Vad händer om ditt bolag saknar visselblåsarsystem? Böter, ansvar och risker.
Tillsynsmyndigheten kan utfärda böter och vitesförelägganden. Vi reder ut vad som faktiskt kan hända och hur du skyddar dig.
Vem utövar tillsyn?
För privat sektor är det Arbetsmiljöverket som ansvarar för tillsyn av visselblåsarlagen. Myndigheten kan på eget initiativ eller efter anmälan granska om ett bolag uppfyller kraven.
För offentlig sektor delas tillsynsansvaret mellan flera myndigheter beroende på verksamhetsområde.
Vitesföreläggande - det vanligaste verktyget
Det primära verktyget för tillsynsmyndigheten är vitesföreläggande. Det innebär att bolaget åläggs att åtgärda bristen inom en viss tid, med ett specificerat vitesbelopp om kravet inte uppfylls.
Vitet fastställs utifrån bolagets storlek och ekonomiska förutsättningar. Det finns inget tak i lagen, men beloppen ska stå i proportion till vad som krävs för att förmå bolaget att följa lagen.
Repressalier - den allvarligaste risken
Utöver avsaknaden av ett system är den allvarligaste juridiska risken att vidta repressalier mot en anställd som rapporterat. Lagen innehåller ett strängt förbud och omvänd bevisbörda.
Det innebär att om en anställd påstår sig ha utsatts för repressalier är det bolaget som måste bevisa att åtgärden inte hade samband med rapporteringen. Det kan vara svårt att visa, särskilt om det saknas dokumentation om att ett ordnat system för ärendehantering funnits på plats.
En anställd som utsätts för otillåtna repressalier kan ha rätt till skadestånd.
GDPR-sanktioner
Om ett bolag hanterar visselblåsarärenden utan ett avtal med sin leverantör (PuB-avtal) eller på ett sätt som strider mot GDPR, kan Integritetsskyddsmyndigheten (IMY) utreda och utfärda sanktionsavgifter separat.
GDPR-sanktioner kan uppgå till 20 miljoner euro eller 4 procent av den globala omsättningen, beroende på vilket belopp som är högst.
Reputationsrisk
En tillsynsprocess är offentlig. Om ett bolag åläggs att uppfylla lagen kan det uppmärksammas av medier, kunder och samarbetspartners. För bolag som arbetar med offentlig upphandling kan det också påverka krav på leverantörskvalificering.
Vad gäller om ni inte är klara ännu?
Om ditt bolag inte uppfyller kraven är det viktigaste att åtgärda det så snart som möjligt. Lagen ger inget utrymme för övergångsperioder för bolag som redan passerat ikraftträdandedatumet.
Dokumentera att ni aktivt arbetar med att uppfylla kraven. En pågående åtgärdsplan väger positivt om en tillsynsmyndighet granskar bolaget.
Kort sammanfattning av riskerna
- Vitesföreläggande från Arbetsmiljöverket
- Skadeståndsskyldighet vid repressalier mot rapportörer
- GDPR-sanktioner från IMY vid bristfällig personuppgiftshantering
- Reputationsrisk vid offentlig tillsyn