27.9.2021

Whistleblowing – Onko organisaationne valmis, jos pilliin puhalletaan?

Suomessa valmistellaan parhaillaan niin sanottua whistleblower-lainsäädäntöä, joka mahdollistaa ilmoittajalle organisaatioissa tapahtuvien epäiltyjen väärinkäytöksien ja mahdollisen epäeettisen toiminnan turvallisen ilmoittamisen. Valmisteilla oleva uusi lainsäädäntö velvoittaisi yksityisellä sektorilla tietyin poikkeuksin yrityksiä, jotka työllistävät säännöllisesti vähintään 50 henkilöä, perustamaan organisaation sisäinen ilmiantokanava. Kanavan kautta muun muassa yrityksen työntekijät voivat tehdä luottamuksellisesti ilmoituksia epäillyistä väärinkäytöksistä koskien tietyn lainsäädännön rikkomista.   

Uuden lainsäädännön on tarkoitus tulla voimaan 17.12.2021, jolloin myös organisaatioissa jo käytössä olevien ilmiantokanavien tulee täyttää uuden lainsäädännön vaatimukset. Lakiehdotukseen sisältyy siirtymäaika, jonka mukaan säännöllisesti 50–249 työntekijää työllistävien organisaatioiden on otettava sisäinen ilmiantokanava käyttöön viimeistään 17.12.2023.

Henkilötietojen käsittely ilmiantokanavissa

Suomessa työelämän tietosuojasääntelyssä pääsääntönä on, että työntekijää koskevat henkilötiedot tulee kerätä työntekijältä itseltään ja henkilötietoja voidaan kerätä muista lähteistä vain työntekijän suostumuksella. Tämä vaatimus on aiheuttanut haasteita ilmiantokanavien perustamiselle Suomessa. Nyt valmisteilla olevan lainsäädännön lisäksi myös työelämän tietosuojalakia on tarkoitus muuttaa siten, että työntekijän henkilötietojen kerääminen ilmiantokanavien kautta olisi jatkossa sallittua ilman asianomaisen työntekijän suostumusta.  

Jotta työnantaja voi käsitellä ilmiantokanavien kautta tehtyjä ilmoituksia ja niihin sisältyviä henkilötietoja, on ilmiantokanavan käyttöönotossa kuitenkin huomioitava tietosuojasääntelyyn ja yhteistoimintalakiin perustuvat vaatimukset. Tietosuojavelvoitteiden mukaisesti toteutettu ilmiantokanava ja asianmukainen tietosuojadokumentaatio ovat keskeisiä välineitä, joilla työnantaja voi tarvittaessa näyttää toimineensa lainsäädännön edellyttämällä tavalla käsitellessään ilmiantokanavaan tehtyjä henkilötietoja sisältäviä ilmoituksia. 

Ilmiantokanavien kautta kerättyjen henkilötietojen käsittelyä koskevat samat tietosuojavelvoitteet ja -periaatteet kuin muutakin henkilötietojen käsittelyä. Esimerkiksi henkilötietojen käsittelyn perusteet ja käyttötarkoitukset sekä säilytysajat on määriteltävä lainsäädännön edellytysten mukaisesti ja tarpeettomat henkilötiedot on poistettava. Käsittelyn kohteena olevia henkilöitä on lisäksi tiedotettava henkilötietojen käsittelystä, ja organisaation on huolehdittava käsittelyn kohteena olevien henkilöiden tietosuojalainsäädäntöön perustuvien oikeuksien toteutumisesta.  

Tietosuojavaltuutetun päätöksen mukaan rekisterinpitäjien tulee laatia ilmiantokanaviin liittyvästä henkilötietojen käsittelystä tietosuojaa koskeva vaikutustenarviointi. Vaikutustenarvioinnissa arvioidaan henkilötietojen käsittelyn tarpeellisuutta, oikeasuhteisuutta ja erityisesti henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskejä minimoidaan.

Tarvittavat toimenpiteet ilmiantokanavan käyttöönottamiseksi – mistä aloittaa?

Vaikka whistleblower-lainsäädännön valmistelu on vielä kesken, sisäisen ilmiantokanavan käyttöönottoon liittyviin toimenpiteisiin on suositeltavaa ryhtyä organisaatioissa viimeistään nyt ja laatia aluksi suunnitelma tarvittavista toimenpiteistä.

Ilmiantokanavan käyttöönotto edellyttää ainakin seuraavia toimenpiteitä:

  1. Olemassa olevien ilmoitusmenettelyjen ja -prosessien kartoittaminen ja niihin liittyvien muutostarpeiden arviointi. Erityisesti kannattaa arvioida, voidaanko ilmiantokanava rakentaa nykyisten prosessien, järjestelmien sekä resurssien pohjalta.
  2. Tietosuojaa koskevan vaikutustenarvioinnin tekeminen ilmiantokanavan osalta.
  3. Ilmiantokanavan teknisen toteutuksen sekä ilmoitusten käsittelyprosessin suunnittelu ja ohjeistusten laatiminen henkilöstölle.
  4. Henkilöstön ja muiden ilmiantokanavan piiriin kuuluvien henkilöryhmien asianmukainen informointi ilmiantokanavaan liittyvästä henkilötietojen käsittelystä, esimerkiksi laatimalla tietosuojaseloste sekä päivittämällä muu tietosuojainformaatio.
  5. Yhteistoimintalainsäädäntöön liittyvien neuvotteluvelvoitteiden täyttäminen ennen kuin päätös ilmiantokanavan käyttöönotosta ja sitä koskevasta työntekijöiden henkilötietojen käsittelystä tehdään.

Miten uusi whistleblower-sääntely vaikuttaa työnantajiin?

Uuden sääntelyn ensisijaisena tarkoituksena on suojata ilmoituksen tekijää vastatoimilta sekä asettaa ilmoitusten käsittelyä koskeville menettelyille vähimmäisvaatimukset. Uuden lainsäädännön vaatimukset täyttävä ilmiantokanava suojaa ilmoittajan lisäksi myös yritystä, sillä ilmiantokanavan avulla sen on mahdollista saada tietoa liiketoimintaa mahdollisesti uhkaavista väärinkäytöksistä ja saada tietyksi ajaksi yksinoikeus ilmoitusten käsittelyyn.  

Sisäisen ilmiantokanavan käyttöönotto ei poista työnantajan velvollisuutta huomioida myös ilmoitusten kohteena olevien työntekijöiden oikeusturva. Työnantajan on jatkossakin huolehdittava esimerkiksi siitä, että ilmoituksen kohteena olevaa työntekijää informoidaan muualta kerätyistä henkilötiedoista ennen kuin niitä käytetään työntekijää koskevassa päätöksenteossa. Ilmoituskanavan kautta tehtyjen ilmoitusten tutkinta, käsittely ja mahdolliset toimenpiteet edellyttävätkin tasapainoilua eri intressien – ilmoittajan, ilmoituksen kohteen ja työnantajan oikeuksien ja velvollisuuksien – välillä.

Ilmoittajan suoja vastatoimilta tulee korostamaan työnantajan toimimisvelvollisuutta sekä huolellisen dokumentoinnin tärkeyttä. Työnantajien tulee käytännössä pystyä osoittamaan, että sisäiseen ilmiantokanavaan tulevat ilmoitukset on käsitelty asianmukaisesti ja toisaalta, ettei ilmoittajaan ole kohdistettu kiellettyjä vastatoimia ilmoitusten takia. Lisäksi myös tietosuojavelvoitteiden noudattaminen tulee tarvittaessa pystyä osoittamaan, joka onnistuu käytännössä parhaiten huolellisella käsittelyprosessin määrittämisellä ja ilmoituksia koskevan käsittelyn dokumentoinnilla sekä asianmukaisella tietosuojadokumentaatiolla.