Vanliga frågor om visselblåsarlagen
Den nya visselblåsarlagen, enligt EU:s visselblåsardirektiv, innebär ett stärkt skydd för visselblåsare och högre krav på er som arbetsgivare. Den 17 december 2021 trädde lagen i kraft.
I juli 2022 var det deadline för när arbetsplatser med fler än 249 anställda skulle ha infört en visselblåsarfunktion. Mindre företag med minst 50 anställda har till den 17 december 2023 på sig. Vi har samlat våra användares vanligaste frågor på ämnet, besvarade av våra experter inom arbetsrätt och dataskydd.
Lagen innehåller bestämmelser om skydd mot repressalier och hindrande åtgärder samt ansvarsfrihet för personer som i ett arbetsrelaterat sammanhang har fått del av eller inhämtat information om missförhållanden och rapporterar den (så kallat visselblåsning). Skyddet gäller även för andra rapporterande personer, exempelvis personer som bistår den rapporterande personen och juridiska personer som den rapporterande personen äger, arbetar för eller på annat sätt har koppling till.
Vad innebär den nya lagen för visselblåsare?
En visselblåsare kan själv välja om hen vill rapportera internt eller externt. Skyddet mot hindrande åtgärder och repressalier gäller både om rapporteringen sker via interna eller externa rapporteringskanaler. En extern rapportering måste inte ha föregåtts av en intern rapportering.
En visselblåsare ska först ha rapporterat externt till en behörig myndighet utan att skäliga åtgärder vidtagits innan denne kan larma offentligt, till exempel via media.
Från den regeln finns dock undantag, till exempel om det finns en överhängande eller uppenbar fara för liv, hälsa, säkerhet eller risk för omfattande skada i miljön. Eller om det finns skälig anledning att anta att en extern rapportering skulle leda till en risk för repressalier eller till att missförhållandet sannolikt inte skulle avhjälpas på ett effektivt sätt.
För en fördjupad bild av den nya lagen och vilket skydd det innebär för den som visselblåser har vi tagit fram ett faktablad.
Vilken rättslig grund kan vi använda för behandling av personuppgifter i samband med visselblåsning?
För den behandling som är nödvändig för att en verksamhetsutövare ska kunna leva upp till sina skyldigheter enligt visselblåsarlagen kan rättslig förpliktelse, artikel 6.1 c i GDPR, vara en lämplig rättslig grund. Det gäller både för privata aktörer och myndigheter.
Visselblåsning kan kopplas till dataskyddsområdet på flera sätt, och därför är det bra för den som arbetar som till exempel dataskyddsombud att ha kunskap om visselblåsarlagen.
Vill du fördjupa dig i visselblåsning utifrån ett dataskyddsperspektiv? Ladda ner vårt faktablad.
Om vi anlitar ett externt företag som ska tillhandahålla en rapporteringskanal för visselblåsning åt oss, ska vi skriva biträdesavtal med dem?
Ja, det ska ni sannolikt göra. Det är inte så lätt att ge ett allmängiltigt, entydigt svar på frågor om fördelning av personuppgiftsansvar, och det är något som måste bedömas från fall till fall. Men när det gäller den nya visselblåsarlagen och vem som är personuppgiftsbiträde och personuppgiftsansvarig så har regeringen nämnt detta i förarbetena till lagen. Där verkar regeringen vara av uppfattningen att det handlar om en biträdessituation vid extern visselblåsarfunktion. Det har inte hunnit bildas någon praxis på området ännu, så vi får se var bedömningarna om detta i slutändan kommer landa, men troligtvis kommer många att teckna biträdesavtal utifrån detta.
Behöver du hjälp att sätta upp en visselblåsarfunktion i din organisation? Läs om Visselblås Incident och hur vi kan hjälpa dig med detta.
