Kommunens rapporteringskanal

Med rapporteringskanal avses en funktion genom vilken man tar emot rapporter om överträdelser inom en organisation. Till funktionen hör oftast mottagande av rapporter, kommunikation med den rapporterande personen samt utredning av ärendet. Rapporteringen kan göras till exempel per telefon, per post, via en webbplats eller vid ett fysiskt möte. Rapporteringskanalen kan användas för att bekämpa korruption och främja etisk verksamhet. Samtidigt fungerar den också som ett utvecklingsverktyg inom organisationen.

Logon

Visselblåsardirektivets konsekvenser för kommuner, samkommuner och kommunens dotterbolag

Europaparlamentets och rådets direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten, det s.k. visselblåsardirektivet (Justitieministeriet), förpliktar vissa arbetsgivare att inrätta en intern rapporteringskanal för rapportering av överträdelser inom organisationer.

Direktivet ska verkställas i medlemsländerna senast 17.12.2021. Den anknytande nationella lagberedningen skulle enligt de ursprungliga planerna pågå vid Justitieministeriet fram till våren 2021, men på grund av lagstiftningens omfattning försenas regeringens proposition.

Enligt direktivet ska medlemsstaterna se till att juridiska personer inom den privata och den offentliga sektorn inför interna kanaler och förfaranden för intern rapportering och uppföljning av överträdelser. Förpliktelsen har givits vissa preciseringar och det har lämnats nationellt spelrum för medlemsstaterna:

I fråga om kommuner är utgångspunkten att förpliktelsen gäller juridiska personer inom den offentliga sektorn. Medlemsstaterna får dock befria kommuner med färre än 10 000 invånare eller färre än 50 anställda från förpliktelsen. Medlemsstaterna kan föreskriva att kommunerna får dela upp de interna rapporteringskanalerna sinsemellan eller att gemensamma kommunala myndigheter tillsammans ansvarar för verksamheten i enlighet med nationell lagstiftning. Detta förutsätter att de delade interna rapporteringskanalerna är separata och oberoende i förhållande till relevanta externa rapporteringskanaler.

I fråga om samkommuner och kommuners dotterbolag är utgångspunkten att förpliktelsen gäller juridiska personer som ägs av eller står under bestämmande inflytande av den offentliga sektorn. Medlemsstaterna får undanta juridiska personer med färre än 50 anställda som ägs av eller står under bestämmande inflytande av den offentliga sektorn.

Rapporteringsförfarandet enligt visselblåsardirektivet består av tre steg. Huvudregeln är att rapporteringen först sker via en intern rapporteringskanal innan man rapporterar via en extern rapporteringskanal. I den nationella lagen anges de myndigheter som tar emot rapporter via externa rapporteringskanaler. Offentliggörande av information sker i sista hand och före det bör man i mån av möjlighet rapportera via en intern och en extern kanal.

Visselblåsare skyddas mot repressalier

En repressalie är en direkt eller indirekt handling eller underlåtenhet som sker i ett arbetsrelaterat sammanhang och som föranletts av intern eller extern rapportering eller av ett offentliggörande, och som ger upphov till eller kan ge upphov till oberättigad skada för den rapporterande personen. Personer som medvetet rapporterar felaktiga eller vilseledande uppgifter är inte berättigade till skydd.

Förutsättningen för skydd för den rapporterande personen är att

personen i fråga hade rimliga skäl att tro att de uppgifter om överträdelser som han eller hon rapporterade var sanna vid tidpunkten för rapporteringen
uppgifterna omfattades av visselblåsardirektivet och
vid rapporteringen har det rapporteringsförfarande som avses i direktivet använts.

Den interna rapporteringskanalen enligt direktivet

Rapporteringskanalernas verksamhet kan skötas helt internt inom organisationen eller helt eller delvis läggas ut. Kommunerna kan också ha gemensamma rapporteringskanaler.

Varje organisation kan själv bestämma vilka rapporteringskanaler den tar i bruk. Kanalen ska dock vara säker; en konfidentiell behandling av identiteten hos den rapporterande personen och de tredje parter som nämns i rapporten ska skyddas, och det ska förhindras att obehörig personal har åtkomst till informationen.

Det ska vara möjligt att rapportera muntligt eller skriftligt, eller på båda sätten. Rapporteringen kan göras till exempel per post, via en webbplats eller per telefon. Muntlig rapportering ska kunna ske per telefon eller via andra röstmeddelandesystem eller, på begäran av den rapporterande personen, vid ett fysiskt möte inom en rimlig tidsfrist.

Rapporteringsförfarandet ska vara tillräckligt enkelt och informationen om det ska vara tydlig. Personalen och andra personer som på grund av sitt arbete är i kontakt med organisationen i fråga ska informeras om rapporteringen via kanalerna och förfaranden kring den. Det ska också ges anvisningar om hur en extern rapportering till de behöriga myndigheterna ska göras och om förutsättningarna för den.

Handläggning av rapporter

I direktivet finns bestämmelser om handläggningen av rapporter:

En bekräftelse av mottagandet av rapporten ska tillhandahållas den rapporterande personen inom sju dagar från mottagandet.
Alla rapporter om överträdelser ska dokumenteras.
Den rapporterande personen ska ges återkoppling på de åtgärder som vidtagits eller kommer att vidtas på basis av rapporteringen och om grunderna för valet av fortsatta åtgärder. Återkopplingen ska ges senast tre månader från bekräftelsen av mottagandet.
Den som handlägger rapporterna ska vara oberoende i sitt uppdrag och ha förutsättningar att rapportera direkt till organisationens ledning.

Figur: Trestegsprocessen i den interna rapporteringskanalen: rapportering, handläggning och uppföljning

Dataskyddslagstiftning som ska beaktas vid handläggningen av rapporter

Vid behandlingen av personuppgifter som ingår i rapporter ska bestämmelserna i den allmänna dataskyddsförordningen iakttas. Exempelvis ska behandlingen av personuppgifter basera sig på någon av de grunder för behandling som anges i artikel 6 i förordningen. Särskild uppmärksamhet ska ägnas åt principerna om behandling av personuppgifter (artikel 5) och principen om inbyggt dataskydd och dataskydd som standard (artikel 25).