Det är en av de vanligaste frågorna i internationella koncerner:

Kan moderbolaget hantera alla visselblåsarrapporter för hela koncernen?

Svaret är:

Ja – men inte utan förutsättningar.

Utgångspunkten finns i EU-direktiv (EU) 2019/1937.

1. Skyldigheten gäller per juridisk enhet

Direktivet anger att rättsliga enheter i den privata sektorn med 50 eller fler arbetstagare ska inrätta interna kanaler och förfaranden för rapportering (artikel 8).

Detta gäller per rättslig enhet.

Det innebär att:

• Ett dotterbolag med 60 anställda omfattas av skyldigheten.

• Ett moderbolag med 10 anställda omfattas inte enbart på grund av koncernens totala storlek.

Direktivet talar inte om ”koncerner” som en gemensam juridisk skyldighetsbärare.

Skyldigheten är kopplad till varje enskild juridisk person.

2. Får koncernen centralisera funktionen?

Ja.

Direktivet förbjuder inte att rapporteringsfunktionen organiseras gemensamt inom en koncern.

I praktiken kan det innebära att:

• Ett moderbolag tar emot rapporter för dotterbolag.

• En gemensam koncernplattform används.

• En central compliance- eller legal-funktion hanterar ärenden.

Men detta förändrar inte det grundläggande ansvaret.

Varje juridisk enhet måste kunna säkerställa att:

• Rapportering är möjlig.

• Kraven på konfidentialitet uppfylls.

• Återkoppling sker inom föreskriven tid.

• Uppföljning genomförs korrekt.

Centralisering får inte urholka dessa krav.

3. Konfidentialitet och oberoende

Direktivet ställer tydliga krav på:

• Sekretess kring den rapporterande personens identitet.

• Begränsad åtkomst till uppgifter.

• Skydd mot repressalier.

Vid koncernlösningar uppstår särskilda frågor:

• Vem har tillgång till informationen?

• Kan lokal ledning få insyn i känsliga ärenden?

• Hur hanteras ärenden som rör moderbolagets ledning?

En central funktion kan stärka oberoendet – men bara om strukturen är genomtänkt.

4. Små dotterbolag i stora koncerner

En vanlig situation är:

• Koncernen har tusentals anställda.

• Ett dotterbolag har 20 anställda.

Om dotterbolaget har färre än 50 anställda omfattas det i normalfallet inte av skyldigheten att inrätta en egen intern kanal enligt direktivet.

Men:

Om koncernen väljer att erbjuda en gemensam funktion kan även dessa bolag omfattas praktiskt.

Det är tillåtet – och ofta klokt – men det är ett frivilligt organisatoriskt val snarare än ett direkt lagkrav på EU-nivå.

5. Vem bär ansvaret vid brister?

Det är en avgörande fråga.

Även om mottagandet sker centralt måste varje juridisk enhet kunna visa att:

• Kraven enligt direktivet är uppfyllda.

• Uppföljning sker korrekt.

• Skyddet mot repressalier säkerställs lokalt.

En koncernstruktur förändrar inte det juridiska ansvaret på enhetsnivå.

Slutsats

Får moderbolaget hantera alla visselblåsarrapporter?

Ja – det är möjligt att centralisera funktionen inom en koncern.

Men:

• Skyldigheten att ha en funktion gäller per juridisk enhet.

• Centralisering får inte minska kraven på konfidentialitet, återkoppling och uppföljning.

• Ansvar kan inte helt ”flyttas upp” till koncernnivå.

En koncernlösning kräver därför tydlig struktur, klara mandat och dokumenterad ansvarsfördelning.