Hvad er EU's whistleblowerdirektiv, og hvem påvirker det?

torsdag den 22. juni 2023

• 8 Minutters læsetid

Whistlehub

Whistlehub content team

I de seneste år har whistleblowing fået betydelig opmærksomhed som en vigtig metode til at afsløre misconduct og sikre gennemsigtighed inden for organisationer. Hvis du driver eller arbejder for et firma i Den Europæiske Union (EU), er det afgørende at sætte dig ind i EU's whistleblowerdirektiv - en væsentlig beskyttelse for dem, der modigt rapporterer om overtrædelser af love og regler. Denne omfattende guide vil give dig en detaljeret forståelse af dette direktiv, dets indflydelse på både virksomheder og enkeltpersoner og trin mod overholdelse.

Vigtigste punkter

EU's whistleblowerdirektiv (2019/1937) giver beskyttelse til whistleblowere, der rapporterer misconduct og overtrædelser af EU's love og regler. Det dækker en bred vifte af afsløringer relateret til skattebedrageri, misconduct inden for finansielle tjenesteydelser, miljøforseelser og meget mere.
Virksomheder med mere end 50 ansatte skal etablere interne rapporteringskanaler, og fortrolighed og databeskyttelse skal til enhver tid sikres i overensstemmelse med GDPR-retningslinjer. Der er også bøder for manglende overholdelse. Virksomheder skal opdatere deres politikker og procedurer med fokus på sikkerhed, fortrolighed, foranstaltninger mod gengældelse samt samarbejde mellem HR og juridiske teams for overholdelse.
Whistleblowere har adgang til et tretrins rapporteringssystem, herunder intern rapportering inden for organisationer, ekstern rapportering til relevante nationale myndigheder og offentliggørelse, når ingen af de to første muligheder fører til passende handling eller når der er umiddelbar fare for offentlighedens interesse.
Ved at overholde direktivets centrale bestemmelser kan virksomheder sikre, at de overholder lovgivningen, der har til formål at fremme gennemsigtighed og integritet i organisationer, der opererer inden for Den Europæiske Unions jurisdiktion, samtidig med at de giver afgørende beskyttelse til enkeltpersoner, der afslører misconduct til fordel for fællesskabet.

Hvad er EU's whistleblowerdirektiv?

EU's whistleblowerdirektiv (2019/1937) er en lov, der har til formål at give beskyttelse for whistleblowere, der rapporterer misconduct og overtrædelser af EU's love og regler.

Direktivets formål

Direktivets primære formål er at opdage og forebygge misconduct og overtrædelser af love og regler i forbindelse med Den Europæiske Union ved at etablere en stærk ramme for beskyttelse af whistleblowere.

Et afgørende aspekt af dette direktiv er at sikre, at medarbejdere, jobsøgende, tidligere medarbejdere, tilhængere af whistlebloweren og endda journalister, der er involveret i rapportering af misconduct, har adgang til effektive fortrolige kanaler til at formulere deres bekymringer.

For eksempel skal virksomheder sikre, at rapporter vedrørende skattebedrageri eller hvidvaskning af penge er beskyttet i henhold til direktivet, samtidig med at virksomhederne får en klar tidsplan for bekræftelse af modtagelse af rapporter og iværksættelse af handlinger på baggrund af disse.

Centrale bestemmelser

EU's whistleblowerdirektiv indeholder flere centrale bestemmelser, der beskriver kravene, som virksomheder og organisationer skal følge. Disse centrale bestemmelser inkluderer:

Beskyttelse for en bred vifte af personer: Direktivet giver beskyttelse til medarbejdere, jobsøgende, tidligere medarbejdere, tilhængere af whistlebloweren og journalister, der rapporterer misconduct i forbindelse med EU's love.
Forpligtelse til at etablere interne rapporteringskanaler: Virksomheder med mere end 50 ansatte samt offentlige institutioner, myndigheder og kommuner med mere end 10.000 indbyggere, skal etablere robuste interne mekanismer til rapportering af misconduct.
Fortrolighed og databeskyttelse: Whistleblowerens identitet skal til enhver tid beskyttes i overensstemmelse med GDPR-retningslinjer. Alle oplysninger relateret til rapporten skal behandles i overensstemmelse med relevante regler om databeskyttelse.
Tretrins rapporteringssystem: Direktivet etablerer et system bestående af interne rapporteringskanaler inden for organisationer, eksterne rapporteringskanaler involverende relevante nationale myndigheder og offentliggørelse, når hverken de første to muligheder har ført til passende handling eller når der er umiddelbar fare for offentlighedens interesse.
Bekræftelse og tilbagemelding om rapporter: Virksomheder skal bekræfte modtagelsen af en rapport inden for syv dage, og de skal informere whistleblowere om eventuelle handlinger inden for tre måneder.
Forbud mod gengældelse: Whistleblowere bør være beskyttet mod enhver form for forskelsbehandling eller afskedigelse på grund af deres rapporteringsaktiviteter.
Bøder for manglende overholdelse: Organisationer, der ikke overholder direktivet, kan stå over for sanktioner i henhold til den nationale lovgivning om whistleblowerbeskyttelse i deres respektive medlemsstater.
Implementeringsfrister: Medlemsstaterne skulle senest den 17. december 2021 implementere de krav, der er angivet i EU's whistleblowerdirektiv, i national ret.

Ved at følge disse centrale bestemmelser kan virksomheder sikre, at de overholder denne afgørende lovgivning, der sigter mod at fremme gennemsigtighed og integritet i organisationer, der opererer inden for Den Europæiske Unions jurisdiktion.

Beskyttelse tilbudt af direktivet

EU's whistleblowerdirektiv tilbyder forskellige former for beskyttelse til whistleblowere, herunder muligheden for at foretage interne, eksterne og offentlige afsløringer af misconduct uden frygt for gengældelse eller forskelsbehandling - læs videre for at få mere at vide.

Typer af beskyttede afsløringer

EU's whistleblowerdirektiv dækker et bredt spektrum af afsløringer og sikrer, at whistleblowere, der rapporterer om enhver form for misconduct relateret til EU's love, er beskyttet. Følgende liste beskriver de forskellige typer afsløringer, der er beskyttet af direktivet.

Type afsløring	Beskrivelse
Overtrædelser af udbudsregler	Uregelmæssigheder, korruption eller svig i forbindelse med tildeling og udførelse af offentlige kontrakter.
Skatteunddragelse og skattesvindel	Ulovlige aktiviteter, der fører til unddragelse af skatter, såsom at skjule indkomst, overdrive fradrag eller forfalske dokumenter.
Misconduct inden for finansielle tjenesteydelser	Ulovlige aktiviteter inden for finanssektoren, herunder insiderhandel, markedsmanipulation, hvidvaskning af penge og overtrædelser af forbrugerbeskyttelseslove.
Miljøforseelser	Overtrædelser af miljølove og -regler, såsom ulovlig dumpning, forurening eller manglende overholdelse af emissionsstandarder.
Overtrædelser af sundheds- og sikkerhedsregler	Manglende overholdelse af sundheds- og sikkerhedskrav på arbejdspladsen, hvorved ansatte eller offentligheden bringes i fare.
Overtrædelser af databeskyttelse	Uautoriseret adgang, videregivelse eller misbrug af persondata samt manglende overholdelse af den generelle databeskyttelsesforordning (GDPR).
Produktsikkerhedsmæssige bekymringer	Produktion eller distribution af produkter, der udgør en risiko for forbrugerne, herunder fejlbehæftede eller forurenede produkter.
Virksomhedsmisconduct	Ulovlige eller etiske aktiviteter inden for en virksomhed, herunder svindel, underslæb eller insiderhandel.

Denne omfattende dækning sikrer, at whistleblowere har tillid til at rapportere en bred vifte af misconduct og støtter de overordnede mål for direktivet.

Bestemmelser for intern rapportering

EU's whistleblowerdirektiv kræver, at virksomheder etablerer interne rapporteringskanaler, hvor whistleblowere kan rapportere misconduct relateret til EU-lovgivning. Dette betyder, at organisationer skal oprette en sikker proces, hvor medarbejdere kan rejse bekymringer om potentielle overtrædelser inden for deres virksomhed uden frygt for gengældelse eller forskelsbehandling.

At implementere et effektivt internt whistleblowingsystem kan hjælpe organisationer med at identificere og håndtere risici tidligt og undgå økonomisk og reputationsmæssig skade. Modtagne rapporter skal hurtigt bekræftes ved at bekræfte modtagelsen inden for syv dage, før whistlebloweren får besked om eventuelle handlinger inden for tre måneder.

Bestemmelser for ekstern rapportering

EU's whistleblowerdirektiv giver whistleblowere mulighed for at rapportere misconduct eller overtrædelser af EU's love eksternt og giver sikre kanaler til en sådan rapportering. Sådan ekstern rapportering kan ske direkte til en kompetent myndighed, herunder tilsynsorganer og myndigheder.

Direktivet beskytter også whistleblowere, der vælger denne mulighed, ved at forbyde gengældelse fra deres arbejdsgiver eller andre parter, der er involveret i den rapporterede overtrædelse.

Eksempler på overtrædelser, der kan rapporteres eksternt, omfatter skattebedrageri, hvidvaskning af penge, overtrædelser af udbudsregler, bekymringer vedrørende produktsikkerhed, miljøovertrædelser og overtrædelser af databeskyttelse.

Bestemmelser for offentlig rapportering

EU's whistleblowerdirektiv indeholder også bestemmelser for offentlig rapportering af bekymringer i forbindelse med overtrædelser af EU's love og regler.

Direktivet sigter mod at beskytte whistleblowere, der vælger denne mulighed, ved at sikre, at de ikke udsættes for gengældelse for deres afsløringer. Denne bestemmelse er særlig vigtig for journalister og undersøgende reportere, der spiller en afgørende rolle i afsløring af misconduct relateret til emner som skattebedrageri, hvidvaskning af penge og miljøbeskyttelse.

Derudover opfordrer direktivet kompetente myndigheder til at samarbejde med whistleblowere ved at give dem praktisk vejledning om beskyttelse af identiteter og belønning af succesfulde rapporter.

Hvem påvirkes af direktivet?

Direktivet påvirker alle virksomheder med mere end 50 ansatte, offentlige institutioner, myndigheder og kommuner med 10.000 eller flere indbyggere.

Forpligtelser for virksomheder

Virksomheder har en forpligtelse til at overholde EU's whistleblowerdirektiv ved at etablere interne rapporteringskanaler for whistleblowere og beskytte dem mod gengældelse.

Virksomheder med mere end 50 ansatte skal etablere disse kanaler, mens virksomheder med 250 eller flere ansatte skal overholde kravene inden for to år efter vedtagelsen. Virksomheder med 50-250 ansatte har også yderligere to år efter implementeringen til at overholde kravene.

Virksomheder skal bekræfte modtagelsen af rapporter inden for syv dage og informere whistleblowere om eventuelle handlinger inden for tre måneder. Manglende overholdelse af fortroligheden om whistleblowerens identitet eller forhindring af rapporteringsprocessen kan resultere i sanktioner.

Virksomheder skal opdatere deres politikker og procedurer, håndtere hvordan rapporter håndteres, sikkerhed, fortrolighed og foranstaltninger mod gengældelse samt samarbejde mellem HR og juridiske teams for at overholde direktivet.

Indvirkning på medarbejdere og whistleblowere

EU's whistleblowerdirektiv har en betydelig indvirkning på medarbejdere og whistleblowere. Direktivets primære mål er at beskytte whistleblowere mod gengældelse, når de rapporterer misconduct eller overtrædelser af love og regler af offentlig interesse.

Det betyder, at medarbejdere kan rapportere ulovlige aktiviteter eller overtrædelser inden for deres arbejdsplads uden frygt for at miste deres job, blive degraderet eller stå over for forskelsbehandling.

Implementeringen af EU's whistleblowerdirektiv kræver også, at virksomheder giver tilstrækkelig beskyttelse til whistleblowere ved at etablere interne rapporteringssystemer, designe og forbedre rapporteringskanaler, sikre opfølgning på rapporter og træffe foranstaltninger mod gengældelse.

Der er derfor forskellige forpligtelser, der pålægges arbejdsgivere for at sikre beskyttelse af whistleblowere og facilitere hurtig løsning af tvister mellem arbejdsgivere/arbejdstagere/kunder/leverandører osv., der måtte ønske dem skade for at have afsløret misconduct efter denne lovgivning.

Trin til overholdelse af direktivet

For at overholde EU's whistleblowerdirektiv skal organisationer implementere interne whistleblowingsystemer, designe og forbedre rapporteringskanaler, sikre opfølgning på rapporter og beskytte whistleblowere - læs videre for at lære mere om disse vigtige trin.

Implementering af interne whistleblowingsystemer

Implementering af interne whistleblowingsystemer er et afgørende trin i overholdelsen af EU's whistleblowerdirektiv. Her er flere centrale tiltag, som organisationer kan træffe for at etablere effektive interne rapporteringskanaler:

Udpeg en dedikeret person eller afdeling til at håndtere rapporter og sikre fortrolighed.
Etablér en proces til vurdering af alvoren af rapporterede bekymringer og den rette handling at træffe.
Skab klare rapporteringskanaler, herunder hotlines, e-mailadresser og webbaserede portaler.
Udvikl standardprocedurer til undersøgelse af rapporter og opfølgning på resultater inden for fastsatte tidsrammer.
Sikre, at alle medarbejdere er klar over whistleblowingspolitikken, herunder bestemmelser om non-gengældelse og opbevaringsperioder for undersøgelsesdata.
Træn HR- og juridiske teams i, hvordan de effektivt kan reagere på whistleblower-rapporter.
Kommunikér betydningen af whistleblowing som en del af organisationens kultur for forretningsmæssig adfærd.

Disse skridt kan hjælpe organisationer med at skabe sikre rapporteringskanaler for deres medarbejdere, hvilket giver dem mulighed for at rapportere eventuelle overtrædelser af EU's love eller misconduct, de er vidner til, uden frygt for gengældelse. Ved at etablere et effektivt whistleblowingsystem kan virksomheder også identificere potentielle risikoområder tidligt og træffe proaktive foranstaltninger for at håndtere dem.

Design og forbedring af rapporteringskanaler

For at overholde EU's whistleblowerdirektiv skal organisationer have effektive rapporteringskanaler på plads, så whistleblowere kan rapportere potentiel misconduct. Her er nogle skridt, der kan overvejes, når der designes og forbedres rapporteringskanaler:

Kommuniker tydeligt de tilgængelige rapporteringsmuligheder til whistleblowere.
Sørg for sikre og fortrolige kanaler, der beskytter whistleblowernes anonymitet.
Overvej at bruge tredjepartsudbydere eller hotlines til modtagelse af rapporter og sikring af uafhængighed.
Uddan udpegede personer eller afdelinger i at håndtere rapporter og foretage undersøgelser.
Etablér klare protokoller for modtagelse, vurdering, undersøgelse og reaktion på rapporter.
Sørg for rettidig bekræftelse af modtagelse af rapporter og opfølgning på handlinger inden for fastsatte tidsrammer.
Gennemgå og forbedr rapporteringskanaler løbende baseret på feedback fra whistleblowere og erfaringer fra tidligere sager.
Overvåge interne databeskyttelsesregler som f.eks. GDPR, samtidig med at der implementeres et system til beskyttelse af whistleblowerens identitet.

Effektiv design af interne rapporteringskanaler kan styrke efterlevelseskulturen i en organisation, øge gennemsigtighed, tidlig opdagelse af potentielle overtrædelser og skabe muligheder for at opbygge tillid mellem medarbejdere og whistleblowere, blandt andre vigtige faktorer.

Sikre opfølgning på rapporter

Når en whistleblower har trådt frem, er det afgørende for virksomheder at sikre opfølgning på deres rapport. EU's whistleblowerdirektiv kræver, at virksomheder bekræfter modtagelsen af rapporten inden for syv dage og informerer whistlebloweren om eventuelle handlinger inden for tre måneder.

For eksempel kan et stort multinationalt selskab udpege et centralt compliance-team ansvarlig for modtagelse og behandling af rapporter, sikre rettidige undersøgelser og opdateringer til whistleblowere.

Der kan også være krav om rapporteringskanaler via HR- eller juridiske teams i henhold til national lovgivning om whistleblowerbeskyttelse. I begge tilfælde er det vigtigt at have klare politikker på plads, der fastlægger tidsrammer for håndtering af rapporter, beskytter fortroligheden, forbyder gengældelse mod whistleblowere, der indgiver rapporter i god tro, og fastlægger passende opbevaringsperioder for undersøgelsesdata.

Beskyttelse af whistleblowere

EU's whistleblowerdirektiv giver omfattende beskyttelse til whistleblowere, der rapporterer bekymringer relateret til overtrædelser af EU's love. Organisationer skal bl.a. sikre, at medarbejdere, der træder frem, beskyttes mod enhver form for chikane, forskelsbehandling eller ugunstig behandling som følge af deres afsløringer. Derudover har whistleblowere ret til at forblive anonyme, når de rapporterer misconduct, og de er immune over for retlige tiltag baseret på deres afsløring.

Anbefalinger til organisationer

For at overholde EU's whistleblowerdirektiv bør organisationer træffe skridt til at etablere et omfattende whistleblowingsystem, der inkluderer effektive rapporteringskanaler.

Det anbefales, at virksomheder implementerer interne rapporteringssystemer, der giver medarbejderne mulighed for at rapportere misconduct og overtrædelser af love og regler inden for deres organisation.

Udover interne rapporter skal virksomheder også etablere sikre kanaler til ekstern rapportering ved at etablere kontaktsteder som en ombudsmand eller hotline. Overholdende hotlines kan give whistleblowere mulighed for at indgive anonyme rapporter samtidig med at beskyttelse af fortrolighed, opbevaring af data og sikker håndtering af personlig information sikres.

Endelig er det vigtigt, at compliance-teams håndterer svartider omhyggeligt og sikrer en korrekt opfølgning på alle indgivne sager.

Konklusion

EU's whistleblowerdirektiv er et væsentligt redskab til at opdage og forebygge misconduct og overtrædelser af EU's love. Direktivet giver de nødvendige beskyttelser til whistleblowere, der træder frem med bekymringer om skattebedrageri, hvidvaskning af penge, overtrædelser af udbudsregler og mere.

For virksomheder og organisationer omfattet af direktivet er det afgørende at overholde dets lovmæssige krav fuldt ud.

Ved at følge de retningslinjer, der er givet i denne omfattende guide, kan virksomheder sikre deres overholdelse og samtidig fremme en kultur med integritet inden for deres organisation.

Ofte stillede spørgsmål

Hvad er formålet med EU's whistleblowerdirektiv?

Hvem beskytter EU's whistleblowerdirektiv?

Er virksomheder forpligtet til at etablere interne rapporteringskanaler?

Kan whistleblowere vælge, hvor de vil rapportere deres bekymringer?

Er der nogen forpligtelse for virksomheder angående fortrolighed af rapporter?

Hvor hurtigt skal virksomheder bekræfte modtagelsen af en whistleblower-rapport?

Hvad er de mulige sanktioner for manglende overholdelse af direktivet?

Hvordan kan jeg rapportere en overtrædelse i henhold til EU's whistleblowerdirektiv?

Hvad er konsekvenserne for arbejdsgivere, der reagerer gengældende mod whistleblowere i henhold til dette direktiv?