27.9.2023

Whistleblowing ja tietosuoja – mikä organisaatioita tyypillisesti askarruttaa?

Vuoden alusta tuli voimaan EU:n whistleblowing-direktiiviin pohjautuva laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta. Tämä niin kutsuttu ilmoittajansuojelulaki velvoittaa tietyin siirtymäajoin esimerkiksi suuret ja keskisuuret yritykset sekä julkisen sektorin toimijat perustamaan organisaation sisäisen ilmoituskanavan, jonka kautta muun muassa työntekijät ja tietyt muut sidosryhmät voivat ilmoittaa epäillyistä väärinkäytöksistä. Ilmoituskanavan perustamisvelvollisuutta koskevat siirtymäajat päättyvät 17.12.2023, joten viimeistään nyt on suositeltavaa aloittaa ilmoituskanavan käyttöönotto tai varmistaa, että organisaation ilmoituskanava täyttää ilmoittajansuojelulain vaatimukset.

Ilmoittajansuojelulaki asettaa uusia vaatimuksia, jotka liittyvät esimerkiksi ilmoituskanavaa koskevaan informointiin, ilmoitusten käsittelyyn ja ilmoituksen tehneen henkilön suojaamiseen. Tässä blogissa pureudumme muutamaan tietosuojaan liittyvään kysymykseen, jotka ovat askarruttaneet organisaatioita niiden ottaessa ilmoituskanavia käyttöön.

Ilmoittajansuojelulain vaatimusten ohella on tärkeää, että ilmoituskanava ja ilmoitusten käsittely toteutetaan tietosuojalainsäädännön reunaehtojen mukaisesti. Jotta ilmoituksia ja niihin sisältyviä henkilötietoja voidaan ylipäätään käsitellä laillisesti, jo kanavan käyttöönotossa on huomioitava tietosuojasääntelyn vaatimukset. Tietosuojavelvoitteiden mukaisesti toteutettu ilmoituskanava ja asianmukainen tietosuojadokumentaatio ovat myös keskeistä sen kannalta, että organisaatio voi tarvittaessa näyttää toimineensa lainsäädännön edellyttämällä tavalla.

Mitä tietosuoja-asioista tulee ottaa huomioon ilmoituskanavan käyttöönotossa?

Suunniteltaessa ilmoituskanavan käyttöönottoa ja ilmoitusten käsittelyprosessia organisaation tulee määrittää henkilötietojen käsittelyn perusteet ja käyttötarkoitukset. Käyttötarkoitusten ja käsittelyperusteiden määrittämiseen vaikuttaa esimerkiksi se, onko ilmoituskanavaa tarkoitus käyttää vain ilmoittajansuojelulain mukaisista rikkeistä ilmoittamiseen vai myös muista rikkomusepäilyistä kuten työsuhdeasioista tai organisaation sisäisten ohjeistusten rikkomisesta ilmoittamiseen. Käsittelytarkoitukset ja -perusteet tulee dokumentoida osana henkilötietojen käsittelyn kuvausta esimerkiksi käsittelytoimia koskevaan selosteeseen, tietovarantokuvaukseen tai muuhun vastaavaan sisäiseen tietosuoja-asiakirjaan.  

Kaikkia henkilötietojen käsittelyn kohteena olevia henkilöitä tulee informoida lainsäädännön edellyttämällä tavalla sekä huolehtia tietosuojalainsäädäntöön perustuvien oikeuksien toteutumisesta. Nämä velvollisuudet tulee täyttää ilmoittajan ohella myös esimerkiksi ilmoituksen kohdehenkilön ja mahdollisten muiden tutkintaan osallistuvien henkilöiden osalta. Suunniteltaessa rekisteröityjen oikeuksia koskevia sisäisiä prosesseja tulee huomioida, että ilmoittajansuojelulaki rajaa tietyiltä osin rekisteröidyn oikeuksia, kuten oikeutta tarkastaa omat henkilötietonsa.

Lisäksi ennen ilmoituskanavan käyttöönottoa tulee laatia tietosuojalainsäädännön mukainen tietosuojaa koskeva vaikutustenarviointi. Tietosuojaa koskeva vaikutustenarviointi on eräänlainen organisaation sisäinen riskiarvio, johon tulee kuvata ilmoituskanavaan liittyvä henkilötietojen käsittely, arvioida käsittelyn tarpeellisuus ja oikeasuhteisuus sekä etenkin arvioida henkilötietojen käsittelystä aiheutuvia riskejä ja tarvittavia toimenpiteitä, joilla näitä riskejä voidaan minimoida.

Mikäli organisaatio on yhteistoimintalain piirissä, tulee ilmoituskanavaan liittyvä henkilötietojen käsittely käydä läpi henkilöstön kanssa yhteistoimintalain mukaisessa vuoropuhelussa ennen kuin ilmoituskanavan käyttöönotosta voidaan tehdä päätös. Vuoropuhelu on myös usein hyvä tilaisuus käydä esimerkiksi ilmoituskanavaa varten laadittu tietosuojadokumentaatio läpi yhdessä henkilöstön kanssa.

Mitä tietosuojavelvoitteita tulee huomioida ilmoitusten käsittelyssä?

Ilmoitusten käsittelyprosessi ja materiaalien säilyttäminen tulee järjestää siten, että pääsy niihin on rajattu riittävin teknisin ja organisatorisin suojakeinoin vain ilmoitusten käsittelyyn oikeutetuille tahoille. Tämä koskee ilmoituksen lisäksi kaikkea muuta tutkintaan liittyvää materiaalia kuten mahdollisia sisäisiä sähköposteja ja esimerkiksi haastattelumuistioita. Tutkintamateriaalien säilytyspaikat sekä pääsyn rajaamiseksi tehdyt toimenpiteet tulee dokumentoida osana tietosuoja- ja tietoturvadokumentaatiota.

Lain mukaan ilmoituksia saavat lähtökohtaisesti käsitellä vain ennalta nimetyt henkilöt, joiden tulee olla puolueettomia ja riippumattomia. Ilmoituksen tutkinnassa saattaa kuitenkin ilmetä tarve pyytää myös muita organisaation omia tai ulkopuolisia asiantuntijoita mukaan asian selvittämiseen. Ilmoittajansuojelulaki mahdollistaa tämän, sillä ilmoitusten käsittelyyn voidaan tapauskohtaisesti nimetä lisää käsittelijöitä tai ulkopuolisia asiantuntijoita.

Lain mukaan ilmoituksen käsittelystä vastaavat henkilöt ovat velvollisia pitämään salassa tiedon ilmoittajan ja ilmoituksen kohteen henkilöllisyydestä ja kaikesta muusta sellaisesta tiedosta, josta henkilöllisyys voidaan päätellä suoraan tai epäsuorasti. Salassa pidettävää tietoa ei saa ilmaista ilman henkilön nimenomaista suostumusta, ellei kyse ole laissa erikseen määritellystä vastaanottajasta kuten toimivaltaisesta viranomaistahosta. Lisäksi ilmoittajaa tulee informoida etukäteen hänen henkilöllisyytensä ilmaisemisesta, paitsi jos se vaarantaisi ilmoituksen selvittämisen, esitutkinnan tai oikeudenkäynnin.

Käytännössä ilmoituksia koskevien tietojen jakaminen tulee rajata minimiin, ja juridinen peruste tiedon jakamiselle tulee varmistaa aina tapauskohtaisesti. Ilmoitusten käsittelyprosessi ja -resurssit on suositeltavaa määritellä niin, että minimoidaan tarve ilmoitusten ja niihin liittyvien henkilötietojen jakamisesta muille kuin ilmoitusten käsittelyyn nimetyille henkilöille sekä tapauskohtaisesti tutkintaan osallistuville asiantuntijoille ja muille laissa yksilöidyille vastaanottajatahoille. Ilmoitusten käsittelystä vastaavilla tahoilla tulee olla riittävä ammattitaito ja riippumaton asema hoitaa tutkinta itsenäisesti ja myös mahdollisimman pitkälle valta päättää tarvittavista jatkotoimista. Ilmoitusten käsittelijöiden tehtävät ja toimivalta tutkinnan ja jatkotoimenpiteiden osalta on suositeltavaa dokumentoida osaksi käsittelyprosessin kuvausta.

Voidaanko ilmoituksesta kertoa organisaation johdolle?

Ilmoittajansuojelulaissa ei nimenomaisesti säännellä, millä edellytyksin organisaation johdolle tai esimerkiksi yhtiön hallitukselle voidaan raportoida ilmoituksista. Ilmoittajansuojelulaki ei lähtökohtaisesti aseta estettä raportoida anonyymia tietoa. Säännöllinen raportointi organisaatiossa ilmenneistä rikkeistä on suositeltavaa tehdä lähtökohtaisesti anonyymina. Sen sijaan salassapitoa ja ilmoitusten käsittelyä koskevat vaatimukset voivat rajata mahdollisuuksia raportoida ilmoittajan tai ilmoituksen kohteen henkilöllisyyden paljastavia tietoja. Tällaisten tietojen raportointi tulee arvioida aina tapauskohtaisesti.

Laki ei estä organisaation johtoon kuuluvan henkilön nimeämistä yhdeksi ilmoitusten käsittelystä vastaavaksi henkilöksi sillä edellytyksellä, että kyseinen henkilö voi toimia riippumattomasti ja puolueettomasti. Lisäksi ilmoitusten käsittelystä vastaava henkilö voi siirtää rikkomusepäilyä koskevan asian organisaatiossa sellaiselle taholle, jonka tehtäviin kuuluu jatkotoimenpiteistä päättäminen. Tämä voi mahdollistaa yksittäistapauksissa esimerkiksi ylimmälle johdolle raportoinnin, mikäli jatkotoimenpiteistä päättäminen on johdon vastuulla.  

Kuinka pitkään ilmoituksia saa säilyttää?

Ilmoituksiin ja tutkintamateriaaliin sisältyviä henkilötietoja saa säilyttää vain niin kauan kuin se on organisaation määrittämien käyttötarkoitusten kannalta tarpeen. Ilmoituksen säilyttäminen on sidoksissa esimerkiksi siihen, minkälaisesta rikkomusepäilystä on kyse, ja mitä jatkotoimenpiteitä ilmoituksen johdosta mahdollisesti tehdään. Tilanteiden moninaisuuden takia ei usein ole mahdollista määrittää täysin tarkkarajaista säilytysaikaa, joka soveltuisi kaikkiin ilmoituksiin.

Ilmoittajansuojelulain piirissä olevat ilmoitukset tulee poistaa viimeistään viiden vuoden kuluttua ilmoituksen saapumisesta, jollei niiden säilyttäminen ole välttämätöntä esimerkiksi lakisääteisten oikeuksien tai velvoitteiden toteuttamista varten tai oikeudenkäynnin vuoksi. Mikäli ilmoituksen kohteena oleva rikkomusepäily ei koske ilmoittajansuojelulain mukaista asiaa, määräytyy säilytysaika muilla kriteereillä.

Ilmoitusten ja muun tutkintamateriaalin säilytysajat ja säilytysaikoja koskevat kriteerit tulee määrittää mahdollisimman tarkasti ja dokumentoida osaksi tietosuojadokumentaatiota. Lisäksi tulee ottaa käyttöön menettely, jossa jo ilmoituksen vastaanottovaiheessa poistetaan tarpeettomat henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta. Niin ikään on suositeltavaa määrittää menettely, jossa säilytystarvetta arvioidaan säännöllisesti myös tutkinnan aikana ja sen jälkeen tarpeettomien tietojen poistamiseksi. Tietojen poistomenettely tulee vastuuttaa sisäisesti esimerkiksi ilmoitusten käsittelystä vastaavien henkilöiden tehtäväksi.

 

Tutustu myös aiempiin ilmoituskanavia käsitteleviin blogeihimme:

Whistleblowing-kanavan valmistelu kannattaa aloittaa viimeistään nyt

Uusi ilmoittajansuojelulaki hyväksytty – miten varautua ilmoitusten tutkimiseen?

Uusimmat referenssit

Toimimme Pernod Ricardin suomalaisena neuvonantajana, kun se myi Turussa valmistettavat tuotemerkkinsä ja niiden tuotannon Oy Hartwall Ab:lle. Tunnetuin Hartwallille kaupan jälkeen siirtyvä tuotemerkki on Minttu-likööri. Hartwall on osa tanskalaista Royal Unibrew -konsernia. Pernod Ricard on yksi maailman suurimpia alkoholiyhtiöitä. Kaupan toteutuminen edellyttää tavanomaisten ehtojen täyttymistä.
Julkaistu 21.10.2024
Toimimme Fortumin pääneuvonantajana rajat ylittävässä yritysjärjestelyssä, jossa Fortum myy kierrätys- ja jäteliiketoimintansa. Liiketoiminnot myydään temaattiseen vaikuttavuussijoittamiseen keskittyvälle Summa Equitylle tämän portfolioyhtiön NG Groupin kautta ja velaton kauppahinta on noin 800 miljoonaa euroa. Kaupan toteutuminen edellyttää viranomaishyväksyntää sekä tavanomaisten ehtojen täyttymistä. Fortumin myytävät kierrätys- ja jäteliiketoiminnot (Recycling & Waste) tarjoavat teollisille ja kuntasektorin asiakkaille jätehuoltopalveluja sekä kokonaisvaltaisia muovien, metallien, tuhkan, kuonan ja vaarallisten jätteiden käsittely- ja kierrätyspalveluja. Liiketoiminnot sijaitsevat Suomessa, Ruotsissa, Tanskassa ja Norjassa ja työllistävät noin 900 työntekijää. 
Julkaistu 18.7.2024
Neuvoimme ANDRITZ-konserniin kuuluvaa Andritz Oy:tä sen ostaessa koko Procemex Oy:n osakekannan. Kauppa vahvistaa entisestään ANDRITZin automaatio- ja digitalisointiratkaisujen valikoimaa. Procemex on yksi maailman johtavista integroituja radanvalvonta- ja vianilmaisuratkaisuja sellu- ja paperiteollisuudelle tarjoavista yrityksistä. Se työllistää yli 100 konenäköjärjestelmien asiantuntijaa, ja sillä on tytäryhtiöitä Saksassa, Japanissa ja Yhdysvalloissa. ANDRITZ tarjoaa laajan valikoiman innovatiivisia laitoksia, välineitä, järjestelmiä, palveluita ja digitaalisia ratkaisuja monille eri toimialoille ja loppumarkkinoille. ANDRITZilla on johtava asema maailmanmarkkinoilla kaikilla neljällä liiketoiminta-alueellaan: sellu ja paperi, metallit, vesivoima sekä ympäristö ja energia. Se on julkisesti noteerattu konserni, jolla noin 30 000 työntekijää ja yli 280 toimipistettä yli 80 maassa.
Julkaistu 18.7.2024
Neuvoimme Exsitec Holding AB:tä järjestelyssä, jossa se hankki M-flow Finland Oy:n koko osakekannan. M-flow Finland Oy on suomalainen ohjelmistoyritys, joka tarjoaa Medius B2B-standardin mukaisia S2P-ohjelmistoratkaisuja Suomessa. Exsitec Holding AB on ruotsalainen yritys, joka kuuluu pohjoismaiseen Exsitec-konserniin. Konsernilla on yli 20 toimipistettä Pohjoismaissa. Exsitec toimittaa digitaalisia ratkaisuja asiakkaiden liiketoiminnan tueksi.
Julkaistu 4.7.2024