Finansiella företag med 250 eller fler anställda (stora företag)
1 Intern rapporteringskanal
En egen intern rapporteringskanal måste upprättas för varje enskilt företag med 250 anställda eller fler. Företagen kan välja att anlita en extern leverantör för hanteringen av rapporteringskanalen. De interna rapporteringskanalerna ska utformas så att den rapporterande personen kan rapportera både muntligt och skriftligt. Det som ska kunna anmälas är information om överträdelser av EU-rätten och svensk lagstiftning samt övrig information om ett allmänintresse finns.
2 Dokumenterade processbeskrivningar
Företagen behöver skriftligen dokumentera sina interna rapporteringskanaler och rutiner för rapportering och uppföljning. Dessa ska uppdateras årligen.
3 Information och utbildning
Företagen ska även uppge information om hur intern rapportering kan göras för sina anställda, lämpligen på sin webbplats och genomföra utbildningsinsatser för utsedda behöriga personer.
4 Att utse behörig person/funktion
Företagen ska utse de personer eller enheter som är behöriga att på företagets vägnar
- ta emot rapporter och ha kontakt med rapporterande personer,
- följa upp det som rapporteras, samt
- lämna återkoppling om uppföljningen till den rapporterande personen.
De som utses som behöriga får antingen vara anställda hos företaget eller hos en extern part som har anlitats för att hantera de interna rapporteringskanalerna och förfarandena för företagets räkning. De personer eller enheter som utses som behöriga ska vara oberoende och självständiga. Det betyder att de behöver ha en befattning som säkerställer att intressekonflikter inte förekommer. För att hantera rapporterna ska företagen säkerställa att personen har tillräcklig kompetens och mandat för att exempelvis inleda en utredning. Även detta förutsätter att personen är självständig och oberoende.
4.1 Process för hantering av intressekonflikt
Vid jävssituation behöver företagen ha rutiner för att utse någon annan eller ha flera behöriga personer på företaget som istället kan hantera ärendet. För att undvika jävssituationer helt kan det vara fördelaktigt att använda sig av en extern part för att säkerställa ett oberoende och självständighet för funktionen.
4.2 Jämförelse med utnämnandet av dataskyddsombud enligt GDPR
Att utnämna en behörig person/funktion enligt visselblåsarlagen har likheter med att utse ett dataskyddsombud i frågan avseende oberoende enligt dataskyddsförordningen.
Den som utses som ansvarig person ska ha en ställning inom verksamheten som innebär ett visst mått av självständighet och oberoende vid uppdragets utförande på samma sätt som ett dataskyddsombud.
5 Bekräfta mottagandet av rapporter
Ytterligare ett krav avser att bekräfta mottagandet av rapporter. Den rapporterande personen ska få en bekräftelse på mottagande av rapporten inom sju dagar. Förslaget innebär också att personen som har rapporterat ska få återkoppling i skälig utsträckning om åtgärder som använts vid uppföljning och om skälen för detta.
6 Skydd mot repressalier
Utredningen föreslår att en rapporterande person inte ska kunna göras ansvarig för anskaffande av information. Exempel på detta är ansvar som följer av att den rapporterande personen har brutit mot restriktioner som ett företag har infört avseende tillgång till lokaler eller IT-system. Den rapporterande personen ska även ha rätt till skadestånd från den som utsätter personen på grund av rapporteringen eller försöker hindra/ har hindrat rapportering. Det kan även bli straffbart enligt brottsbalken när någon avslöjar en rapporterande persons identitet på grund av brott mot tystnadsplikten. Ytterligare en konsekvens som kan utdelas är ett föreläggande förenat med vite för att säkerställa att de interna rapporteringskanalerna och förfarandena är på plats.
Repressalier kan vara olika former av bestraffningar som uppsägning, omplacering, utfrysning på arbetsplatsen eller utebliven löneökning.
Den nya lagen ställer även krav på att en bredare personkrets ska tas med i skyddet. Personerna som kommer att omfattas är bland annat aktieägare, konsulter och personer som ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan. Det betyder att en större krets ska kunna rapportera och omfattas av skydd mot repressalier än vad som gäller idag.