EN WHISTLEBLOWERORDNING ER LOVPLIGTIG

Hvilke virksomheder er forpligtede – og til hvad?
Whistleblowerdirektivet forpligter private virksomheder med 50 eller flere ansatte til at etablere en whistleblowerordning, det vil sige kanaler og procedurer for indberetning af og opfølgning på lovovertrædelser. Virksomheder med 50-249 ansatte har indtil 17. december 2023 til at etablere en whistleblowerordning og har desuden mulighed for at dele ressourcer med andre juridiske enheder i forbindelse med modtagelse af indberetninger og de eventuelle undersøgelser, der skal foretages. For virksomheder med mere end 250 medarbejdere skal der dog være etableret en whistleblowerordning senest d. 17. december 2021.

Hvilke krav er der til virksomhedens indberetningskanal?
Den interne indberetningskanal skal udformes, etableres og drives på en måde, der sikrer, at fortroligheden af whistleblowerens identitet og enhver tredjepart nævnt i indberetningen er beskyttet. Virksomhedens indberetningskanal kan drives internt af en person eller afdeling, der er udpeget og autoriseret til det, eller leveres eksternt af tredjepart. Modtagelsen af en indberetning skal bekræftes senest 7 dage efter modtagelse, og feedback på indberetningen skal gives senest tre måneder efter, at indberetningen har fundet sted. Kanalen skal give mulighed for både skriftlig og mundtlig indberetning.

Virksomheder, som allerede frivilligt har etableret whistleblowerordninger, bør sikre, at disse lever op til de nye regler. Og virksomheder, som ikke i forvejen har etableret en ordning, kan med fordel indlede arbejdet nu. På dagens webinar kan du høre mere samt stille spørgsmål omkring nye lovkrav.

LOVGRUNDLAG

Den danske implementering af Whistleblowerdirektivet blev vedtaget i Folketinget den 24. juni 2021 – loven træder i kraft 17. december 2021. Loven forpligter alle arbejdsgivere med mere end 50 ansatte til at oprette en whistleblowerordning. I modsætning til tidligere meldinger åbner loven op for, at virksomheder i Danmark kan dele og outsource deres whistleblowerordning med og til moder- eller datterselskab. Det gælder også for virksomheder med mere end 249 ansatte. Der er dog indført mulighed for, at kravet om, at allekoncernforbundne juridiske enheder med mere end 249 medarbejdere ikke kan have fælles whistleblowerordning genindføres, hvis EU-kommissionen meget faste fortolkning af direktivet fastholdes.

Du kan læse mere på Justitsministeriet's hjemmeside her.

JERES INDBERETNINGSKANAL

Din virksomheds whistleblowerordning skal først og fremmest bestå af en sikker indberetningskanal, som overholder GDPR-reglerne og andre krav til sikkerhed. Din virksomhed skal selv sørge for at etablere og vedligeholde indberetningskanalen. Du vælger selv, om indberetningskanalen skal:

• Håndteres i din egen virksomhed,
• Bestå af eksternt IT-håndteringssystem, hvor I som virksomhed håndterer sager/dialog med indberetter
• Eller om den skal håndteres i/af en anden ekstern partner (kunne være rådgivnings- eller juridisk virksomhed).

Formålet med din indberetningskanal skal være, at whistleblowere sikkert kan give oplysninger om potentielle lovovertrædelser, der sker i eller i forbindelse med din virksomhed, og at whistlebloweren er under direktivets beskyttelse.

Krav til indberetningskanalen

• Indberetninger skal kunne gøres mundtligt, skriftligt eller begge dele
• Din virksomheds ansatte skal kunne indberette gennem indberetningskanalen
• Øvrige personer, der er i forbindelse med din virksomhed, kan også gives mulighed for at bruge indberetningskanalen
• Ansvarlige for indberetningskanalen skal være upartiske og kompetente

JERES INDBERETNINGSPROCEDURE

Direktivet stiller også en række krav til indberetningsproceduren. Det vil sige til, hvordan de indberettede oplysningerne behandles, og hvordan whistleblowere skal beskyttes. Denne procedure skal sikre, at indberetningen håndteres fortroligt og rettidigt, samt at whistlebloweren ikke bliver udsat for repressalier grundet sin indberetning.

Krav til proceduren

• Indberetningskanalen skal udformes på en måde, som sikrer fortrolighed af whistlebloweren og øvrige nævnte i indberetningen.
• En ansat eller en afdeling skal være ansvarlig for kommunikationen med indberetteren, herunder anmode om yderligere oplysninger, og give en omhyggelig opfølgning (kan med fordel være den samme ansatte eller afdeling, som tager imod indberetningerne).
• Whistlebloweren skal modtage en bekræftelse på indberetningen inden for syv dage.
• Whistlebloweren skal modtage en tilbagemelding om sagens udfald samt enbegrundelse herfor inden for tre måneder.
• Der skal være klare og let tilgængelige oplysninger om, hvordan og hvorledes whistleblowere kan indberette oplysninger til det offentlige/staten.

Krav til whistleblowerbeskyttelse

• Krav om beskyttelse skal gælde alle, der benytter indberetningskanalen med rimelig grund.
• Whistleblowerens identitet må ikke videregives.
• Modtager af indberetningen må ikke anvende eller videregiver indberetningen (ud over i den korrekte opfølgning).
• Behandling af personoplysninger skal følge GDPR-reglerne.
• Indberetninger må kun opbevares så længe, det er nødvendigt.
• Særlige regler gælder, hvis whistleblower og indberetningsinstans mødes.
• Enhver form for trusler om og forsøg på repressalier mod whistleblowere og øvrige nævnte i indberetningen er forbudt.