INTERN RAPPORTERINGSKANAL
Visselblåsarlagen förutsätter att organisationer som regelbundet har en personalstyrka på minst 50 personer inrättar en intern rapporteringskanal för rapportering av information om överträdelser och för de åtgärder som ska vidtas på basis av rapporterna. Vid genomförandet av rapporteringskanalen och behandlingen av rapporterna ska flera olika faktorer beaktas.
Organisationer som inrättar en intern rapporteringskanal ska se till att åtminstone organisationens egen personal har tillgång till kanalen. Med tanke på visselblåsarlagen kan många andra aktörer också fungera som rapporterande person. Till exempel tidigare arbetstagare, självständiga yrkesutövare eller anställda hos underleverantörer omfattas av lagens personkrets. Därför ska organisationerna noggrant bedöma om det är möjligt att även andra potentiella rapporterande personer än den egna personalen kan få tillgång till kanalen. Detta kan genomföras till exempel genom att skapa åtkomst till rapporteringskanalen på organisationens offentliga webbplats.
Rapporter som organisationerna tar emot ska införas i ett ärendehanteringsregister eller registreras på något annat sätt. Endast de som behandlar rapporterna, dvs. Sakkunniga som organisationen utsett separat, ska ha tillgång till rapporterna. Andra personers åtkomst till rapportuppgifterna ska förhindras. Rapporteringskanalen och behandlingen av rapporterna ska följa bland annat kraven i EU:s allmänna dataskyddsförordning (2016/679).
Den interna rapporteringskanalen är avsedd som ett konfidentiellt sätt att rapportera misstänkta överträdelser. Därför finns det sekretessbestämmelser i visselblåsarlagen. De uppgifter som ingår i rapporterna om den rapporterande personens identitet, identiteten för föremålet för rapporten eller en tredje part samt alla uppgifter från vilka en denna identitet kan härledas direkt eller indirekt är sekretessbelagda. Iakttagandet av sekretess förutsätter särskild noggrannhet av de personer som behandlar rapporterna.
Sekretessbelagda uppgifter får inte röjas obehörigen utan uttryckligt samtycke av den person som sekretessplikten är avsedd att skydda. Sekretessbelagda uppgifter kan dock under vissa lagstadgade förutsättningar lämnas ut, såsom till förundersökningsmyndigheter för att förebygga, avslöja, utreda och föra brott till åtalsprövning.