Uppförandekod – juridisk betydelse, ansvar och avtalsrisk

Närbild på tangentbordstangent med utropstecken och siffran 1.

En uppförandekod är ett centralt styrdokument för hur ett bolag ska agera ansvarsfullt i affärer, organisation och leverantörsled. För leverantörer blir den särskilt viktig när kundens uppförandekod görs till en del av avtalet för en IT-tjänst, SaaS-lösning eller konsultleverans. Rätt hanterad kan den vara ett rimligt compliance-krav. Fel hanterad kan den skapa otydligt scope, utökade garantier, felansvar och avtalsbrottsrisk.

Det blir allt vanligare att både större och mindre bolag tar fram egna uppförandekoder. Drivkrafterna är tydliga: kundkrav, investerarkrav, hållbarhetsrapportering, regulatorisk utveckling, krav från offentliga upphandlingar och ökad granskning av leverantörskedjor.

Men en uppförandekod väcker också juridiska frågor. Är den bindande? Kan den användas mot leverantörer? Vad gäller internt mot anställda? Och när kan högt ställda hållbarhetslöften bli en marknadsrättslig risk?

Lästid: 5 minuter.

Varför behövs en uppförandekod?

En uppförandekod, ofta kallad Code of Conduct, beskriver de grundläggande principer som ska styra hur verksamheten bedrivs. Den kan omfatta exempelvis antikorruption, mänskliga rättigheter, arbetsvillkor, diskriminering, miljö, konkurrensrätt, dataskydd, informationssäkerhet och intressekonflikter.

För ledning och styrelse fyller uppförandekoden tre praktiska funktioner:

  1. Den sätter miniminivån för bolagets eget agerande.
    Den tydliggör vad som är acceptabelt och oacceptabelt i verksamheten.
  2. Den skapar styrning i leverantörsledet.
    Den gör det möjligt att ställa krav på leverantörer, underleverantörer och samarbetspartners.
  3. Den fungerar som bevis på struktur och kontroll.
    Vid granskning, upphandling, due diligence, investerarfrågor eller incidenter kan en väl implementerad kod visa att bolaget arbetar systematiskt med sina risker.

Det sista är viktigt. En uppförandekod som bara publiceras på hemsidan har begränsat värde. En kod som är kopplad till utbildning, avtal, rapporteringskanaler, uppföljning och ansvarsfördelning kan däremot bli ett verkligt styrmedel.

Uppförandekoden signalerar ansvarstagande – men skapar också förväntningar

Uppförandekoder har länge använts som ett instrument för självreglering inom Corporate Social Responsibility (CSR). I dag är frågan bredare än så. Hållbarhet, regelefterlevnad och ansvarsfull leverantörsstyrning har blivit en del av bolagsstyrningen.

Det gäller särskilt för bolag som omfattas av hållbarhetsrapportering eller ingår i värdekedjor där större kunder behöver samla in information om miljö, sociala förhållanden, mänskliga rättigheter, antikorruption och styrning. EU:s utveckling inom CSRD och CSDDD gör att även bolag som inte själva omfattas direkt kan möta ökade krav från kunder, banker, investerare och koncerner.  

För beslutsfattare innebär det att uppförandekoden inte bör ses som ett isolerat policydokument. Den bör vara en del av bolagets operativa kontrollmiljö.

Intern uppförandekod eller leverantörskod

Det finns två huvudsakliga användningsområden.

En intern uppförandekod riktar sig till ledning, anställda och ibland konsulter. Den anger hur personer i organisationen ska agera i frågor som mutor, gåvor, intressekonflikter, informationssäkerhet, kundrelationer, dataskydd, arbetsmiljö och extern kommunikation.

En leverantörskod riktar sig till leverantörer och samarbetspartners. Den används ofta som en del av inköpsprocessen och bör vara kopplad till leverantörsavtal, onboarding, riskklassning och uppföljning.

Det är vanligt att bolag blandar ihop dessa två dokument. Det bör man undvika. En intern kod ska vara pedagogisk och användbar för medarbetare. En leverantörskod behöver vara mer avtalsnära, tydlig och uppföljningsbar.

Vanliga områden att reglera

En uppförandekod bör normalt omfatta de områden som är mest relevanta för bolagets riskprofil. Vanliga områden är:

  • antikorruption, gåvor och representation,
  • intressekonflikter,
  • konkurrensrätt,
  • mänskliga rättigheter,
  • förbud mot barnarbete och tvångsarbete,
  • diskriminering och likabehandling,
  • arbetsvillkor, arbetstid och arbetsmiljö,
  • miljö och klimat,
  • skatter och sociala avgifter,
  • dataskydd och informationssäkerhet,
  • konfidentialitet och hantering av bolagsinformation,
  • sanktioner och exportkontroll,
  • visselblåsning och rapportering av missförhållanden,
  • kommunikation med media, myndigheter och allmänhet.

För leverantörskoder bör man även överväga krav på underleverantörer, revisionsrätt, årlig bekräftelse, incidentrapportering och rätt att säga upp avtalet vid allvarliga överträdelser.

Hur bindande är en uppförandekod?

Det beror på hur den är utformad och hur den används.

En uppförandekod kan vara ett mjukt policydokument, ett internt styrdokument eller en del av ett bindande avtal. I kommersiella relationer är huvudregeln enkel: om koden görs till en del av avtalet kan brott mot koden också utgöra avtalsbrott.

Det kan ske genom att uppförandekoden:

  • bifogas avtalet,
  • inkorporeras genom tydlig hänvisning,
  • accepteras i leverantörsportalen,
  • undertecknas separat, eller
  • inkluderas som del av standardvillkor.

För att kraven ska få verklig avtalsrättslig betydelse bör de vara tydliga, specifika och möjliga att kontrollera. Vaga värdeord är svåra att genomdriva.

Om uppförandekoden innehåller särskilt betungande villkor, till exempel långtgående revisionsrätt, skadeståndsansvar, uppsägningsrätt eller krav som medför betydande kostnader för leverantören, bör de lyftas tydligt i avtalet eller i förhandlingen.

När leverantören åtar sig att följa kundens uppförandekod

För leverantörer kan en uppförandekod få större betydelse än vad som först framgår av avtalet. Det gäller särskilt när en IT-leverantör, SaaS-leverantör eller konsultleverantör åtar sig att följa beställarens uppförandekod som en del av de kommersiella villkoren.

I många avtal skrivs uppförandekoden in genom en kort hänvisning, exempelvis att leverantören “ska följa kundens vid var tid gällande uppförandekod”. Det kan framstå som en standardformulering, men konsekvensen kan bli betydande om koden inte är undantagen från garantier, felansvar, uppsägningsrätt eller ansvarsbegränsningar.

Problemet är ofta scope. En uppförandekod är vanligtvis framtagen för att styra beställarens interna organisation eller breda leverantörsbas. Den är inte alltid anpassad till den specifika tjänsten. För en IT-tjänst eller konsulttjänst kan koden därför innehålla krav som är otydliga, oproportionerliga eller svåra att tillämpa i praktiken.

Det kan exempelvis gälla krav på:

  • hela leverantörens koncern eller underleverantörsled,
  • generell efterlevnad av alla kundens interna policyer,
  • långtgående revisionsrätt,
  • omedelbar rapportering av alla avvikelser,
  • miljö- eller arbetsvillkorskrav som inte har koppling till tjänsten,
  • krav på processer, certifieringar eller kontroller som leverantören inte redan har,
  • rätt för kunden att säga upp avtalet vid varje överträdelse.

För leverantören kan detta innebära att ett i grunden mindre avsteg från en bred uppförandekod behandlas som avtalsbrott, även om tjänsten i övrigt levereras korrekt. Om uppförandekoden inte är uttryckligen undantagen från garantier, felansvar eller skadeståndsbestämmelser kan den också påverka leverantörens riskexponering på ett sätt som inte varit kommersiellt avsett.

Det är därför viktigt att leverantörer granskar uppförandekoden på samma sätt som andra avtalsvillkor. Särskilt bör man kontrollera:

  • om koden gäller endast för leveransen eller för hela leverantörens verksamhet,
  • om kraven omfattar koncernbolag, anställda, konsulter och underleverantörer,
  • om kunden ensidigt får ändra koden under avtalstiden,
  • om brott mot koden automatiskt utgör väsentligt avtalsbrott,
  • om överträdelser omfattas av ansvarsbegränsningen,
  • om det finns rätt till åtgärdsperiod innan uppsägning,
  • om rapporterings- och revisionskrav är rimliga för tjänsten.

En praktisk lösning är att avtalet anger att leverantören ska följa uppförandekoden i den mån den är relevant för leveransen, och att eventuella brister först ska kunna avhjälpas inom skälig tid. För mer långtgående krav bör parterna tydligt ange vilka bestämmelser som är bindande, vilka som är policyförväntningar och vilka konsekvenser som gäller vid överträdelse.

För beställaren är det samtidigt viktigt att inte använda en alltför bred uppförandekod som generell genväg till kontroll. Ju mer operativ och avtalsrättsligt relevant koden är tänkt att vara, desto tydligare behöver den vara. Annars riskerar den att skapa osäkerhet i avtalet, svåra diskussioner vid avvikelser och en obalanserad riskfördelning som leverantörer med rätta vill förhandla.

Uppförandekod mot anställda

Internt kan uppförandekoden vara ett viktigt verktyg för kultur, ledarskap och arbetsgivarstyrning. Den bör normalt ingå i onboarding, utbildning och återkommande intern kommunikation.

Det är vanligt att anställda får bekräfta att de har tagit del av uppförandekoden. Det är bra, men inte tillräckligt. För att koden ska få praktisk effekt behöver organisationen också visa hur den ska användas i konkreta situationer.

Exempelvis bör medarbetare förstå:

  • när en gåva eller representation ska godkännas,
  • hur en intressekonflikt ska rapporteras,
  • vem som får uttala sig externt,
  • hur personuppgifter och konfidentiell information ska hanteras,
  • hur misstänkta överträdelser ska eskaleras.

En uppförandekod ersätter inte arbetsrättslig analys. Men den kan vara ett viktigt underlag vid bedömningen av om en anställd har brutit mot interna regler, särskilt om koden är tydlig, kommunicerad och löpande tillämpad.

Marknadsrättslig risk: lova inte mer än ni kan hålla

En uppförandekod kan också få marknadsrättslig betydelse. Om den publiceras externt och innehåller påståenden om exempelvis hållbarhet, etik, klimat, leverantörskontroll eller mänskliga rättigheter kan den påverka hur kunder, investerare och andra intressenter uppfattar bolaget.

Det innebär att koden inte bör innehålla svepande löften som verksamheten inte kan visa stöd för.

Påståenden som “vi säkerställer att hela vår leverantörskedja är fri från barnarbete” eller “alla våra produkter är hållbara” kan skapa risk om bolaget i praktiken inte har kontroll, dokumentation och uppföljning som motsvarar påståendet.

Som utgångspunkt är marknadsföring endast vilseledande och otillbörlig om den faktiskt kan påverka en genomsnittskonsuments möjlighet att fatta välgrundade beslut. Det är dock alltid vilseledande och otillbörligt att påstå att man undertecknat en uppförandekod när så inte är fallet. Se Bilaga 1 p. 1 till direktiv 2005/29/EG.

Kasky vs Nike: falsk marknadsföring

Ett klassiskt fall gällande uppförandekoder och vilseledande marknadsföring kommer från USA och heter Kasky vs Nike. Kasky var en privatperson som hade köpt ett par sportskor från Nike. Nike hade i sin publicerade uppförandekod uppgett att de inte använder barnarbetskraft i produktionen. När en av företagets leverantörer visade sig använda barnarbete dömde domstolen Nike för vilseledande marknadsföring. Detta rättsfall ger ett tydligt uttryck för hur man vill förhindra företag från att använda uppförandekoder för att förbättra sitt anseende när påståenden däri inte stämmer. Det ska med andra ord inte gå att hävda att man är ett etiskt och hållbart företag i sin interna kod utan att det får konsekvenser när man faktiskt inte är det.

Utvecklingen inom EU och svensk marknadsrätt går tydligt mot ökade krav på att miljö- och hållbarhetspåståenden ska vara korrekta, tydliga och styrkta. EU-kommissionens arbete kring green claims syftar uttryckligen till att motverka vilseledande miljöpåståenden.

För ledningen innebär det en enkel tumregel: formulera uppförandekoden som styrning, inte som reklam.

Global Compact och internationella standarder

Global Compact är de generella rekommendationerna som företag refererar till i störst utsträckning i de internt utvecklade uppförandekoderna. Principerna lanserades av dåvarande generalsekreteraren för FN, Kofi Annan, år 1999 och utgör FN:s CSR-regelverk. Global Compact syftar till att öka näringslivets engagemang i sociala och etiska frågor på ett globalt plan och består av 10 principer. Dessa principer ska sätta ramen för företagens agerande i frågor såsom miljö, etik, korruption och mänskliga rättigheter.

Global Compact har medlemmar från drygt 150 länder, bestående av såväl företag som organisationer som alla har anslutit sig av frivillighet. Principerna är inte juridiskt bindande och det finns i dagsläget inget kontrollorgan för hur medlemmarna möter principerna i Global Compact.

Internationella standarder är användbara som struktur. Men de bör översättas till krav som passar den egna verksamheten. Annars blir koden lätt för allmän för att fungera i praktiken.

Köprättslig verkan

I Business-to-Business-relationer kan man även diskutera om det kan föreligga ett köprättsligt felansvar när ett företag inte uppfyller sina egna utfästelser i en avtalad uppförandekod. Det kan antingen aktualiseras när en leverantör inte följer en bilagd uppförandekod från beställaren eller när en beställare faktiskt har valt en leverantör på grund av dess utfästelser i sin kod.

Enligt 18 § KöpL föreligger det ett fel om varan inte stämmer överens med de uppgifter som säljaren lämnat före köpet. Uppgifterna kan röra varans egenskaper eller användning och ska kunna antas ha påverkat inköpet av varan. Frågan är om 18 § även omfattar t.ex. kraven på tillverkning och material i enlighet med Uppförandekoden. Typiska exempel vore något särskilt miljövänligt material, tillverkning under vissa specifika och socialt accepterade arbetsförhållanden eller på annat etiskt eller socialt godtagbart sätt.

Uppföljning och efterlevnad av er Uppförandekod

De organisationer som kommit längst i sitt arbete med sin Uppförandekod har processer för att 1) kommunicera kraven till berörda intressenter samt 2) följa upp efterlevnaden av Uppförandekoden.

Kommunikation kan inkludera särskilda utbildningsinsatser för personal. Beroende på ert företags fokus för Uppförandekoden kan ni kombinera utbildningen med testning och krav på godkännande. Detta tillvägagångssätt rekommenderas särskilt för viktiga compliancefunktioner såsom kring miljökrav och hantering av personuppgifter.

Det andra steget för mogna organisationer är att följa upp hur ni internt och era leverantörer i praktiken faktiskt efterlever Uppförandekoden och dess krav. Av den anledningen bör ni ha diverse instrument på plats för att rapportera missförhållanden. Dessa instrument kan vara antingen en hotline eller ett visselblåsarsystem för både internt och externt bruk. Ni kan i era leverantörsavtal lägga till en möjlighet för er att som företag genomföra stickprov eller kräva årlig rapportering rörande de viktigaste frågorna i er uppförandekod.

Uppföljning är avgörande

Den största svagheten i många uppförandekoder är inte innehållet. Det är bristen på implementering.

För att uppförandekoden ska få effekt bör bolaget ha en enkel men tydlig process för:

  • godkännande av koden på rätt nivå,
  • kommunikation till anställda och leverantörer,
  • utbildning för relevanta funktioner,
  • riskbaserad leverantörsbedömning,
  • avtalsmässig inkorporering,
  • rapportering av misstänkta överträdelser,
  • dokumenterad uppföljning,
  • konsekvenser vid bristande efterlevnad.

Det behöver inte vara tungt. För många bolag räcker det långt med en praktisk modell där högriskleverantörer får skarpare krav, viktiga interna riskområden får utbildning och ledningen regelbundet får rapportering om avvikelser.

Praktiska råd till ledningen

En uppförandekod bör inte tas fram som ett isolerat kommunikationsprojekt. Den bör förankras i juridik, inköp, HR, ledning och verksamhet.

Ställ särskilt följande frågor:

  • Vilka risker försöker vi faktiskt styra?
  • Ska koden vara intern, extern eller båda?
  • Ska den vara bindande i leverantörsavtal?
  • Vilka krav måste kunna följas upp?
  • Vilka påståenden kan vi bevisa om någon granskar oss?
  • Vem äger koden internt?
  • Hur ofta ska den uppdateras?
  • Vad händer om någon bryter mot den?

En uppförandekod som inte kan följas upp bör förenklas. En uppförandekod som innehåller externa löften utan bevisning bör stramas upp. En uppförandekod som inte är kopplad till avtal, utbildning eller processer bör implementeras på riktigt.

Hur vi hjälper leverantörer

Vi hjälper främst leverantörer att bedöma, avgränsa och förhandla uppförandekoder när de ska sälja tjänster, ingå kundavtal eller utföra uppdrag.

Det kan handla om att granska kundens uppförandekod som avtalsvillkor, bedöma om kraven är relevanta för leveransen, säkerställa att koden omfattas av ansvarsbegränsningen och undvika att breda policykrav oavsiktligt blir garantier, felansvar eller grund för uppsägning.

Vi hjälper även till med formuleringar som gör åtagandet mer proportionerligt, exempelvis att leverantören följer uppförandekoden i den mån den är relevant för tjänsten, att väsentliga brister får avhjälpas inom skälig tid och att kundens ensidiga ändringar inte automatiskt utökar leverantörens ansvar.

Målet är att leverantören ska kunna acceptera rimliga compliance-krav utan att ta på sig oklar eller oproportionerlig avtalsrisk.

, , , , , , , ,
  • Share on:

Sofia Edvardsen

Sofia Edvardsen är grundare av den affärsjuridiska byrån Sharp Cookie Advisors och är en erfaren affärsjurist inom internetjuridik och digitala affärer.

Leave a Comment

Your email address will not be published. Required fields are marked *

*