Riktlinjer för Bankföreningens visselblåsartjänst
1. Inledning
Svenska Bankföreningen* strävar efter en transparent verksamhet som tillgodoser högt ställda krav på förtroende och kompetens. Verksamheten ska bedrivas i enlighet med relevanta regelverk. Vidare ska verksamheten präglas av respekt för och likabehandling av alla medlemmar och medarbetare som medverkar i föreningens arbete. För att kunna uppfylla dessa ambitioner och ständigt förbättra verksamheten har föreningen dels en löpande dialog med medlemmarna inom ramen för kommittéer och arbetsgrupper, dels återkommande enkätundersökningar bland medlemmarna och deras medarbetare.
Som ytterligare en kanal för att lämna synpunkter på föreningens verksamhet tillhandahåller föreningen också en visselblåsartjänst, som beskrivs närmare i dessa riktlinjer. Visselblåsartjänsten erbjuder en möjlighet att rapportera misstankar om brister eller missförhållanden. Syftet med tjänsten är att vi ska kunna upptäcka och åtgärda brister i ett tidigt skede och därmed upprätthålla ett högt förtroende för vår verksamhet.
Visselblåsarmeddelanden kan lämnas öppet eller anonymt.
Synpunkter som gäller enskilda bankers handlande ska inte anmälas via denna tjänst (se avsnitt 2b).
2 a. Vad kan man visselblåsa om?
Föreningen ser helst att kritik mot och synpunkter på föreningens verksamhet framförs öppet och direkt till berörda chefer eller medarbetare på föreningen. Visselblåsartjänsten kan också användas i sådana fall, men den är i första hand avsedd för dem som vill framföra synpunkter anonymt.
Visselblåsartjänsten kan användas för att uppmärksamma oss på brister i vår verksamhet som kan få negativa effekter på finansmarknadens funktionssätt, enskilda medlemmars eller föreningens verksamhet, eller negativt påverka andra enskilda eller allmänna intressen på finansmarknaden. Häri ingår agerande som kan skada förtroendet.
De delar av föreningens verksamhet som kan bli föremål för visselblåsning är till exempel:
- det sakliga innehållet i föreningens rekommendationer, formulär med mera, såsom att olämpliga förfaranden rekommenderas (är inte i linje med lagstiftningen, hämmar konkurrensen, skadar konsumenter eller andra allmänna intressen)
- processen för framtagande av ståndpunkter, rekommendationer, formulär med mera
- föreningens agerande utåt
- föreningens interna arbete
- bankgemensamma projekt, bankinfrastruktur eller liknande
En person som skickar ett meddelande genom visselblåsartjänsten behöver inte ha bevis för sin misstanke. Inga anklagelser får dock göras med skadligt uppsåt eller med vetskap om att anklagelsen är falsk.
Vi ber medarbetare på Bankföreningen att i första hand ta upp ärenden såsom missnöje på arbetsplatsen eller relaterade frågor med en chef eller HR-avdelningen.
2 b. Vad man inte bör visselblåsa om i denna tjänst
Synpunkter på eller kritik mot enskilda bankers agerande på finansmarknaden eller deras tillämpning av föreningens rekommendationer med mera ska anmälas till respektive bank. Bankerna har egna visselblåsningssystem där anmälningar kan göras anonymt.
Den som har misstankar om att en bank eller ett annat företag, som står under tillsyn av Finansinspektionen, bryter mot lag eller föreskrifter kan anmäla det till Finansinspektionen.
3. Allmänt om visselblåsartjänsten
Visselblåsarkanalen hanteras av WhistleB, en extern tjänsteleverantör. Alla meddelanden är krypterade. För att säkerställa anonymiteten sparar WhistleB inte IP-adresser eller annan metadata, (det vill säga data som kan härledas till personen som skickat meddelandet). Personen som skickar ett meddelade förblir anonym även i en fortsatt dialog med de ansvariga mottagarna av meddelanden.
Bankföreningens VD är ytterst ansvarig för visselblåsartjänsten. För utredning och beredning av anmälningar som kommer in via tjänsten har en fristående extern uppdragstagare anlitats för att så långt möjligt få en objektiv bedömning och begränsa risken för att en anmälan skapar intressekonflikter. En särskild beredningsgrupp har tillsatts för att bistå uppdragstagaren. I beredningsgruppen ingår en företrädare för Bankföreningens ledningsgrupp (normalt chefsjuristen), chefsjurist eller motsvarande från den medlemsbank som vid var tid innehar ordförandeposten i Bankföreningens styrelse, en oberoende ledamot samt uppdragstagaren.
4. Hur anmälan görs och hanteras
Anmälan görs via en webbtjänst, som nås via en länk på Bankföreningens hemsida. Webbtjänsten är krypterad och lösenordskyddad för anonym rapportering och dialog. Tjänsten är alltid tillgänglig.
Anmälan registreras i webbtjänsten. Uppdragstagaren notifieras automatiskt när en anmälan kommit in. Anmälaren erhåller ett personligt lösenord, som gör det möjligt att lämna kompletterande uppgifter och ta del av information från uppdragstagaren om hanteringen av anmälan.
Anmälan bör innehålla en så fullständig beskrivning som möjligt av det förhållande som anmäls och en redogörelse för varför detta kan anses visa på en brist i verksamheten som kan få negativa effekter på sätt som nämns i punkten 2 a. ovan. Om en enskild person nämns bör inte känsliga uppgifter om denna lämnas om det inte behövs för att förklara din misstanke. En anmälan som innefattar misstanke om lagöverträdelse behandlas endast om den avser en person i nyckelställning eller ledande position i föreningen och i övrigt faller inom ramen för Integritetsskyddsmyndighetens (tidigare Datainspektionen) föreskrift (DIFS 2018:2) om behandling av personuppgifter som rör lagöverträdelser.
Vid mottagandet av en anmälan beslutar uppdragstagaren om anmälan ska godkännas eller avvisas. Om anmälan godkänns vidtas lämpliga åtgärder för utredning, se Utredning nedan.
Uppdragstagaren kan avstå från att vidare utreda en anmälan om:
- anmälan inte faller inom ramen för dessa Riktlinjer för visselblåsartjänsten,
- anmälan har gjorts med skadligt uppsåt eller med vetskap om att anklagelsen är falsk,
- det inte finns tillräcklig information för att utreda ärendet,
- ärendet som anmälan berör redan har åtgärdats.
Om en anmälan inte omfattas av dessa Riktlinjer för visselblåsning, informerar uppdragstagaren anmälaren om detta och meddelar – om så bedöms lämpligt – vart anmälan istället bör riktas.
Uppdragstagaren lämnar feedback inom högst tre månader efter det att anmälan mottagits.
5. Utredning av anmälan
Samtliga visselblåsarmeddelanden behandlas noga och i enlighet med dessa riktlinjer.
- Varken uppdragstagaren eller någon annan person som deltar i utredningsprocessen kommer att försöka identifiera visselblåsaren.
- Uppdragstagaren kan vid behov skicka uppföljningsfrågor genom visselblåsarkanalen för kommunikation med en anonym visselblåsare.
- En anmälan utreds inte av någon som är berörd eller inblandad i ärendet.
- Uppdragstagaren beslutar tillsammans med beredningsgruppen (se ovan punkten 3) när och hur ett visselblåsarärende ska eskaleras.
- Visselblåsaranmälningar hanteras konfidentiellt av alla som är involverade. Deras aktiviteter loggas och hanteringen är konfidentiell.
- Vid behov kan personer som tillför expertis inkluderas i utredningen. Dessa personer får tillgång till relevant data och förbinder sig till sekretess.
Efter genomförd utredning lämnar Uppdragstagaren ett förslag till beredningsgruppen om huruvida anmälan bör föranleda någon åtgärd eller inte och vad en eventuell åtgärd bör innebära. Beroende på omständigheterna i det enskilda fallet kan anmälan föranleda återkoppling och förslag till åtgärd riktad till berörd avdelningschef, kommitté eller föreningens ledning.
6. Övriga regler för tjänsten
Skydd för visselblåsare som är öppen med sin identitet
En visselblåsare som uttrycker en genuin misstanke eller farhåga enligt dessa riktlinjer riskerar inte att förlora sitt jobb eller att drabbas av någon form av sanktioner eller personliga nackdelar till följd av sin anmälan. Det spelar ingen roll om misstanken visar sig vara felaktig, förutsatt att visselblåsaren inte handlat med skadligt uppsåt eller med vetskap om att anklagelsen är falsk. Såvida det inte är olämpligt med hänsyn till den utpekades integritet och andra sekretessfrågor kommer en visselblåsare som väljer att uppge sin identitet att informeras om hur utredningen fortlöper.
Skydd av, och information till, en person som pekas ut i ett visselblåsarmeddelande
Rättigheterna för de personer som pekas ut inom ramen för visselblåsartjänsten omfattas av relevant dataskyddslagstiftning. De utpekade har rätt att få tillgång till uppgifter om sig själva och kan kräva ändring eller radering av data om informationen är felaktig, ofullständig eller föråldrad.
Denna rättighet gäller med förbehåll för att detta inte leder till hinder för utredningen eller förstörelse av bevismaterial.
Radering av data
Persondata som inkluderats i visselblåsarmeddelanden och utredningsdokumentation ska raderas vid avslutad utredning, med undantag för om persondata bör sparas med hänvisning till annan relevant lagstiftning. Radering sker 30 dagar efter avslutad utredning.
Utredningsdokumentation och visselblåsarmeddelanden som arkiveras ska anonymiseras, de får inte innehålla personuppgifter genom vilka personer direkt eller indirekt kan identifieras.
7. Rättslig grund för riktlinjerna
Dessa riktlinjer är baserade på dataskyddsförordningen GDPR, EU-direktivet om stärkt visselblåsarskydd, samt Datainspektionens riktlinjer (Sverige).
8. Överföring av personuppgifter utanför EES
All data lagras inom EU. Det finns ett generellt förbud mot överföring av personuppgifter från Europeiska ekonomiska samarbetsområdet (EES) såvida inte särskilda bestämmelser om skydd för hantering av data kan garanteras.
* Med Bankföreningen/föreningen avses i detta dokument utöver föreningen också dess dotterbolag.