulle avslöja personens identitet.
  3. Påståendena som den rapporterande personen framför i sin rapportering utreds i syfte att bedöma dess riktighet. Den rapporterande personen ska, i förekommande fall, få information om att en uppgift som kan identifiera den rapporterande personen kommer att lämnas ut, om inte informationen gör att syftet med uppföljningen eller åtgärderna hindras eller försvåras. Detta innebär t.ex. att information inte ska ges om det finns en påtaglig risk för att bevis förstörs eller att en utredning otillbörligt påverkas.
  4. Utredningen kan leda till olika slutsatser. Den rapporterade informationen kan avslöja ett missförhållande, t.ex. att någon anställd har brutit mot de regler som gäller för verksamheten eller att det finns brister i verksamheten. Slutsatsen kan också bli att informationen grundar sig på ett missförstånd eller att informationen är medvetet falsk. Det kan också vara så att informationen är för knapphändig för att den ska kunna ligga till grund för några åtgärder.
  5. Ärendet i visselblåsarfunktionen avslutas:
    A. genom att uppgifter lämnas över till en eller flera andra funktioner inom verksamheten. Så är typiskt fallet om det visat sig finnas fog för påståendena i rapporterna och att påståendena avslöjar ett missförhållande. Uppgifter kan också behöva lämnas över till andra funktioner i verksamheten om den rapporterande personen medvetet har fört fram falska uppgifter.
    B. utan åtgärd. Så är typiskt fallet om påståendena visat sig bygga på ett missförstånd eller om påståendena visserligen är riktiga men att det inte är fråga om ett missförhållande.
  1. Den rapporterande personen får återkoppling om den utförda utredningen och de slutsatser som dragits av utredningen, dvs. hur företaget/arbetsgivaren avser att gå vidare med den information som rapporterats och utretts. Den rapporterande personen ska, i skälig utsträckning, få återkoppling om åtgärder som har vidtagits vid uppföljning av rapporten och om skälen för dessa inom 3 månader från bekräftelsen. Begreppet ”i skälig utsträckning” knyter an till den rapporterande personens möjligheten att omfattas av lagens skydd vid rapportering till myndighet på annat sätt än via externa rapporteringskanaler. Om någon bekräftelse inte har lämnats och det inte har berott på den rapporterande personen ska återkoppling ske inom 7 dagar från mottagandet. Om det inte har bestämts vilken uppföljning som ska ske bör den rapporterande personen underrättas om detta och om vilken eventuell vidare återkoppling som kan förväntas.
  2. Åtgärder med anledning av ett ärende i visselblåsarfunktionen kan komma att vidtas av någon annan funktion inom verksamheten. Det kan handla om att arbetsrättsliga åtgärder vidtas av personalfunktionen mot den som har orsakat missförhållandet eller att åtgärder vidtas inom den del av verksamheten där missförhållandet föreligger i syfte att avhjälpa missförhållandet.

Är vi som arbetsgivare skyldig att lämna någon särskild information om vår visselblåsarfunktion/interna rapporteringskanal?

En verksamhetsutövare är enligt den nya visselblåsarlagen skyldig att dokumentera sin visselblåsarfunktion/interna rapporteringskanal.

Detta innebär:
– en skriftlig beskrivning av vilken/vilka interna rapporteringskanal/-er som finns,
– hur rapportering tas emot,
– hur bekräftelse på mottagande lämnas,
– hur rapporterna dokumenteras,
– hur utredningen går till, samt
– hur återkopplingen sker.

En verksamhetsutövare ska lämna tydlig och lättillgänglig information till alla som har möjlighet att rapportera via den interna visselblåsarfunktionen om hur rapportering ska göras via de interna rapporteringskanalerna samt hur rapportering kan göras till behöriga myndigheter via de externa rapporteringskanaler som finns och, i tillämpliga fall, även till EU:s institutioner. Information ska även lämnas om de grundlagsskyddade rättigheterna som blir tillämpliga i förekommande fall, t.ex. meddelarfrihet och anskaffarfrihet. Informationen behöver som ett minimum innehålla kontaktuppgifter till aktuella behöriga myndigheternas rapporteringskanaler (dvs. externa rapporteringskanaler) och en beskrivning av vad det innebär att rapportera externt.

Verksamhetsutövarens skyldighet att informera hänger samman med förbudet mot att hindra någon från att rapportera.

Exempel: Företaget AB har korrekt inrättade rapporteringskanaler. En anställd vänder sig till sin närmaste chef för att berätta om ett missförhållande i företaget. Chefen har då en skyldighet att informera den anställde om möjligheten att använda sig av den interna rapporteringskanalen och bör även informera om att vissa behöriga myndigheter har externa rapporteringskanaler. Om denna information inte lämnas riskerar arbetsgivaren att bryta mot förbudet mot att hindra den anställde från att rapportera.

Är vi som arbetsgivare skyldiga att dokumentera själva rapporteringen av ett missförhållande på något särskilt sätt?

Avseende själva rapporteringen finns en skyldighet att dokumentera en muntlig rapportering genom att upprätta ett protokoll eller – om den rapporterande personen samtycker – genom en inspelning.

Den rapporterande personen ska ges tillfälle att kontrollera, rätta och genom underskrift godkänna dokumentationen. Skriftliga rapporter och dokumentation av muntlig rapportering ska sparas så länge som det är nödvändigt, men inte längre än två år efter att ett uppföljningsärende har avslutats. Läs mer om detta under ”Hur förhåller sig den nya visselblåsarlagen till GDPR och behandling av personuppgifter?”. Rapportering som inte kan antas komma till användning i framtiden bör kunna rensas/gallras redan när detta står klart och ärendet avslutats.

Vad gäller för en arbetsgivare med färre än 50 anställda? Omfattas inte vår verksamhet av den nya visselblåsarlagen alls?

Jo. Den nya visselblåsarlagen gäller samtliga arbetsgivare i privat och offentlig sektor. I privat sektor avses med verksamhetsutövare varje fysisk eller juridisk person som driver arbetsrelaterad verksamhet. En fysisk person som driver verksamhet kan t.ex. vara en enskild näringsidkare. Samtliga juridiska personer i privat sektor omfattas, t.ex. aktiebolag, handelsbolag, kommanditbolag och ekonomiska föreningar. Den nya visselblåsarlagen gäller alltså vid rapportering i ett arbetsrelaterat sammanhang, dvs. rapportering av personer som i sitt nuvarande eller tidigare arbete fått information om missförhållanden.

Däremot omfattas inte företag med färre än 50 anställda av kraven i visselblåsarlagen på att inrätta interna rapporteringskanaler, dvs. interna visselblåsarsystem. Anställda i dessa företag kan således fortfarande larma om missförhållanden och vara skyddade om övriga förutsättningar för skydd enligt lagen är uppfyllda, se vidare under avsnittet “I vilka situationer är den rapporterande personen skyddad?”. Detsamma gäller anställda i företag som är skyldiga att ha interna rapporteringskanaler, men som ännu inte inrättat sådana eller har kanaler som inte uppfyller lagens krav.

Kan vi dela intern rapporteringskanal i koncernen? Vi är flera bolag i samma koncern som skulle vilja ha en gemensam intern visselblåsarfunktion.

För privata företag med 50–249 arbetstagare är det tillåtet att dela på funktioner för mottagande av rapporter och utredning av rapporter. All kontakt med den rapporterande personen ska skötas av verksamhetsutövaren (dvs. det enskilda koncernbolaget), exempelvis att ha kontakt under utredningen och att lämna återkoppling om uppföljningen av ärendet. Att ha kontakt med den rapporterande personen är alltså inte en funktion som får delas.

För privata verksamhetsutövare med fler än 249 anställda är det inte tillåtet att dela interna rapporteringskanaler. Varje koncernbolag behöver ha sin egen interna rapporteringskanal.

För alla verksamhetsutövare som är skyldiga att ha en rapporteringskanal är det möjligt att anlita en utomstående part för att hantera hela eller delar av visselblåsarfunktionen. Det är dock alltid verksamhetsutövaren som har ansvaret för att funktionen utformas och hanteras på ett sätt som uppfyller lagens krav.

Kan en rapporterande person vara anonym vid rapporteringen av ett missförhållande? Om ja, hur ska vi då kunna fullgöra vår skyldighet att återkoppla till den rapporterande personen?

I den nya visselblåsarlagen finns det inga regler som anger att verksamhetsutövare eller myndigheter är tvungna att inrätta kanaler för att möjliggöra anonym rapportering. Det finns inte heller några regler om hur anonyma rapporteringar ska följas upp eller åtgärdas eller något krav på återkoppling. Om en anonym person uppfyller förutsättningarna för skydd så omfattas hon eller han av skyddet på samma sätt som andra rapporterande personer.