Whistleblower Policy Sweden
Lag (2021:890) om skydd för personer som rapporterar om missförhållanden; EU 2019/1937
VISSELBLÅSARPOLICY
Policy för rapportering av missförhållanden i enlighet med lag (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen) och EU-direktiv 2019/1937 om skydd för personer som rapporterar om överträdelser av unionsrätten.
Organisation: [Org Namn] ([Org Orgnr])
Fastställd av: [Godkand Av]
Datum: [Policyns Datum]
1. Syfte och tillämpning
§ 1 — SYFTE OCH TILLÄMPNING
1.1 Syftet med denna visselblåsarpolicy är att inrätta en intern rapporteringskanal för [Org Namn] i enlighet med lag (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen). Lagen implementerar EU-direktiv 2019/1937.
1.2 Policyn gäller alla arbetstagare anställda av [Org Namn], konsulter och uppdragstagare, praktikanter, styrelseledamöter och aktieägare med insyn i organisationens verksamhet, fd anställda under den period de erhöll information om missförhållanden, samt leverantörer och affärspartners som arbetar med [Org Namn].
1.3 [Org Namn] har [Org Storlek] och är skyldig att ha en intern rapporteringskanal i enlighet med visselblåsarlagens krav.
2. Vad kan rapporteras
§ 2 — VAD KAN RAPPORTERAS
2.1 Följande missförhållanden kan rapporteras via den interna rapporteringskanalen i enlighet med visselblåsarlagen § 2:
a) Överträdelser av EU-rättsliga regler inom följande områden: offentlig upphandling, finansiella tjänster, produktsäkerhet, transportsäkerhet, miljöskydd, strålskydd och kärnsäkerhet, livsmedels- och fodersäkerhet, djurhälsa, folkhälsa, konsumentskydd, integritetsskydd och dataskydd (GDPR), nätverks- och informationssäkerhet;
b) Brott mot penningtvättsregler och terroristfinansieringsregler;
c) Allvarliga missförhållanden i [Org Namn]s verksamhet av annat slag, inklusive men inte begränsat till korruption, ekonomiska oegentligheter och allvarliga brott mot lagar och förordningar.
2.2 Tilläggsområden som [Org Namn] valt att inkludera: [Tillaggsomraden].
2.3 Policyn skyddar rapportören oavsett om rapporten visar sig vara grundlös, förutsatt att rapportören hade skälig anledning att tro att informationen om missförhållandet var sann vid rapporteringstillfället.
3. Rapporteringskanal
§ 3 — INTERN RAPPORTERINGSKANAL
3.1 Ansvarig för mottagning och handläggning av rapporter: [Rapport Ansvarig].
3.2 Rapporteringskanalen: [Rapport Kanal].
3.3 Rapporteringskanalen är tillgänglig dygnet runt och möjliggör konfidentiell rapportering. Anonym rapportering är tillåten. Vid anonym rapportering kan uppföljningen begränsas om ytterligare information behövs för utredning.
3.4 Ansvarig person har sekretessplikt avseende identiteten på rapportören och tredje parter som nämns i rapporten. Identiteten på rapportören får inte avslöjas utan rapportörens uttryckliga samtycke, med undantag för om avslöjande krävs av myndighet i samband med brottsutredning.
4. Handläggning av rapporter
§ 4 — HANDLÄGGNING AV RAPPORTER
4.1 Mottagningsbekräftelse ska skickas till rapportören inom sju dagar från mottagandet enligt visselblåsarlagen § 12.
4.2 Opartisk handläggning och skäliga åtgärder för att utreda rapporten ska genomföras. Återkoppling om resultatet av utredningen ska ges till rapportören inom tre månader från mottagningsbekräftelsen, i enlighet med visselblåsarlagen § 13.
4.3 Handläggaren ska vid handläggning av rapporten vidta lämpliga uppföljningsåtgärder: utredning, bedömning, rättelse av eventuella missförhållanden, anmälan till berörd myndighet om brott misstänks.
4.4 Personuppgifter som inhämtas vid handläggningen behandlas i enlighet med dataskyddsförordningen (GDPR, EU 2016/679) och personuppgiftslagen. Uppgifter bevaras inte längre än nödvändigt för handläggningens syfte.
5. Skydd för rapportören
§ 5 — SKYDD FÖR RAPPORTÖREN MOT REPRESSALIER
5.1 Repressalier mot en person som rapporterat om missförhållanden i enlighet med denna policy är förbjudna. Förbudet mot repressalier gäller alla former av bestraffning, negativ behandling och ofördelaktiga åtgärder: uppsägning, degradering, lönesänkning, ändring av arbetsuppgifter, mobbning, trakasserier, avslöjande av identitet, sämre omdöme eller betyg, uteslutning från utbildning eller befordran.
5.2 Den som utsätter en rapportör för repressalier kan drabbas av skadeståndsskyldighet gentemot rapportören enligt visselblåsarlagen §§ 15-17 och kan även drabbas av disciplinära åtgärder inom [Org Namn].
5.3 Bevisbördan vid repressalietvist är omvänd: om rapportören hävdar att en åtgärd är en repressalie är det [Org Namn]s ansvar att visa att åtgärden inte hade samband med rapporten.
5.4 Skyddet gäller inte om rapporten lämnades i ond tro och avsiktligt innehöll falsk information; sådana fall kan medföra skadeståndsansvar för rapportören.
6. Extern rapportering
§ 6 — EXTERN RAPPORTERING TILL BEHÖRIGA MYNDIGHETER
6.1 Rapportören har alltid rätt att vända sig direkt till en behörig myndighet med sin rapport, utan att först använda den interna kanalen. Behöriga myndigheter inkluderar bland andra Finansinspektionen, Konkurrensverket, Datainspektionen (IMY), Livsmedelsverket, Transportstyrelsen, Länsstyrelserna, Kronofogdemyndigheten och Polismyndigheten.
6.2 Vid allvarliga brott mot EU-rätten kan rapportören även vända sig till EU:s relevanta institutioner och organ.
6.3 Skyddet enligt visselblåsarlagen gäller även vid extern rapportering, förutsatt att rapportören hade skälig anledning att tro att informationen var sann.
Fastställande
FASTSTÄLLANDE
Denna policy är fastställd den [Policyns Datum] av [Godkand Av] för [Org Namn].
Policyn gäller tillsvidare och ska ses över minst en gång per år och vid väsentliga förändringar i lagen eller i organisationens verksamhet.
______________________________
[Godkand Av]
[Org Namn]
Godkänd av
________________
Signature
What Is a Whistleblower Policy Sweden?
A Whistleblower Policy (Visselblåsarpolicy) in Sweden is a mandatory compliance document for employers with 50 or more employees, required under the Act on Protection for Persons Reporting Misconduct (lag 2021:890 om skydd för personer som rapporterar om missförhållanden), which implements EU Directive 2019/1937. The policy establishes an internal reporting channel, defines what can be reported, and guarantees protection against retaliation for good-faith whistleblowers. Swedish law imposes strict deadlines: acknowledgment within seven days and feedback within three months.
When Do You Need a Whistleblower Policy Sweden?
Visselblåsarpolicy Sverige behövs och tillämpas i följande situationer.
Obligation för alla arbetsgivare med 50+ anställda. Lagen (2021:890) kräver att alla privaträttsliga arbetsgivare med 50 eller fler anställda och alla offentliga arbetsgivare oavsett storlek ska ha en intern rapporteringskanal och en dokumenterad policy. Policyn ska kommuniceras tydligt till alla som lyder under den. Avsaknad av policy och rapporteringskanal utgör ett brott mot lagen och kan medföra skadeståndsansvar gentemot rapportörer som lider skada. Branschexempel: alla svenska aktiebolag med 50+ anställda, kommuner, regioner, statliga myndigheter, ideella organisationer med anställda.
Börsnoterade bolag och regulatoriska krav. Bolag noterade på Nasdaq Stockholm, Nasdaq First North och övriga svenska handelsplatser är underkastade Finansinspektionens tillsyn och Nasdaq Stockholms regelbok som kräver adekvata compliance-program inklusive visselblåsarsystem. Marknadsmanipulationsförordningen (MAR, EU 596/2014) art. 32 kräver att behöriga myndigheter inrättar effektiva mekanismer för rapportering av överträdelser. Branschexempel: Nasdaq Stockholm Large Cap-bolag som H&M, Atlas Copco, Volvo, Ericsson, Nordea, SEB.
Finansiell sektor och reglerade branscher. Banker, försäkringsbolag, fondbolag och övriga finansiella aktörer reglerade av Finansinspektionen är underlagda specifika krav på visselblåsarsystem enligt lag (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag och EU-förordningar om finansiell tillsyn. Lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism kräver rapporteringsmekanismer för misstänkta transaktioner. Branschexempel: Handelsbanken, Swedbank, Skandia, Trygg-Hansa, AMF, Alecta, Swedbank Robur.
Offentlig upphandling. Leverantörer och utförare i offentlig upphandling är skyldiga att ha adekvata antikorruptionsmekanismer och visselblåsarsystem om de levererar tjänster till offentliga kunder. Upphandlingsmyndigheten rekommenderar att upphandlande myndigheter ställer krav på visselblåsarsystem i leverantörskrav. Branschexempel: IT-konsulter, byggentreprenörer, städbolag, vård- och omsorgsföretag som levererar till kommuner och regioner.
Multinationella bolag med svensk verksamhet. Utländska moderbolag (t.ex. amerikanska, brittiska, tyska, franska moderbolag) med svenska dotterbolag måste säkerställa att den svenska verksamheten uppfyller visselblåsarlagens krav parallellt med moderbolagets hemlandskrav. EU-direktiv 2019/1937 har implementerats i samtliga EU-länder med likartade krav. Det är möjligt att ha ett gemensamt koncerngemensamt visselblåsarsystem som uppfyller kraven i samtliga länder, men nationella nyanser (exempelvis anonym rapportering) kräver uppmärksamhet. Branschexempel: Googles, Amazons, Microsofts och Metas svenska kontor.
Startups och snabbväxande bolag. Startups som växer och passerar 50-anställdas-gränsen måste snabbt etablera en visselblåsarpolicy och -kanal. Riskkapitalinvesterare (VC-fonder) kräver regelmässigt under due diligence att portföljbolag har adekvata compliance-program inklusive visselblåsarsystem. Avsaknad av visselblåsarsystem är en röd flagga vid investeringsprocesser. Branschexempel: tech-startups i Sthlm Tech Scene, medtech-bolag, cleantech-bolag som passerat 50 anställda.
What to Include in Your Whistleblower Policy Sweden
Visselblåsarpolicy Sverige ska innehålla följande obligatoriska och rekommenderade komponenter.
Organisationens identitet och policyns räckvidd. Fullständigt organisationsnamn och organisationsnummer. Policyns personkrets: anställda, konsulter, praktikanter, styrelseledamöter, leverantörer, fd anställda. Tydligt datum för fastställande och planerad revidering. Organisationens storlek (antal anställda) i relation till de lagreglerade kraven.
Rapporteringskanal och tillgänglighet. En tydlig och tillgänglig intern rapporteringskanal som möjliggör konfidentiell rapportering. Kanalen kan vara ett krypterat webformulär, en konfidentiell telefonlinje, e-post till dedikerad adress eller möjlighet till personligt möte. Anonym rapportering ska tillåtas (visselblåsarlagen kräver det inte men det är bästa praxis). Kanalen ska vara tillgänglig dygnet runt och rapportören ska kunna följa statusen på sin rapport. Ansvarig person eller funktion ska ha kompetens och befogenhet att agera. Extern rapporteringstjänst via advokatbyrå eller specialistbolag (exempelvis Whistleblower Software, EQS, Navex, KPMG:s lösningar) är ett effektivt alternativ för att säkerställa oberoende.
Vad som kan rapporteras. Specificera de EU-rättsliga sektorer och allvarliga missförhållanden som skyddas av lagen. Arbetsgivaren kan frivilligt utvidga skyddsomfånget till bolagets egna etikpolicyer, uppförandekoder och interna regler. Tydlig kommunikation om vad som är skyddat att rapportera minskar onödiga rapporter och ökar systemets legitimitet. Besök forms-legal.com för kompletterande HR-mallar inklusive integritetspolicy och personalhandbok.
Handläggningsprocess och tidsfrister. Mottagningsbekräftelse inom sju dagar (lagkrav). Opartisk utredning och skäliga åtgärder. Återkoppling om resultat inom tre månader från mottagningsbekräftelsen (lagkrav). Dokumentation av handläggningen i enlighet med GDPR. Eskalering till myndighet vid misstanke om brott.
Skydd mot repressalier och bevisbörda. Explicit förbud mot repressalier i alla former. Omvänd bevisbörda. Disciplinära åtgärder mot den som utsätter rapportör för repressalier. Möjlighet till skadestånd vid repressalier.
Extern rapportering. Bekräftelse att rapportören alltid kan vända sig direkt till behörig myndighet utan att använda den interna kanalen. Lista relevanta myndigheter (Finansinspektionen, Datainspektionen, Konkurrensverket, Polismyndigheten, Länsstyrelserna). Skyddet gäller även vid extern rapportering.
Personuppgiftshantering. Uppgifter som inhämtas behandlas i enlighet med GDPR (EU 2016/679). Sekretessplikt avseende rapportörens identitet. Bevarandetid för handläggningsdokumentation. Rätten att radera uppgifter som visar sig vara irrelevanta.
How to Fill Out Your Whistleblower Policy Sweden
Visselblåsarpolicy Sverige upprättas av bolagets compliance-officer, HR-direktör eller legal counsel. Följ dessa steg.
Steg 1 - Identifiera organisationen och verifiera skyldighetens omfång. Ange organisationens fullständiga namn och organisationsnummer. Kontrollera antal anställda och bekräfta om organisationen är skyldig att ha intern rapporteringskanal (privaträttsliga 50+ anställda, all offentlig sektor). Kontrollera om eventuella branschspecifika krav gäller (finanssektor, reglerade branscher).
Steg 2 - Utse ansvarig för rapporteringskanalen. Välj ansvarig person eller funktion med hög kompetens och befogenhet att agera. Alternativ: intern compliance-officer eller HR-direktör; extern juridisk rådgivare via advokatbyrå med sekretesskyldighet; extern specialisttjänst (Whistleblower Software, EQS, Navex, Grant Thornton, PWC:s lösningar). Den ansvariga ska vara fri från intressekonflikter och ha möjlighet att eskalera till ledning och myndigheter.
Steg 3 - Etablera rapporteringskanalen. Välj en kanal som möjliggör konfidentiell och anonym rapportering. Digitala plattformar med kryptering är att föredra framför enkla e-postadresser. Testa kanalen före lansering. Dokumentera kanalens tekniska och organisatoriska säkerhetsåtgärder i enlighet med GDPR art. 32.
Steg 4 - Definiera vad som kan rapporteras. Beskriv de EU-rättsliga sektorer och allvarliga missförhållanden som täcks. Besluta om tillägg av frivilliga skyddsområden (bolagets uppförandekod, anti-mobbning, antikorruption). Kommunikationen om skyddsomfånget ska vara tydlig och tillgänglig på alla relevanta språk (exempelvis svenska och engelska för internationella bolag).
Steg 5 - Ange handläggningsprocess och tidsfrister. Specificera processen för mottagning, bekräftelse (inom sju dagar), utredning och återkoppling (inom tre månader). Dokumentera processen internt som del av compliance-programmet. Säkerställ att handläggarna har utbildning i processen och i GDPR-kraven.
Steg 6 - Kommunicera policyn och utbilda personalen. Policyn ska kommuniceras till alla som lyder under den: anställda, konsulter, styrelseledamöter, leverantörer. Kommunikation kan ske via introduktionsutbildning, intranet, personalmöten och regelbundna påminnelser. Spara dokumentation på att kommunikation skett. Utbilda chefer och HR i förbud mot repressalier och i hur de ska hantera eventuella rapporter.
Steg 7 - Fastställ policyn formellt. Policyn ska godkännas av VD, styrelsen eller annat behörigt organ. Ange datum för fastställandet. Planera regelbunden revidering (minst en gång per år).
Steg 8 - Integrera med övrigt compliance-arbete. Visselblåsarpolicyn ska integreras med integritetspolicyn (GDPR), uppförandekoden, anti-korruptionspolicyn och personalhandboken. Korshänvisningar underlättar förståelse och tillämpning. Kontrollera att policyn är konsistent med bolagets övriga styrdokument.
Legal Requirements for Whistleblower Policy Sweden
Visselblåsarpolicy Sverige regleras av svensk lagstiftning och EU-rätt.
Lag (2021:890) om skydd för personer som rapporterar om missförhållanden. § 1 fastslår lagens syfte: skydda visselblåsare mot repressalier. § 2 definierar skyddsomfånget: EU-rättsliga sektorer och allvarliga missförhållanden av allmänt intresse. §§ 4-7 definierar vem som skyddas. §§ 8-14 reglerar krav på intern rapporteringskanal, handläggning och tidsfrister. §§ 15-17 fastslår det civilrättsliga skyddet mot repressalier och skadeståndsansvaret. § 18 reglerar bevisbörda: arbetsgivaren ska bevisa att åtgärden inte var en repressalie. §§ 19-21 reglerar externa rapporteringskanaler via behöriga myndigheter. § 22 fastslår att avtal som inskränker lagens rättigheter är ogiltiga (lagen är tvingande till rapportörens förmån).
EU-direktiv 2019/1937 (Visselblåsardirektivet). Direktivet implementerades i alla EU:s 27 medlemsländer. Direktivet ger en gemensam miniminivå för visselblåsarskydd som nationell lagstiftning kan överstiga men inte underskrida. Direktivets art. 8 kräver inrättandet av interna rapporteringskanaler. Art. 9 specificerar kraven på kanalens utformning. Art. 23 reglerar sanktioner mot organisationer som bryter mot direktivets krav.
Dataskyddsförordningen (GDPR, EU 2016/679). Personuppgifter som behandlas vid handläggning av rapporter ska behandlas i enlighet med GDPR art. 5 (behandlingsprinciper) och art. 6 (rättslig grund: berättigat intresse eller rättslig förpliktelse). Art. 25 (dataskydd by design) kräver att rapporteringskanalen tekniskt och organisatoriskt skyddar rapportörens konfidentialitet. Art. 33 kräver incidentrapportering till Datainspektionen (IMY) vid intrång i rapportörens data. Tillsyn utövas av IMY.
Lagen om bank- och finansieringsrörelse, Finansinspektionens regler och branschspecifik lagstiftning. Finansiella företag reglerade av Finansinspektionen är underlagda specifika krav på visselblåsarsystem utöver den allmänna visselblåsarlagen. Lag (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag art. 71 kräver effektiva mekanismer för anställda att rapportera interna regelbrott. Lag (2017:630) om åtgärder mot penningtvätt kräver rapporteringsmekanismer för misstänkta transaktioner.
Arbetstidslagen och LAS — samspel med visselblåsarskyddet. Visselblåsarlagen kompletterar och interagerar med lagen om anställningsskydd (LAS, 1982:80). En uppsägning på grund av att arbetstagaren rapporterat missförhållanden kan anses sakna saklig grund enligt LAS § 7 och utgöra förbjuden repressalie enligt visselblåsarlagen § 15. Dubbelt skydd ger starkare anspråk för rapportören; arbetsgivaren kan bli skadeståndsskyldig på två separata rättsliga grunder.
Common Mistakes to Avoid in Your Whistleblower Policy Sweden
Visselblåsarpolicy Sverige innehåller följande vanliga misstag som kan leda till lagbrott, skadeståndsansvar och reputationsskada.
Misstag 1 - Policyn saknas trots lagens krav. Det vanligaste misstaget i medelstora svenska bolag (50-249 anställda) är att fristen 17 december 2023 passerat utan att en policy och rapporteringskanal inrättats. Avsaknad av policy är ett brott mot lagen (2021:890) och medför sanktionsrisk och skadeståndsansvar gentemot rapportörer som lider skada av att kanalen saknas.
Misstag 2 - Rapporteringskanalen är inte konfidentiell. En rapporteringskanal som exponerar rapportörens identitet (exempelvis en gemensam e-postadress läst av flera) uppfyller inte lagens krav på konfidentialitet. Kanalen måste tekniskt och organisatoriskt skydda rapportörens identitet. Välj plattformar med kryptering och strikt åtkomstkontroll.
Misstag 3 - Sju-dagarsregeln för bekräftelse och tresmandsregeln för återkoppling efterlevs inte. Visselblåsarlagen § 12 kräver mottagningsbekräftelse inom sju dagar och § 13 återkoppling inom tre månader. Bolag som saknar etablerade rutiner för att hålla dessa frister riskerar lagbrott. Implementera automatiska notifieringssystem och handläggningsrutiner.
Misstag 4 - Den ansvarige saknar kompetens och oberoende. En ansvarig person som befinner sig i en intressekonflikt (exempelvis VD:s assistent vid rapport om VD) kan inte handlägga rapporten opartiskt. Den ansvarige ska ha oberoende befogenheter och möjlighet att eskalera till styrelseordföranden, revisorn eller extern part vid behov.
Misstag 5 - Repressalieförbud kommuniceras inte till chefer. Chefer och teamledare som inte utbildats i visselblåsarlagen riskerar att omedvetet vidta åtgärder som tolkas som repressalier (exempelvis att ge en avkylande bedömning strax efter att en rapport kommit in). Regelbunden utbildning av alla chefer i repressalieförbud och i hur de ska hantera rapporter är kritisk.
Misstag 6 - Policyn täcker inte hela personkretsen. Lagen skyddar en bred krets: konsulter, praktikanter, styrelseledamöter, leverantörer, fd anställda. En policy som enbart riktar sig till fastanställda är otillräcklig. Kommunicera policyn till hela personkretsen och inkludera krav på visselblåsarsystem i leverantörsavtal.
Misstag 7 - Ingen GDPR-konsekvensanalys för rapporteringskanalen. Rapporteringskanalen behandlar känsliga personuppgifter om rapportörer och de personer som nämns i rapporterna. En GDPR-konsekvensanalys (Data Protection Impact Assessment, DPIA) per GDPR art. 35 ska genomföras vid inrättandet av rapporteringskanalen. Tillsyn utövas av IMY; böter för bristande GDPR-efterlevnad kan uppgå till 4 procent av global omsättning.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). Whistleblower Policy Sweden (Sweden) [Legal document template]. Forms Legal. https://forms-legal.com/sverige/employment/hr-forms/whistleblower-policy-sweden
"Whistleblower Policy Sweden (Sweden)." Forms Legal, 2026, https://forms-legal.com/sverige/employment/hr-forms/whistleblower-policy-sweden.
@misc{formslegal-whistleblower-policy-sweden,
author = {{Forms Legal}},
title = {Whistleblower Policy Sweden (Sweden)},
year = {2026},
howpublished = {\url{https://forms-legal.com/sverige/employment/hr-forms/whistleblower-policy-sweden}},
note = {Free legal document template}
}Also available for these jurisdictions:
Frequently Asked Questions
Nej, inte för alla företag. Lag (2021:890) om skydd för personer som rapporterar om missförhållanden (visselblåsarlagen) kräver intern rapporteringskanal och policy för privaträttsliga arbetsgivare med 50 eller fler anställda och för all offentlig sektor oavsett storlek. Privaträttsliga arbetsgivare med 250 eller fler anställda hade skyldigheten från 17 december 2022; arbetsgivare med 50-249 anställda fick ytterligare ett år och var skyldiga från 17 december 2023. Arbetsgivare med färre än 50 anställda är inte skyldiga att ha en intern rapporteringskanal, men lagen (2021:890) skyddet mot repressalier och rätten att rapportera till externa myndigheter gäller för alla arbetstagare oavsett arbetsgivarens storlek. Det är dock god praxis för alla arbetsgivare att ha en policy som informerar om visselblåsarskyddet.
Visselblåsarlagen (2021:890) skyddar rapporter om missförhållanden i de tolv EU-rättsliga sektorerna: offentlig upphandling, finansiella tjänster, produktsäkerhet, transportsäkerhet, miljöskydd, strålskydd och kärnsäkerhet, livsmedels- och fodersäkerhet, djurhälsa och djurskydd, folkhälsa, konsumentskydd, integritetsskydd och dataskydd (GDPR), nätverks- och informationssäkerhet. Utöver EU-rättsliga sektorer skyddar lagen rapporter om allvarliga missförhållanden av allmänt intresse i arbetsgivarens verksamhet, inklusive korruption, ekonomiska oegentligheter och grov brottslighet. Skyddet gäller för rapportörer i god tro: om rapportören hade skälig anledning att tro att informationen var sann vid rapporteringstillfället är de skyddade, även om rapporten visar sig vara grundlös. Skyddet gäller inte för uppenbart falska rapporter lämnade i ond tro.
Visselblåsarlagen kräver att den interna rapporteringskanalen ska möjliggöra konfidentiell rapportering, men lagen kräver inte uttryckligen att anonym rapportering ska tillåtas. Trots detta är anonym rapportering starkt rekommenderat som bästa praxis eftersom det sänker tröskeln för rapportörer att träda fram och ökar systemets trovärdighet och legitimitet. De flesta professionella visselblåsarplattformar (Whistleblower Software, EQS Integrity Line, NAVEX Global, SpeakUp) möjliggör anonym rapportering via krypterade kanaler. Om anonym rapportering tillåts ska policyn tydligt ange detta och informera om att möjligheten till uppföljning begränsas om ytterligare information behövs utan möjlighet att kontakta rapportören. Den ansvarige ska aldrig försöka identifiera en anonym rapportör.
Arbetsgivare som är skyldiga att ha en intern rapporteringskanal och policy men som inte upprättat detta riskerar: skadeståndsansvar gentemot en rapportör som lider skada av avsaknaden av kanalen (exempelvis om rapportören tvingas rapportera externt och därigenom utsätts för repressalier som hade kunnat undvikas med en fungerande intern kanal); Diskrimineringsombudsmannens (DO:s) utredning om policyn frånvaro har samband med diskrimineringsgrunder; administrativ sanktion om behörig tillsynsmyndighet (IMY för GDPR-aspekter, Arbetsmiljöverket för arbetsmiljöaspekter) konstaterar brister. Reputationsrisk om avsaknaden av visselblåsarsystem exponeras av media eller intresseorganisationer. Det är viktigt att notera att det inte finns en specifik sanktionsavgift för brott mot visselblåsarlagen, men skadeståndsansvaret och de indirekta rättsliga konsekvenserna är betydande.
Repressalier är alla former av negativ behandling som drabbar en rapportör på grund av att denne rapporterat missförhållanden. Visselblåsarlagen § 15 räknar upp förbjudna repressalier: uppsägning, degradering eller löneredundering, ändring av arbetsuppgifter eller arbetsplats, innehållna befordringar eller utbildningar, negativa omdömen eller betyg, disciplinåtgärder, trakasserier och mobbning, avslöjande av rapportörens identitet, utfrysning i sociala sammanhang. Skyddet mot repressalier är omvänt bevisläge: om rapportören hävdar att en åtgärd är en repressalie (exempelvis att en uppsägning kom tre månader efter en rapport om finansiella oegentligheter) är det arbetsgivarens bevisbörda att visa att åtgärden inte hade samband med rapporten. Arbetsgivare som vidtar repressalier kan bli skadeståndsskyldiga för ekonomisk skada (utebliven lön, förlorade befordransmöjligheter) och ideell skada (kränkning, psykiskt lidande) gentemot rapportören.
Ja. Visselblåsarlagen ger rapportören rätt att rapportera direkt till en behörig myndighet (extern kanal) utan att ha använt den interna kanalen, och skyddet mot repressalier gäller lika fullt vid extern rapportering. Rapportören kan välja att vända sig direkt till myndigheten om denne har skäl att tro att den interna kanalen inte är tillförlitlig eller oberoende, om rapporten rör bolagets högsta ledning och intern rapportering vore ineffektiv, om ett akut missförhållande kräver omedelbar myndighetsingripande, eller om rapporten rör missförhållanden som är av uppenbart allmänt intresse. Behöriga svenska myndigheter inkluderar: Finansinspektionen (finansiell sektor), Datainspektionen/IMY (dataskydd), Konkurrensverket (konkurrensrätt), Livsmedelsverket (livsmedel), Transportstyrelsen (transport), Polismyndigheten (brottsanmälan), Länsstyrelserna (miljöskydd), Skatteverket (skattebrott). Visselblåsaren kan också i sista hand offentliggöra informationen (exempelvis till media) och ändå vara skyddad om den externa rapporteringen inte lett till adekvata åtgärder.
Visselblåsarlagen och GDPR ger begränsad vägledning om den exakta bevarandetiden. God praxis är att bevara dokumentation så länge som nödvändigt för att fullgöra utredningens syfte och för att kunna försvara organisationens åtgärder vid en eventuell tvist. Faktorer som påverkar bevarandetiden: om ärendet ledde till disciplinåtgärder, rättsliga åtgärder eller myndighetskontakter kan dokumentationen behöva bevaras längre (exempelvis under pågående rättsprocess + eventuell överklagandefrist); om ärendet avslutades utan åtgärd kan dokumentationen gallras efter exempelvis två år. Personuppgifter som visar sig vara irrelevanta för utredningen ska raderas omedelbart enligt GDPR art. 5.1.e (lagringsminimering). Bolaget bör ha en skriftlig policy för bevarandetider i visselblåsarärenden som del av bolagets GDPR-dokumentation. Tillsyn utövas av IMY.
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Anställningsavtal Tillsvidare Sverige
Skriftligt anställningsavtal för tillsvidareanställning enligt lagen om anställningsskydd (1982:80) §§ 4, 6c och 7. Tillsvidareanställning är huvudregeln på svensk arbetsmarknad och kräver saklig grund för uppsägning.
Personalhandbok Sverige
Personalhandbok som samlad referens för anställningsvillkor, arbetstid, semester, sjuklön, uppförandekod, GDPR, förmåner och rehabilitering. Upprättas med stöd av LAS (1982:80), arbetstidslagen (1982:673), diskrimineringslagen (2008:567) och AFS 2001:1.
Integritetspolicy Sverige (GDPR-kompatibel)
Mall för Integritetspolicy enligt Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning samt lag (2003:389) om elektronisk kommunikation. Innefattar artikel 13 och 14 GDPR informationskrav, cookies enligt LEK, registrerades rättigheter samt eskaleringsväg till Integritetsskyddsmyndigheten (IMY).
Företagshemlighet avtal Sverige (FHL 2018:558)
Mall för avtal om skydd av företagshemligheter i Sverige enligt företagshemlighetslagen (2018:558), som implementerar EU-direktiv 2016/943. Täcker definition, sekretessförpliktelse, vitesklausul, skadeståndsrätt och interimistiskt förbud vid Patent- och marknadsdomstolen.