Med Lov om beskyttelse af whistleblowere bliver det nu lovpligtigt i Danmark at etablere en whistleblowerordning.
Den danske whistleblower-lov implementerer EU's whistleblowerdirektiv og betyder først og fremmest, at kommunerne samt en række offentlige institutioner og endelig alle private virksomheder med mere end 49 medarbejdere skal implementere en whistleblowerordning.
Kommunerne samt offentlige institutioner og private virksomheder med 249+ medarbejdere skal have implementeret ordningen senest den 17. december 2021, mens private virksomheder med 50-249 medarbejdere får en frist indtil den 17. december 2023.
Den danske whistleblowerlov skal i tråd med EU-direktivet sikre, at en whistleblower gives den størst mulige beskyttelse, så indberetningen kan foretages sikkert og fortroligt – så den, som puster i fløjten om alvorlige forhold i offentlighedens interesse, beskyttes mod repressalier.
Mulighed for at indberette til Datatilsynet
Selvom de mindre, private virksomheder får en frist indtil den 17. december 2023 til at implementere en whistleblowerordning, så kan samtlige danske arbejdstagere, herunder arbejdstagere på mindre arbejdspladser med under 50 beskæftigede, allerede fra den 17. december 2021 indberette direkte til en ekstern whistleblowerordning i det danske Datatilsyn.
På den baggrund bør virksomhederne allerede nu overveje at være klar til december 2021 med en intern whistleblowerordning.
Hvem skal kunne indberette?
Ordningen skal stilles til rådighed for arbejdsgiverens arbejdstagere.
Det er derimod valgfrit for den enkelte arbejdsgiver, om man ønsker at stille ordningen til rådighed for andre, herunder samarbejdspartnere og leverandører.
Hvad kan der indberettes om?
Der kan indberettes om overtrædelser af visse områder af EU-retten samt om alvorlige nationale lovovertrædelser og andre alvorlige forhold, herunder bl.a. om:
- Strafbare forhold, herunder misbrug af økonomiske midler, overtrædelse af tavshedspligter, tyveri, svig, underslæb, bestikkelse og bedrageri
- Grove eller gentagne overtrædelser af anden lovgivning
- Overtrædelser af konkurrencereglerne
- Overtrædelse af selskabsskattereglerne
- Alvorlige brud på arbejdssikkerheden
- Miljøforurening
- Grove personrelaterede konflikter på arbejdspladsen, herunder seksuel chikane og vold
- Brud på datasikkerheden
Hvad kan der ikke indberettes om?
Der kan ikke foretages indberetning om alvorlige forhold vedr. whistleblowerens eget ansættelsesforhold, om konflikter mellem to eller flere medarbejdere eller om personers egne ansættelsesforhold i øvrigt, fx utilfredshed med ledelsen. Desuden kan der ikke ske indberetning om overtrædelser af interne retningslinjer, eksempelvis vedr. sygefravær, alkohol, påklædning mv.
De væsentligste krav til ordningen
Arbejdsgiveren skal sikre en ordning, hvor indberetningen behandles af en upartisk whistleblowerenhed – enten en intern eller en ekstern enhed. Dette forudsætter bl.a., at arbejdsgiver sikrer en såkaldt whistleblowerorganisation, så indberetningerne behandles af relevante udpegede ansvarlige alt afhængig af, hvem indberetningen vedrører.
Fortrolighed og it-sikkerhed
Ordningen skal sikre fortrolighed og passende it-sikkerhed, så oplysninger om såvel indberetter som den indberettede ikke kommer uvedkommende til kendskab, herunder bl.a. med nødvendig sikring af kryptering i forhold til opbevaring og behandling af de indberettede personoplysninger.
Anonymitet
Ordningen skal ikke kunne sikre anonymitet, idet arbejdsgiverne ikke har pligt til at modtage, behandle og følge op på anonyme indberetninger, men da flere undersøgelser viser, at mange arbejdstagere undlader at foretage indberetning, hvis de ikke har mulighed for at være anonyme, vælger mange en ordning, hvor anonymitet er implementeret.
Systemunderstøttet whistleblowerordning
Arbejdsgiver skal – under hensyn til den konkrete organisation – sikre en hensigtsmæssig indberetningskanal. Det er ikke et krav, at ordningen skal være understøttet af et specifikt it-system, men for at sikre overholdelse af ovennævnte krav – herunder særligt kravene til it-sikkerhed og databeskyttelse – vælger mange en systemunderstøttet løsning.