Genomförande av visselblåsardirektivet

Kommittédirektiv 2019:24

Genomförande av visselblåsardirektivet

Beslut vid regeringssammanträde den 29 maj 2019

Sammanfattning

En särskild utredare ska föreslå hur Europaparlamentets och rådets direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten (visselblåsardirektivet) ska genomföras i svensk rätt. Utredaren ska bedöma hur direktivet förhåller sig till svensk rätt och utarbeta nödvändiga författningsförslag. Bedömningen ska bl.a. omfatta inom vilka områden reglerna ska gälla, förhållandet till andra regelverk om skydd för personer som rapporterar om överträdelser, åtgärder för att skydda rapporterande personer och berörda personer, inrättande och utformning av interna och externa kanaler och uppföljning av rapportering samt frågan om sanktioner.

I uppdraget ingår inte att föreslå några ändringar i grundlag, i lagen (2017:151) om meddelarskydd i vissa enskilda verksamheter, eller avseende det meddelarskydd som enligt 13 kap. 2 § offentlighets- och sekretesslagen (2009:400) gäller för anställda och uppdragstagare i kommunala bolag och vissa andra organ. Uppdraget ska redovisas senast den 29 maj 2020.

Översiktligt om direktivet och dess förhållande till svensk rätt

Europaparlamentet och rådet förväntas inom kort anta ett direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten (här kallat visselblåsardirektivet). Genom direktivet fastställs miniminormer till skydd för rapporterande personer i syfte att stärka genomförandet av unionsrätten på vissa områden. Dessa kommittédirektiv utgår från förslaget till visselblåsardirektiv av den 14 mars 2019 (rådets dokumentbeteckning 7242/19).

Direktivet innebär bl.a. följande. Vissa personer som rapporterar om överträdelser (rapporterande personer) ska under särskilda förutsättningar vara skyddade mot repressalier av olika slag och medlemsstaterna ska vidta åtgärder för att säkerställa detta. Direktivet kräver även att aktörer av viss storlek i privat och offentlig sektor inrättar särskilda interna funktioner för rapportering (interna kanaler). Vidare ska det vid behöriga myndigheter i medlemsstaterna finnas funktioner för rapportering av överträdelser (externa kanaler). Rapportering av överträdelser ska hanteras på ett särskilt sätt. Direktivet innehåller även en bestämmelse om att medlemsstaterna ska säkerställa att sanktioner kan beslutas i vissa fall.

Det finns i svensk rätt flera bestämmelser på olika områden av relevans för skydd av rapporterande personer. Exempelvis är var och en tillförsäkrad vissa rättigheter enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen, t.ex. om meddelarfrihet. Även lagen (2016:749) om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden, här kallad visselblåsarlagen, kan särskilt nämnas. Direktivet innehåller bestämmelser som saknar generell motsvarighet i svensk rätt, t.ex. i fråga om skyldigheten för aktörer i privat och offentlig sektor att inrätta interna kanaler och hur dessa ska utformas. Även skyldigheten för behöriga myndigheter att inrätta externa kanaler saknar generell motsvarighet i svensk rätt. Vidare kan det, bl.a. mot bakgrund av den personkrets som ska skyddas, förutses att det kommer att krävas ett antal anpassningar av svensk rätt för att genomföra direktivet.

Uppdraget att föreslå hur direktivet ska genomföras

Utgångspunkter för uppdraget

Utredaren ska bedöma hur direktivet förhåller sig till svensk rätt och utarbeta nödvändiga författningsförslag för att genomföra direktivet i dess helhet.

Vid utformningen av förslagen ska utredaren sträva efter att i den utsträckning direktivet medger detta göra lämpliga avvägningar mellan behovet av att skydda visselblåsare och andra legitima intressen, såsom intresset av att upprätthålla skyddet för sekretessbelagd information och företagshemligheter samt principen om arbetstagares lojalitetsplikt i förhållande till sin arbetsgivare.

Utredaren ska vid de bedömningar som görs och förslag som lämnas beakta skyddet för grundläggande fri- och rättigheter, t.ex. tryck- och yttrandefriheten och relevanta bestämmelser i EU:s stadga om de grundläggande rättigheterna. Vidare ska de bedömningar som görs och förslag som lämnas vara förenliga med svensk grundlag.

Direktivet innehåller en bestämmelse om att det inte ska påverka tillämpningen av vissa andra unionsrättsliga och nationella regelverk. Förslagen ska i linje med detta inte påverka t.ex. skyddet för nationell säkerhet, den svenska arbetsmarknadsmodellen och partsautonomin eller möjligheten för arbetstagare att rådgöra med sin arbetstagarorganisation.

Direktivet ger medlemsstaterna vissa möjligheter att genomföra direktivet på ett sätt som innebär att den administrativa bördan begränsas. Förslagen ska i linje med detta utformas så att den administrativa bördan för berörda aktörer i privat och offentlig sektor inte ökar mer än nödvändigt.

Genomförandet av direktivet kan bl.a. kräva bestämmelser om på vilka områden regleringen ska gälla, vilka personer som ska omfattas av skyddet mot repressalier, förutsättningarna för att skyddet ska gälla och vad skyddet ska innebära. Utredaren bör eftersträva en så sammanhållen reglering som möjligt, för att göra den mer lättöverskådlig.

I uppdraget ingår inte att föreslå några ändringar i grundlag, i lagen (2017:151) om meddelarskydd i vissa enskilda verksamheter, eller avseende det meddelarskydd som enligt 13 kap. 2 § offentlighets- och sekretesslagen (2009:400) gäller för anställda och uppdragstagare i kommunala bolag och vissa andra organ. Nedan behandlas de centrala delarna i visselblåsardirektivet särskilt.

Inom vilka områden ska reglerna gälla?

Direktivets materiella tillämpningsområde är begränsat till vissa områden och rättsakter. Det kan dock vara problematiskt att införa en reglering om skydd för rapporterande personer som bara ska tillämpas på vissa områden, bl.a. eftersom det kan leda till svårigheter att avgöra när skyddet gäller. Direktivet tillåter dock att medlemsstaterna utökar tillämpningsområdet till ytterligare områden, t.ex. genom att införa en generell reglering.

Utredaren ska därför

. bedöma om de regler som genomför direktivet bör gälla generellt eller begränsas till vissa områden, och

. utarbeta nödvändiga författningsförslag.

Utredaren bör i första hand överväga förslag med innebörden att den reglering som föreslås ska gälla generellt för överträdelser av ett visst slag.

Förhållandet till andra regelverk om skydd för personer som rapporterar om överträdelser

Av direktivet framgår att det i vissa sektorsspecifika unionsrättsakter finns särskilda regler för rapportering av överträdelser. Dessa rättsakter anges i en bilaga till direktivet och utgångspunkten är att dessa regler ska gälla i stället för direktivet. Dock ska direktivets bestämmelser gälla för frågor som inte på ett obligatoriskt sätt (eng. mandatorily) är reglerade i rättsakterna i bilagan. Den aktuella bilagan innehåller ett antal rättsakter på framför allt finansmarknadsområdet, men även rättsakter som rör transportsäkerhet och miljöskydd. Hur de sektorsspecifika unionsrättsakterna har genomförts i svensk rätt och hur dessa rättsakter förhåller sig till visselblåsardirektivet behöver analyseras närmare för att eventuella behov av anpassningar av svensk rätt ska kunna identifieras.

Ett skydd för bl.a. anställda som röjer företagshemligheter i syfte att avslöja missförhållanden finns även i lagen (2018:558) om företagshemligheter. Lagen genomför delvis direktiv (EU) 2016/943 om skydd mot att icke röjd know-how och företagsinformation (företagshemligheter) olagligen anskaffas, utnyttjas och röjs.

Utredaren ska

. analysera direktivets bestämmelser i förhållande till de sektorsspecifika unionsrättsakter som nämns i bilagan till direktivet och de svenska författningar som har införts för att genomföra nämnda rättsakter,

. bedöma om de svenska författningarna behöver ändras,

. analysera hur skyddet i lagen om företagshemligheter för bl.a. anställda som röjer företagshemligheter i syfte att avslöja missförhållanden förhåller sig till visselblåsardirektivet och

. utarbeta nödvändiga författningsförslag.

När förslagen utarbetas bör utredaren överväga om förhållandet mellan direktivets bestämmelser och befintlig sektorsspecifik reglering om skydd för rapporterande personer kan komma till uttryck genom en generell bestämmelse, snarare än genom ändringar i respektive sektorsspecifikt regelverk. Utredaren bör i första hand lägga fram förslag som innebär att avvägningen mellan skyddet för visselblåsare och skyddet för företagshemligheter i lagen om företagshemligheter inte ändras, i den mån visselblåsardirektivet tillåter det.

Åtgärder för att skydda rapporterande personer

Direktivet gäller rapporterande personer som arbetar i privat eller offentlig sektor och som har fått tillgång till information i ett arbetsrelaterat sammanhang. Personkretsen omfattar, förutom arbetstagare i den mening som avses i fördraget om den europeiska unionens funktionssätt, även bl.a. aktieägare och volontärer.

Direktivet skiljer mellan intern rapportering som avser rapportering i särskilda kanaler hos berörd aktör och extern rapportering som innebär att en anmälan sker till behörig myndighet samt utlämnanden, dvs. att information om misstänkta överträdelser görs tillgänglig för allmänheten. Enligt direktivet ska rapportering som huvudregel ske internt eller externt i första hand innan några utlämnanden får ske. För såväl intern och extern rapportering som för utlämnanden gäller även vissa andra krav för att en rapporterande person ska omfattas av skyddet mot repressalier enligt direktivet, t.ex. att rapporterande personer ska ha rimliga skäl att tro att informationen som de rapporterade om var riktig vid tidpunkten för rapporteringen.

Enligt direktivet ska medlemsstaterna vidta nödvändiga åtgärder för att förbjuda alla former av repressalier som vidtas för att en person har rapporterat i enlighet med direktivet. I direktivet finns ett antal exempel på åtgärder som utgör repressalier.

I skälen till direktivet finns skrivningar som tyder på att direktivet syftar till att ge skydd för personer som rapporterar eller gör utlämnanden om överträdelser som är skadliga för allmänintresset och att vissa överträdelser kan ses som mindre allvarliga. Detta väcker frågan om skyddet för rapporterande personer bör avse alla typer av överträdelser inom det materiella tillämpningsområdet eller om det kan begränsas till vissa typer av överträdelser.

Direktivet innehåller även bestämmelser om andra skyddsåtgärder för rapporterande personer som medlemsstaterna ska följa. Exempelvis ska rapporterande personer under vissa förutsättningar inte hållas ansvariga för att ha brutit mot olika restriktioner som kan gälla mot utlämnade av information. Detta hindrar dock inte t.ex. att rapporterande personer kan hållas ansvariga för utlämnande av information i vissa fall. Vidare ska den omständigheten att rapportering har skett enligt direktivet kunna åberopas i eventuella efterföljande processer, t.ex. om förtal, upphovsrättsintrång, röjande av företagshemligheter och brott mot regelverk som rör dataskydd eller arbetsrätt. Det finns även en bevisregel som under vissa förutsättningar ger en bevislättnad för rapporterande personer. Direktivet innebär även att rättigheterna och rättsmedlen enligt direktivet inte får upphävas eller begränsas genom avtal av något slag.

Rapporterande personer ska också i lämplig utsträckning ha tillgång till stödåtgärder i form av bl.a. information och rådgivning. Den rådgivning som rapporterande personer ska ha tillgång till behöver inte vara rättslig till sin natur. De stödåtgärder som rapporterande personer ska ha tillgång till måste inte nödvändigtvis tillgodoses av myndigheter.

Ovan nämnda bestämmelser i direktivet avviker från vad som gäller enligt svensk rätt i flera avseenden, t.ex. när det gäller vilka personer som kan få skydd och förutsättningarna för detta (jfr regleringen i visselblåsarlagen). Det krävs därför en analys av i vilken utsträckning svensk rätt behöver anpassas på grund av dessa bestämmelser.

Utredaren ska

. bedöma i förhållande till vilken personkrets reglerna ska gälla,

. analysera och ta ställning till hur direktivets bestämmelser om repressalieskydd och övriga skyddsåtgärder för rapporterande personer kan genomföras i svensk rätt,

. bedöma om skyddet ska gälla rapportering om alla typer av överträdelser inom tillämpningsområdet eller om det ska krävas att det är fråga om överträdelser av ett visst kvalificerat slag, och i så fall vilka överträdelser som ska omfattas,

. bedöma om direktivets bestämmelser om stödåtgärder för rapporterande personer kräver författningsåtgärder och

. utarbeta nödvändiga författningsförslag.

Utredaren bör ta ställning till om de stödåtgärder som behöver finnas i vissa fall kan tillgodoses helt eller delvis av någon annan aktör än en myndighet i vissa fall, t.ex. av arbetsmarknadens parter.

Åtgärder för att skydda berörda personer

Direktivet innebär att medlemsstaterna ska säkerställa vissa rättigheter även för berörda personer, dvs. fysiska eller juridiska personer som i en rapport eller ett utlämnande till allmänheten anges som en person som har gjort sig skyldig till eller har anknytning till en överträdelse. Skyddet för berörda personer gäller bl.a. uppgifter om deras identitet i samband med hanteringen av interna och externa rapporter. Liksom när det gäller bestämmelserna om utformning av interna och externa kanaler väcker direktivet i denna del frågor om behov av anpassningar av offentlighets- och sekretessregleringen och dataskyddsregleringen.

Utredaren ska

. bedöma om direktivets bestämmelser om åtgärder till skydd för berörda personer kräver några författningsåtgärder och

. utarbeta nödvändiga författningsförslag.

Inrätta och utforma interna och externa kanaler och följa upp rapporteringen

Direktivet innebär att det hos rättsliga enheter (nedan aktörer) i privat sektor med minst 50 anställda ska inrättas särskilda funktioner dit rapporterande personer kan vända sig för att rapportera om överträdelser (interna kanaler). Direktivet innehåller också en särskild bestämmelse om att detta tröskelvärde inte ska gälla för aktörer vars verksamhet regleras av vissa sektorsspecifika rättsakter. Medlemsstaterna får kräva att det ska införas interna kanaler även hos aktörer med färre än 50 anställda. Det finns vidare möjlighet för aktörer av en viss storlek i privat sektor att ha vissa gemensamma funktioner.

När det gäller offentlig sektor är utgångspunkten att myndigheter och andra aktörer på statlig, regional och kommunal nivå ska inrätta interna kanaler. Undantag får dock göras för aktörer med färre än 50 anställda. När det gäller kommuner får även de med färre än 10 000 invånare undantas. Vidare får kommuner inrätta gemensamma kanaler, dock med vissa begränsningar.

Både för aktörer i privat och offentlig sektor medger direktivet under vissa förutsättningar att en tredje part ges i uppdrag att hantera de interna kanalerna för aktörernas räkning.

Det finns i dagsläget inte någon generell skyldighet för aktörer i privat eller offentlig sektor att inrätta interna kanaler eller andra typer av visselblåsarfunktioner.

Rapporterande personer ska också ha rätt att välja att rapportera direkt via externa kanaler som ska finnas vid behöriga myndigheter. Det är upp till medlemsstaterna att utse de myndigheter som ska vara behöriga att ta emot externa rapporter enligt direktivet. Någon generell skyldighet för myndigheter att ha externa rapporteringsfunktioner finns inte enligt gällande rätt, även om det finns exempel på myndigheter som har funktioner för att ta emot information om påstådda regelöverträdelser, t.ex. Finansinspektionen, se förordningen (2016:1318) om Finansinspektionens rutiner för mottagande av anmälningar om regelöverträdelser.

Direktivet innehåller relativt detaljerade bestämmelser om hur de interna och externa kanalerna ska utformas, bl.a. om hur rapportering ska kunna ske och hur rapporter ska följas upp. Medlemsstaterna är vidare skyldiga att säkerställa att vissa uppgifter behandlas konfidentiellt och att den personuppgiftsbehandling som sker enligt direktivet är förenlig med viss gällande reglering på området. Såväl behöriga myndigheter som övriga berörda aktörer i offentlig och privat sektor är vidare skyldiga att dokumentera mottagna rapporter på visst sätt. Detta väcker bl.a. frågor om behov av ändringar i offentlighets- och sekretessregleringen och av författningsåtgärder i dataskyddsrättsligt hänseende, t.ex. för att säkerställa att berörda aktörer har rättsligt stöd för nödvändig personuppgiftsbehandling i samband med hanteringen av rapporter.

Utredaren ska

. bedöma vilka aktörer som ska omfattas av kravet på interna kanaler,

. utreda förutsättningarna för att aktörer ska kunna ha gemensamma funktioner och kunna anlita tredje part för att hantera interna kanaler,

. bedöma och ta ställning till vilken eller vilka myndigheter som ska inrätta externa kanaler,

. utreda och ta ställning till i vilken utsträckning direktivets regler om utformningen av interna och externa kanaler och om hantering och uppföljning av rapporter kräver författningsåtgärder och

. utarbeta nödvändiga författningsförslag.

Utgångspunkten bör vara ett krav på interna kanaler för aktörer med minst 50 anställda, både inom privat och offentlig sektor. Den möjlighet som direktivet ger att inom privat sektor införa ett krav på interna kanaler för aktörer med färre än 50 anställda bör alltså som utgångspunkt inte användas. Reglering av kommunal verksamhet är som utgångspunkt generell, vilket dock inte hindrar att utredningen kan överväga om även kommuner med färre än 10 000 invånare bör undantas från kravet på att inrätta interna kanaler. När det gäller offentlig sektor i övrigt bör utgångspunkten vara att den möjlighet som direktivet ger att undanta aktörer med färre än 50 anställda ska användas.

Något tröskelvärde om 50 anställda gäller dock inte enligt direktivet för de aktörer som berörs av en viss sektorsspecifik reglering, vilket behöver analyseras särskilt.

Utredaren bör också utforma förslagen på så sätt att berörda aktörer ges utrymme att inrätta gemensamma kanaler och att anlita tredje part för att hantera de interna kanalerna, i den utsträckning direktivet medger detta. Direktivets bestämmelser i denna del behöver analyseras bl.a. utifrån dataskyddsregleringen och, när det gäller offentlig sektor, offentlighets- och sekretessregleringen.

Enligt direktivet ska det finnas externa kanaler för rapportering av överträdelser, bl.a. vad gäller statligt stöd. Sådana kanaler kan inrättas på central nivå inom den statliga förvaltningen. Utredaren bör i första hand överväga att genomförandet i denna del ska ske genom den funktion för hantering av anmälningar om statligt stöd som i dag finns vid Regeringskansliet (Näringsdepartementet) och som ansvarar för Sveriges kommunikation med EU-kommissionen i statsstödsärenden.

Utredaren bör också, i den utsträckning det bedöms vara lämpligt, utarbeta förslag som tar tillvara de möjligheter som finns i direktivet att under vissa förutsättningar begränsa myndigheters skyldigheter att följa upp rapporter.

Effektiva, proportionerliga och avskräckande sanktioner

Enligt direktivet ska medlemsstaterna föreskriva effektiva, proportionerliga och avskräckande sanktioner mot fysiska och juridiska personer i vissa fall. Sanktioner ska t.ex. kunna beslutas gentemot den som hindrar eller försöker hindra rapportering eller utsätter rapporterande personer för repressalier. Sanktioner ska också kunna beslutas gentemot rapporterande personer under vissa förutsättningar. Sanktionerna kan vara straffrättsliga, civilrättsliga eller administrativa.

Utredaren ska

. bedöma i vilken utsträckning svensk rätt uppfyller de krav som direktivet ställer vad gäller sanktioner och

. utarbeta nödvändiga författningsförslag.

Utredaren ska identifiera vilka eventuella sanktionsmöjligheter som redan finns enligt svensk rätt i aktuella fall och i vilken utsträckning dessa uppfyller direktivets krav. Om svensk rätt inte bedöms uppfylla de krav som direktivet ställer bör utredaren i första hand överväga om tillämpningsområdet för existerande sanktionsmöjligheter i form av skadestånd ska utökas. Utredaren bör föreslå nya sanktionsformer endast i den mån det bedöms vara nödvändigt för att tillgodose direktivets krav.

Konsekvensbeskrivningar

Utredarens beslutsunderlag och eventuella åtgärder och metoder ska följa kommittéförordningens (1998:1474) krav på konsekvensbeskrivningar och kostnadsberäkningar och förordningen (2007:1244) om konsekvensutredning vid regelgivning. Utredaren ska också bedöma om förslagen är förenliga med Sveriges internationella åtaganden. I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitets-prövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyrelsen ska därför, utöver förslagens konsekvenser, också de särskilda avvägningar som har lett fram till förslagen särskilt redovisas.

Kontakter och redovisning av uppdraget

Utredaren ska hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och inom EU. Utredaren ska i sitt arbete föra en dialog med och inhämta synpunkter från myndigheter, näringsliv, arbetsmarknadens parter och andra organisationer, t.ex. inom det civila samhället, i den utsträckning som det behövs och bedöms lämpligt.

Uppdraget ska redovisas senast den 29 maj 2020.

     (Arbetsmarknadsdepartementet)