Visselblåsarlagen

Begreppet visselblåsare är en svensk översättning av det engelska ordet ”whistleblower” och innebär att man avslöjar eller försöker stoppa olagliga handlingar genom att blåsa i visselpipan och uppmärksamma vad som pågår.

Det är viktigt att brott och missförhållanden kommer fram i ljuset. Lagstiftningen och skyddet av personer som slår larm om missförhållanden har därför förstärkts genom en ny visselblåsarlag. Den nya lagen trädde i kraft den 17 december 2021, Lag (2021:890) om skydd för personer som rapporterar om missförhållanden, och baseras på miniminivån i EU´s direktiv (2019/1937) om skydd vid visselblåsning.

Den tidigare visselblåsarlagen från 2017 har upphävts, men gäller dock fortfarande i fråga om repressalier som vidtagits före den nya lagens trädde i kraft.

Vad är nytt i den nya lagen?

Både den nya och gamla lagen skyddar visselblåsare mot repressalier. Den nya lagen är dock mer detaljerad och omfattande. Verksamheter ska bland annat skapa Visselblåsarfunktioner och uppmuntra till att anmäla missförhållanden. Det finns några tydliga övergripande förändringar i den nya lagstiftningen:  

1. Fler personer ska omfattas av skydd om de larmar, inte bara anställda och inhyrda. Lagen gäller också alla verksamheter – både privata och offentliga verksamheter
2. Krav på inrättande av både interna och externa rapporteringskanaler (”visselblåsarfunktion”)
3. Gäller arbetsrelaterade missförhållande av allmänintresse - inte bara allvarliga missförhållande, som det var tidigare

• Larmrapport visselblåsning 2025
  Ladda ner
• Larmrapport visselblåsning Engelsk 2025
  Ladda ner

Den rapporterande personen, visselblåsaren, har enligt lagen rätt till skydd i samband med att man larmat om missförhållanden. En visselblåsare:

• har rätt att larma ett missförhållande via internt och/eller externa kanaler
• har rätt till ansvarsfrihet, dvs. även om det innebär att personen bryter mot sekretessavtal och tystnadsplikt man har i sin yrkesutövning, utan att straffas för det
• får inte hindras att kunna larma
• ska inte utsättas för repressalier för att man larmar

En förutsättning för att omfattas av skyddet är att rapporteringen sker i enlighet med de rutiner som gäller i verksamheten eller till en extern myndighet.

Skydd i form av ansvarsfrihet

Det är ofta ett brott mot arbetstagarens tystnadsplikt om intern information om företagets affärer offentliggörs. Lagen möjliggör att en rapporterande person inte får straffas för att tystnadsplikten brutits genom sin anmälan, under förutsättning att personen har skäl att anta att rapporteringen av informationen är nödvändig för att avslöja ett missförhållande.

Undantag från skyddet om ansvarsfrihet
Ansvarsfriheten gäller inte:

• Vid uppsåtligt åsidosättande av sådan tystnadsplikt som enligt offentlighets- och sekretesslagen inskränker rätten att meddela och offentliggöra uppgifter enligt tryckfrihetsförordningen eller yttrandefrihetsgrundlagen
• Säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen.
• Information som rör nationell säkerhet i verksamhet hos en myndighet inom försvars- och säkerhetsområdet.

Ansvarsfriheten medför inte rätt att lämna ut handlingar. Den rapporterande personen får inte heller göra sig skyldig till brott vid inhämtande av information.

Skydd mot hindrande åtgärder och repressalier

En verksamhetsutövare får inte hindra eller försöka hindra rapportering, eller på grund av rapportering straffa eller vidta repressalier mot:

• en rapporterande person
• någon som bistår den rapporterande personen, till exempel en facklig representant eller skyddsombud.
• andra runt omkring den rapporterande personen ska utsättas för någon form av repressalie, till exempel en anhörig eller kollega. Inte heller en juridisk person som den rapporterande personen äger, arbetar för eller på annat sätt har koppling till ska utsättas för en repressalie.

Hindrande åtgärd
Det är inte tillåtet att hindra eller försöka hindra en person från att rapportera om missförhållanden i arbetslivet. En hindrande åtgärd kan till exempel handla om att en verksamhetsutövare försöker förmå en person att inte rapportera genom att bestraffa den personen eller hota personen med bestraffning.

Det kan också handla om att försvåra en rapportering, till exempel genom att inte lämna information om hur rapportering ska göras, att inte bli upplyst om de rutiner eller kanaler som finns för rapportering av information om missförhållanden.

Repressalie
Det är inte tillåtet att straffa en person som rapporterar om missförhållanden i arbetslivet. En repressalie är en direkt eller indirekt åtgärd som vidtas på grund av att den rapporterande personen har rapporterat. Det kan också handla om en underlåtenhet att inte vidta en åtgärd.

I en anställning kan det bland annat handla om:

• avstängning
• permittering
• uppsägning, avsked
• degradering eller omplacering
• utebliven befordran eller lönehöjning
• ändrade arbetsuppgifter
• ändrad arbetsplats
• försämrad lön och förmåner
• ändrade arbetstider
• utebliven fortbildning
• negativ resultatbedömning 
• negativa vitsord i t.ex. arbetsbetyg, referenstagning
• svartlistning
• disciplinåtgärd, varning, erinran
• utsättas för hot, tvång
• trakasserier, utfrysning, diskriminering eller missgynnande
• utsättas för orimligt hög arbetsbelastning
• att inte få en tillsvidareanställning (från en tidsbegränsad anställning)
• inte förlängning på en visstidsanställning eller att den sägs upp i förtid

Utöver en åtgärd i en anställning kan en repressalie också handla om annan ekonomisk skada gällande avtal om varor eller tjänster, svartlistas i branschanseende, förtida uppsägning av samarbetsavtal, upphävande av licens eller tillstånd

Den gemensamma nämnaren för de repressalier som räknas upp är att det är fråga om något som ger upphov till, eller kan ge upphov till, skada eller men för den rapporterande personen. Även ett försök till en repressalie, som av någon anledning inte fullbordas, kan ge upphov till skada eller men för den rapporterande personen.

Anonymitet
Den rapporterande personen, visselblåsaren, har rätt att vara anonym vad gäller namn, personnummer och adress eller annan information som skulle kunna röja vem det handlar om.

Om en identitet behöver röjas, till exempel till polis, ska den personen få information om att identiteten behöva röjas, såvida det inte finns starka skäl mot det. Ett sådant skäl kan till exempel vara om det finns risk för att bevis förstörs eller om utredningens process skulle påverkas. Skyddet i lagen gäller dock oavsett om den rapporterande personen vill vara anonym eller inte.

Förbudet mot repressalie gäller även om personen blir identifierad i ett senare skede i processen.

Bevisbördan och orsakssamband

Om en rapporterande person anser sig ha blivit hindrad från att rapportera eller blivit utsatt för repressalier är det verksamhetsutövaren som ska kunna bevisa att så inte har skett.

Det krävs också ett orsakssamband, dvs att repressalien inte har någon koppling till andra orsaker än visselblåsningen. Detta måste i så fall arbetsgivaren, dvs en verksamhetsutövare, också kunna bevisa. Detta gäller både för den rapporterande personen eller någon som bistår en visselblåsare i processen.

• Rutiner för visselblåsning - information till anställd 2025
  Ladda ner
• Rutiner för visselblåsning - information till anställd Engelsk 2025
  Ladda ner

Den nya lagen gäller för alla arbetsgivare, både offentliga och privata, oavsett hur många anställda det är i verksamheten.

De som omfattas av lagens skydd var i den tidigare lagen bara anställda eller inhyrda konsulter som kunnat larma. Nu utökas skyddet och hanteringen även för andra personkategorier. Därför benämner man i lagen att de som kan larma och därmed skyddas kallas ”rapporterande person” i stället för ”arbetstagare”. Av samma skäl används inte begreppet ”arbetsgivare” längre utan ”verksamhetsutövare”.

En verksamhetsutövare är till exempel en juridisk person som driver en verksamhet; ett bolag, en enskild näringsidkare, ekonomiska föreningar, ideella föreningar, trossamfund, bostadsrättsföreningar, stiftelser, arbetslöshetskassor.

För offentlig sektor omfattas statliga förvaltningsmyndigheter, domstolar och kommuner.  

Skyddet gäller också vid rapportering av missförhållanden till någon av EU:s institutioner, organ och byråer som har inrättat externa rapporteringskanaler och rutiner för att ta emot rapporter om missförhållanden. Dock under förutsättning att den rapporterande personen rapporterar i enlighet med de rutiner som gäller för den aktuella rapporteringskanalen.

Som ”rapporterande person” avses en person som genom ett arbetsrelaterat sammanhang har fått del av eller inhämtat information om missförhållanden och som rapporterar den. Följande personkategorier tillhör de som skyddas av lagen:

• arbetstagare
• söker arbete
• volontärer
• praktikanter
• personer som annars står till förfogande för att utföra arbete eller utför arbete under verksamhetsutövarens kontroll och ledning (t.ex. inhyrd personal)
• egenföretagare som söker eller utför uppdrag
• personer som står till förfogande för att ingå eller ingår i ett företags förvaltnings-, lednings- eller tillsynsorgan
• aktieägare som står till förfogande för att vara eller är verksamma i bolaget

Skyddet gäller personer som har tillhört någon av personkategorierna ovan och har fått del av eller inhämtat informationen under tiden man varit kopplad till verksamheten. Det gäller information man fått del av innan man börjat i verksamheten, under tiden samt efter att man har slutat i verksamheten.

Skyddet gäller även:

• personer som bistår den rapporterande personen, till exempel fackligt ombud, skyddsombud.
• juridisk person som den rapporterande personen äger, arbetar för eller på annat sätt har koppling till. En sådan repressalieåtgärd kan till exempel vara bojkott, svartlistning etc.

För att skyddet i lagen ska träda i kraft ska den rapporterande personen också ha skälig anledning att anta att informationen om missförhållandena var sann vid tidpunkten för rapporteringen.

Att medvetet rapportera eller offentliggöra falsk, ogrundad information eller rykten har man inte rätt till skydd. Däremot krävs inte att man uppvisar bevis eller dokumentation för sitt påstående, men det ska finnas en rimlighet att kunna tro att informationen är riktig. Det krävs inte heller att den rapporterande personen själv gör undersökningar eller kontroller för att säkerställa att informationen är riktigt, om det inte går att göra på ett enkelt sätt.

• Checklista - arbetsgivares ansvar enligt visselblåsarlagen 2025
  Ladda ner

I den tidigare lagstiftningen gällde skyddet när en arbetstagare slog larm om händelser om ”allvarliga missförhållanden” i en verksamhet där brotten i stort sett skulle kunna tilldömas fängelse i straffskalan. Den nya lagen går längre och gäller nu information om missförhållanden i ett arbetsrelaterat sammanhang där det finns ett allmänintresse av att detta kommer fram.

Vad räknas som ett allmänintresse?

Det kan vara lite svårt att veta vad som menas, men det är troligen lättare att avgöra om något är av ett allmänintresse än att veta vilka missförhållanden som kan ge fängelse. Det ska finnas ett berättigat och legitimt intresse för allmänheten, utomstående eller en krets av personer, att få reda på uppgifterna. Till exempel att allmänheten behöver få en viss information för att kunna skydda sig eller kunna vidta åtgärder.

Vad menas med missförhållanden?

Ett missförhållande kan vara ett handlande eller underlåtenhet att göra något, oavsett om det rör sig om ett uppsåtligt eller oaktsamt agerande.

Några exempel på missförhållanden kan vara: 

• farliga produkter har kommit ut på marknaden
• skattemedel som används felaktigt
• interna avtal eller handlingar, men som ändå påverkar allmänheten negativt
• korruption
• bedrägerier
• avtalsbrott
• stöld
• sexuella trakasserier och andra allvarliga trakasserier
• brott mot lagar och föreskrifter
• systematiskt bryter mot regelverk för anställd eller enskilda personer
• moraliska principer och åtaganden man marknadsför som sedan inte följs
• ett försök att dölja ett missförhållande

Arbetsrelaterat sammanhang
Skyddet för visselblåsare gäller vid rapportering av missförhållanden som har uppstått i den verksamhet där personen är anställd eller andra verksamheter som personen är i kontakt med genom sitt arbete. Det kan vara personens nuvarande eller tidigare arbete i privat eller offentlig verksamhet där personen kan eller har kunnat få information om missförhållanden.

Skyddet gäller under förutsättning att det är skäligt att anta att informationen är sann och att rapporteringen har gjorts på korrekt sätt. Dessutom att det då finns ett så kallat allmänintresse.

Vid vilka sammanhang och förhållanden gäller inte skyddet i lagen?

Lagen gäller inte vid rapportering utanför ett arbetsrelaterat sammanhang, exempelvis rapportering av information som någon har fått ta del av i egenskap av kund, klient, patient eller elev. Inte heller privata aktiveter, bagatellartade missförhållanden eller av allmän nyfikenhet.

Normalt sett omfattas inte heller någon som rapporterar om sina egna arbets-, anställningsförhållanden eller sin egen lön, såvida det inte handlar om slavliknande förhållanden som då kan skapa ett allmänt intresse. 

Det kan dock vara svårt att dra någon enkel gräns. Om interna policys, koder, regler eller principer bryts är det generellt inte så intressant för en bredare allmänhet, men för ägare eller konsumenter kan detta bli viktigt. Även verksamheter som till exempel genom marknadsföring gör sig kända för etiska principer, men där detta systematiskt bryts, kan vara intressant för en större massa.

Lagen gäller inte heller vid rapportering av:

• Säkerhetsskyddsklassificerade uppgifter enligt säkerhetsskyddslagen.
• Information som rör nationell säkerhet i verksamhet hos en myndighet inom försvars- och säkerhetsområdet.

Ett stort grundansvar i den nya lagen är att verksamhetsutövare ska inrätta rapporteringskanal och kunna visa på att det finns tydliga rutiner för att ta emot en rapport och lämna återkoppling till den rapporterande personen.

Både offentlig sektor och privata verksamheter med minst 50 anställda är skyldiga att:

1. Upprätta särskilda interna rapporteringskanaler för visselblåsning. Dessa kanaler ska ta hand om rapporterna på ett systematiskt sätt.
2. Det ska också finnas tydliga och lättillgängliga rutiner hur processen ska gå till; var man kan vända sig för att slå larm och vad som händer med informationen. Anmälningarna ska kunna ske muntligen eller skriftligen.
3. Information om kanalerna och rutinen ska göras enkel och tillgänglig för alla som omfattas av lagen och dess skydd, dvs. inte bara anställda.

Olika krav och tidsfrister beroende på storlek på verksamhet

Verksamhetsutövare har olika krav och tidsfrister på när rapporteringskanalen för rapportering och uppföljning ska finnas på plats och implementerad. Tidsfristen är mellan 6-24 månader från när lagen börjar gälla. Det är olika tidsfrister beroende på hur många anställda man har vid ingången av varje kalenderår. Visstidsanställda och deltidsanställda ska räknas in i antalet anställda.

• 0 – 49 anställda: Inga formkrav på intern rapporteringskanal eller rutiner. Lagens regler för skydd för visselblåsaren gäller likväl. Därför ska anställda kunna slå larm internt på något sätt. Det kan ske genom en enklare rutin, till exempel att en anmälan kan ske till en viss lämplig person eller enhet.
• 50 – 249 anställda: skyldig att inrätta särskild rapporteringskanal senast från den 17 december 2023, dvs 2 år efter att lagen börjat gälla.
• Vid över 249 anställda: skyldig att inrätta särskild rapporteringskanal senast från den 17 juli 2022.

Detta är bortre gränser för när rapporteringskanalerna ska vara på plats och fungera, men verksamheterna bör inte vänta till sista stund. Lagen om skydd för en person som vill rapportera ett missförhållande gäller redan nu. Det är först efter att dessa datum passerat som tillsynsmyndigheten kommer genomföra kontroller på att de är inrättade.  

Vissa kan dela rapporteringskanal
Privata verksamheter som har mellan 50 och 249 anställda kan dela rapporteringskanaler dvs ha gemensamma kanaler med andra verksamheter, till exempel inom koncerner. Dock handlar det endast om vissa delar av processen:

• mottagandet av rapporter
• utredning av de förhållande som har rapporterats

Återrapporteringen till rapporterande person måste däremot ske av den egna juridiska personen, dvs verksamhetsutövaren.

Större verksamheter, dvs med 250 eller fler anställda ska däremot alltid ha egna interna rapporteringskanaler.

För kommuner och regioner kommer det vara möjligt att dela kanaler och förfaranden för rapportering och uppföljning med andra kommuner, kommunala bolag, stiftelser och föreningar.

• Handlingsplan visselblåsarfunktion 2025
  Ladda ner
• Handlingsplan visselblåsarfunktion Engelsk 2025
  Ladda ner
• Visselblåsarpolicy 2025
  Ladda ner
• Visselblåsarpolicy Engelsk 2025
  Ladda ner

Anmälningar om missförhållanden ska lämnas genom interna rapporteringskanaler som verksamhetsutövaren ska upprätta. En kanal för att inrapportera ett missförhållande kan vara en fysisk enhet eller funktion dit rapportering kan ske. Inom kanalen ska det sedan också finnas rutiner för att ta emot informationen samt hur informationen tas om hand.

Själva rapporteringsvägen in kan vara ett IT-systemstöd, en applikation (mobilapp), mejladress, telefonnummer osv. Viktigt att den rapporteringsväg man väljer ska säkerställa sekretess och integritet och att det ska kunna gå att välja alternativ väg, som till exempel ett fysiskt möte.

Vem tar emot informationen?

Inom den kanalen eller mottagarenheten till informationen ska verksamhetsutövaren utse oberoende och självständiga personer eller enheter som ska ha behörighet att ta emot rapporter och ha kontakt med den som larmat å verksamhetsutövarens vägnar. Det innebär att ha ett visst mandat att agera självständigt, utan verksamhetsutövarens godkännande, att kunna inleda och avsluta utredning. Även att formulera slutsatser. Verksamhetsutövaren får förstås inte utöva påtryckning eller bestraffning mot en sådan person som har denna funktion och mandat.

De personer eller enheter som utses till den interna rapporteringskanalen kan antingen finnas inom verksamheten, dvs någon/några anställda, eller genom att anlita en utomstående part som, helt eller delvis, kan hantera rapporteringskanalerna och förfarandena för verksamhetsutövarens räkning.

Exempel på intern mottagare (funktioner och enheter):

• Personalavdelning (HR-avdelning)
• Juridisk enhet
• Säkerhetsavdelning

Det bör då vara chef över sådana avdelningar som har det yttersta ansvaret.  

Exempel på utomstående mottagare kan vara advokat-, revisionsbyråer eller rådgivare. Att utse en utomstående mottagare kan möjliggöra en tydlighet av oberoende och förtroende för systemet, speciellt i fall där ledningen direkt eller indirekt är involverad i ärendet, eller där visselblåsaren vet att ledningen är väl medveten om ärendet, men inte har för avsikt att göra något åt det.

Vilka delar av processen som ska hanteras internt, eller i förekommande fall av utomstående part, ska vara tydlig i instruktionen. Det kan också vara olika personer som hanterar olika delar av processen. 

Oavsett om rapporteringskanalen är helt intern eller med extern part, har verksamhetsutövaren alltid det yttersta ansvaret för att funktionen utformas och hanteras i enlighet med lagens krav.

Det är viktigt att den som vill rapportera ett missförhållande använder den kanal som verksamhetsutövaren har satt upp för att skyddas enligt lag. Om det däremot saknas rapporteringskanal för att visselblåsa, eller om verksamhetsutövaren har en undermålig kanal, kan visselblåsaren ändå skyddas enligt denna lag om man då rapporterar på annat sätt internt. Samma gäller för personer som inte har börjat ännu och som kanske inte känner till hur rapporteringen ska gå till.

Risk för jäv

Verksamhetsutövaren ska också se till att intressekonflikter (jäv) undviks, till exempel genom att säkerställa att en behörig person aldrig hanterar ett ärende där personen själv är part. En behörig person ska då kunna rapportera till ett organ eller en funktion på verksamhetens högsta nivå eller helst en funktion eller person utanför organisationen.

Muntlig eller skriftlig rapportering

Den rapporteringskanal som ska utformas ska stödja att larmet rapporteras antingen skriftligen eller muntligen. Det är upp till visselblåsaren hur man vill göra.

Muntlig rapportering
En muntlig rapportering kan ske till exempel via telefon eller fysiskt möte, om så begärs. Om fysiskt möte begärs ska detta kunna ske skyndsamt.

Muntlig rapportering ska dokumenteras av mottagaren antingen genom att man spelar in samtalet eller att mottagaren skriver ner vad som framkommit. Om rapporteringen spelas in ska samtycke ges i förväg. Om den skrivs ner i skriftlig dokumentation ska den som rapporterar få bekräfta denna dokumentation och kunna korrigera felaktigheter.

Skriftlig rapportering
Skriftlig rapportering kan ske via IT-portal, e-post, applikationsplattform eller dylikt. Formerna för detta kan verksamhetsutövaren bestämma.

Utformningen av hanteringsrutinerna – vad händer med ett ärende?

Det är viktigt att ha tydliga rutiner för hur man går till väga för att larma, men också vad som händer med informationen samt vilken kontakt och uppföljning som visselblåsaren kan förvänta sig.

Utformandet av kanalens rutiner för att hantera ett ärende handlar därför om att:

1. Kunna ta emot antingen skriftliga eller muntliga rapporter. Ett fysiskt möte ska kunna genomföras inom skälig tid.
2. En bekräftelse på mottagandet av rapporten ska ges inom sju (7) dagar, såvida inte personen avsagt sig det eller om mottagaren har anledning att anta att en bekräftelse skulle avslöja personens identitet.
3. De uppgifter som rapporteras ska skyndsamt utredas och följas upp:
   

   - Vidta åtgärder för att bedöma riktigheten i de påstående om missförhållandet som rapporteras

   - Vidarebefordra informationen till den som är ansvarig för vidare åtgärder.

4. Den rapporterande personen ska senast inom tre (3) månader få återkoppling i skälig utsträckning om vilka åtgärder som vidtagits. Vissa sekretessbestämmelser kan hindra att detta lämnas ut, men så långt som det är möjligt.

Det är möjligt att visselblåsa direkt externt till en myndighet utan att först slå larm via den interna rapporteringskanalen. Skyddet mot hindrande åtgärder och repressalier gäller oavsett. Skäl att anmäla externt till en myndighet kan handla om att visselblåsaren inte får någon återkoppling internt, eller om verksamheten inte har vidtagit skäliga åtgärder. En annan orsak kan också vara att den rapporterande personen misstänker att bevis kan röjas om man går internt först. Huvudregeln är dock att man börjar med ett internt larm.

Ett 30-tal utvalda myndigheter har fått i uppdrag att inrätta externa rapporteringskanaler inom sina respektive områden dit visselblåsare ska kunna rapportera ett missförhållande.

Dessa utvalda myndigheter är:

• Arbetsmiljöverket
• Boverket
• Elsäkerhetsverket
• Ekobrottsmyndigheten
• Fastighetsmäklarinspektionen
• Finansinspektionen
• Folkhälsomyndigheten
• Havs- och vattenmyndigheten
• Integritetsskyddsmyndigheten
• Inspektionen för strategiska produkter
• Inspektionen för vård och omsorg
• Kemikalieinspektionen
• Konsumentverket
• Konkurrensverket
• Livsmedelsverket
• Läkemedelsverket
• Länsstyrelserna
• Myndigheten för samhällsskydd och beredskap
• Naturvårdsverket
• Post- och telestyrelsen
• Regeringskansliet
• Revisorsinspektionen
• Skatteverket
• Spelinspektionen
• Statens energimyndighet
• Statens jordbruksverk
• Styrelsen för ackreditering och teknisk kontroll
• Strålsäkerhetsmyndigheten
• Transportstyrelsen

Precis som för de interna rapporteringarna ska larmens tas om hand av dessa myndigheter och följas upp av en särskild enhet. Myndigheter har i princip samma krav som verksamhetsutövare, eller part utanför verksamheten, att ta emot rapport, utreda och lämna återkoppling.

Skyddet för visselblåsare gäller även om en rapporterande person slår larm publikt till exempel till media. Skyddet gäller dock under förutsättning att personen:

• först har rapporterat internt eller till extern myndighet utan att särskilda åtgärder har vidtagits
• att rapporterande person inte fått återkoppling inom 3 månader (eller senare om det finns skälig orsak till förlängning av tidsfristen) 
• om det finns skäl att anta att missförhållandet innebär en uppenbar fara för liv, hälsa och säkerhet
• om det finns skäl att anta att missförhållandet utgör en omfattade risk för skada i miljön eller grova överträdelser av miljöskyddslagstiftningen
• risk för allvarlig ekonomisk brottslighet
• om det finns stora risker för att bevis kan döljas eller förstöras

Att larma publikt till pressen ska alltså fungera som en sista utväg för att kunna skyddas av lagen

Observera att det som anges här ovan inte inskränker en persons rättighet att utnyttja sina grundlagsskyddade rättigheter. Det kan alltså finnas andra regler genom yttrandefrihets- eller meddelarskyddslagstiftning som gäller före visselblåsarlagen.

Eftersom det är flera aktörer som ska kunna rapportera missförhållanden är det viktigt med tydlig, begriplig och lättillgänglig information om vart man vänder sig och vad som händer med informationen. Det kan ske på till exempel en policy, personalhandbok, instruktion på intranätet eller den externa hemsidan för utomstående legitima visselblåsare som inte har tillgång till intern information, till exempel intranätet. Information kan också ske parallellt genom utbildningsinsatser, introduktioner för nyanställda, personalmöten osv.

Informationen bör innefatta: 

1. vart man kan vända sig med sin anmälan, dvs vilka rapporteringskanaler som finns; rapporteringsväg, kontaktuppgifter och hur informationen kan lämnas
2. hur rapporter tas emot och bekräftas
3. hur rapporterna hanteras och dokumenteras
4. att det rapporterade missförhållandet utreds
5. hur den rapporterande personen får återkoppling
6. hur rapportering kan göras till behöriga myndigheter via de externa rapporteringskanalerna, eller inom EU om det är aktuellt; de myndigheter som avses och beskrivning vad det innebär att rapportera externt
7. Vilka skydd som lagen innebär

Det är också en fördel om det tas fram någon form av beskrivning av varje ansvarig roll och hur dessa samverkar i processen: ledningen, IT-ansvarig, personalansvarig, utomstående aktörer eller mottagare av anmälningar.

De personer som tar emot och hanterar ett ärende i en rapporteringskanal har tystnadsplikt och får inte avslöja identiteten på den rapporterande personen, juridisk person eller på någon annan person som förekommer i ärendet till obehöriga. I offentliga verksamheter gäller bestämmelserna i offentlighets- och sekretesslagen.

Det som räknas som behörig att ta del av en uppgift kan vara personer som arbetar inom enheten för rapporteringskanalen, en personalfunktion hos verksamhetsutövaren för att till exempel arbetsrättsliga åtgärder. Även anmälningar till myndigheter.

Den som skyddas av tystnadsplikten kan dock ge sitt samtycke till att de skyddade uppgifterna lämnas ut.

Alla verksamheter över 50 anställda ska dokumentera rapportering och dess hantering genom ett upprättande av protokoll.

Muntlig rapportering, genom inspelning eller fysiskt möte, får dokumenteras. Den rapporterande personen ska då ges tillfälle att kontrollera, rätta och formellt godkänna den dokumentationen.

Om rapporteringen ska få spelas in krävs att den rapporterande personen samtycker till det.

GDPR

Lagen innehåller också bestämmelser om behandling av personuppgifter som ligger i linje med EU:s dataskyddsförordning (GDPR) när det gäller visselblåsarhanteringen. Lagen tydliggörs till exempel hur länge personuppgifter får sparas, vilken rättslig grund som finns och vilka som får ha tillgång till uppgifterna. 

Personuppgifter får behandlas bara om behandlingen är nödvändig för ett uppföljningsärende. Personuppgifter i ett ärende får inte behandlas längre än två år efter det att ärendet avslutades.

Det är också endast personer som har utsetts som behöriga i rapporteringskanalen eller som arbetar inom dessa enheter som ska anses vara behöriga att ta emot, följa upp och lämna återkoppling på rapporter och som därmed får tillgång till personuppgifter som finns i ett ärende. Uppgifter som inte är relevanta för handläggningen ska inte samlas in, eller raderas snarast möjligt.

Ansvar

Även om en verksamhetsutövare väljer att låta en utomstående part hantera dokumentationen för sin räkning är det fortfarande den enskilde verksamhetsutövaren som har kvar ansvaret för att dokumentationen hanteras och bevaras så att lagens krav, inklusive GDPR, uppfylls.

Det är möjligt att träffa centrala kollektivavtal om utformningen av rapporteringskanaler, rutinerna för hanteringen av rapporterna samt uppföljningen, under förutsättning att avtalet inte upphäver eller inskränker någons rättigheter som avses i EU-direktivet 2019/1937.

Det är inte heller möjligt att avtala bort de rapporterandes skydd och rättigheter som regleras genom lagen. Om ett kollektivavtal strider mot lagen är avtalet ogiltigt i den delen.

Lokala avtal som avviker från de centrala gäller inte.

En verksamhetsutövare som bryter mot Visselblåsarlagen, dvs hindrar eller straffar en visselblåsare eller andra som står under lagens skydd, ska betala skadestånd (ekonomisk och allmänt skadestånd) för den förlust som uppkommer och för den kränkning som överträdelsen innebär. En domstol kan välja att sätta ner skadeståndsbeloppen beroende på hur verksamhetsutövaren hanterat processen.

Det kan också bli tal om att en verksamhetsutövare har brutit mot flera lagar samtidigt, till exempel att en anställd sagts upp på grund av visselblåsningen (brott mot Lagen om anställningsskydd) eller genom en diskriminerande handling (brott mot Diskrimineringslagen). Då kan domstolen välja att döma ett gemensamt skadeståndsbelopp för alla dessa lagbrott.

Vid brott mot LAS (Lagen om anställningsskydd) får ersättning för förlust som avser tid efter anställningsupphörande utdömas till högst det belopp som anges i 39 § LAS.

Verksamhetsutövaren ansvarar för att följa lagen. Det innebär också att verksamhetsutövaren själv bestämmer hur man vill upprätta sin kanal. Innan beslut fattas om rapporteringskanaler och dess rutiner ska dock kollektivavtalade verksamheter först förhandla enligt medbestämmandelagen.

Arbetsmiljöverket är tillsynsmyndighet och ska kontrollera och se till att verksamhetsutövare, dvs arbetsgivare, lever upp till kraven i visselblåsarlagen. De kan kontrollera att det finns interna rapporteringskanaler samt rutiner för hantering av rapportering och uppföljning. Arbetsmiljöverket kan också begära upplysningar och handlingar för att kunna utföra kontrollen. Vid brister kan Arbetsmiljöverket besluta om föreläggande som förenas med vite.

Om en rapportering inte omfattas av någon av de 30 utsedda myndigheterna, som externa rapporteringskanal, ska Arbetsmiljöverket hantera även dessa ärenden.

Överklagande över tillsynsmyndighetens beslut om föreläggande, som förenas med vite, kan ske till allmän förvaltningsdomstol. Andra beslut kan inte överklagas.