Whistleblowing ja tietosuoja – mikä organisaatioita tyypillisesti askarruttaa?

Ilmoittajansuojelulaki asettaa uusia vaatimuksia, jotka liittyvät esimerkiksi ilmoituskanavaa koskevaan informointiin, ilmoitusten käsittelyyn ja ilmoituksen tehneen henkilön suojaamiseen. Tässä blogissa pureudumme muutamaan tietosuojaan liittyvään kysymykseen, jotka ovat askarruttaneet organisaatioita niiden ottaessa ilmoituskanavia käyttöön.

Ilmoittajansuojelulain vaatimusten ohella on tärkeää, että ilmoituskanava ja ilmoitusten käsittely toteutetaan tietosuojalainsäädännön reunaehtojen mukaisesti. Jotta ilmoituksia ja niihin sisältyviä henkilötietoja voidaan ylipäätään käsitellä laillisesti, jo kanavan käyttöönotossa on huomioitava tietosuojasääntelyn vaatimukset. Tietosuojavelvoitteiden mukaisesti toteutettu ilmoituskanava ja asianmukainen tietosuojadokumentaatio ovat myös keskeistä sen kannalta, että organisaatio voi tarvittaessa näyttää toimineensa lainsäädännön edellyttämällä tavalla.

Mitä tietosuoja-asioista tulee ottaa huomioon ilmoituskanavan käyttöönotossa?

Suunniteltaessa ilmoituskanavan käyttöönottoa ja ilmoitusten käsittelyprosessia organisaation tulee määrittää henkilötietojen käsittelyn perusteet ja käyttötarkoitukset. Käyttötarkoitusten ja käsittelyperusteiden määrittämiseen vaikuttaa esimerkiksi se, onko ilmoituskanavaa tarkoitus käyttää vain ilmoittajansuojelulain mukaisista rikkeistä ilmoittamiseen vai myös muista rikkomusepäilyistä kuten työsuhdeasioista tai organisaation sisäisten ohjeistusten rikkomisesta ilmoittamiseen. Käsittelytarkoitukset ja -perusteet tulee dokumentoida osana henkilötietojen käsittelyn kuvausta esimerkiksi käsittelytoimia koskevaan selosteeseen, tietovarantokuvaukseen tai muuhun vastaavaan sisäiseen tietosuoja-asiakirjaan.  

Kaikkia henkilötietojen käsittelyn kohteena olevia henkilöitä tulee informoida lainsäädännön edellyttämällä tavalla sekä huolehtia tietosuojalainsäädäntöön perustuvien oikeuksien toteutumisesta. Nämä velvollisuudet tulee täyttää ilmoittajan ohella myös esimerkiksi ilmoituksen kohdehenkilön ja mahdollisten muiden tutkintaan osallistuvien henkilöiden osalta. Suunniteltaessa rekisteröityjen oikeuksia koskevia sisäisiä prosesseja tulee huomioida, että ilmoittajansuojelulaki rajaa tietyiltä osin rekisteröidyn oikeuksia, kuten oikeutta tarkastaa omat henkilötietonsa.

Lisäksi ennen ilmoituskanavan käyttöönottoa tulee laatia tietosuojalainsäädännön mukainen tietosuojaa koskeva vaikutustenarviointi. Tietosuojaa koskeva vaikutustenarviointi on eräänlainen organisaation sisäinen riskiarvio, johon tulee kuvata ilmoituskanavaan liittyvä henkilötietojen käsittely, arvioida käsittelyn tarpeellisuus ja oikeasuhteisuus sekä etenkin arvioida henkilötietojen käsittelystä aiheutuvia riskejä ja tarvittavia toimenpiteitä, joilla näitä riskejä voidaan minimoida.

Mikäli organisaatio on yhteistoimintalain piirissä, tulee ilmoituskanavaan liittyvä henkilötietojen käsittely käydä läpi henkilöstön kanssa yhteistoimintalain mukaisessa vuoropuhelussa ennen kuin ilmoituskanavan käyttöönotosta voidaan tehdä päätös. Vuoropuhelu on myös usein hyvä tilaisuus käydä esimerkiksi ilmoituskanavaa varten laadittu tietosuojadokumentaatio läpi yhdessä henkilöstön kanssa.

Mitä tietosuojavelvoitteita tulee huomioida ilmoitusten käsittelyssä?

Ilmoitusten käsittelyprosessi ja materiaalien säilyttäminen tulee järjestää siten, että pääsy niihin on rajattu riittävin teknisin ja organisatorisin suojakeinoin vain ilmoitusten käsittelyyn oikeutetuille tahoille. Tämä koskee ilmoituksen lisäksi kaikkea muuta tutkintaan liittyvää materiaalia kuten mahdollisia sisäisiä sähköposteja ja esimerkiksi haastattelumuistioita. Tutkintamateriaalien säilytyspaikat sekä pääsyn rajaamiseksi tehdyt toimenpiteet tulee dokumentoida osana tietosuoja- ja tietoturvadokumentaatiota.

Lain mukaan ilmoituksia saavat lähtökohtaisesti käsitellä vain ennalta nimetyt henkilöt, joiden tulee olla puolueettomia ja riippumattomia. Ilmoituksen tutkinnassa saattaa kuitenkin ilmetä tarve pyytää myös muita organisaation omia tai ulkopuolisia asiantuntijoita mukaan asian selvittämiseen. Ilmoittajansuojelulaki mahdollistaa tämän, sillä ilmoitusten käsittelyyn voidaan tapauskohtaisesti nimetä lisää käsittelijöitä tai ulkopuolisia asiantuntijoita.

Lain mukaan ilmoituksen käsittelystä vastaavat henkilöt ovat velvollisia pitämään salassa tiedon ilmoittajan ja ilmoituksen kohteen henkilöllisyydestä ja kaikesta muusta sellaisesta tiedosta, josta henkilöllisyys voidaan päätellä suoraan tai epäsuorasti. Salassa pidettävää tietoa ei saa ilmaista ilman henkilön nimenomaista suostumusta, ellei kyse ole laissa erikseen määritellystä vastaanottajasta kuten toimivaltaisesta viranomaistahosta. Lisäksi ilmoittajaa tulee informoida etukäteen hänen henkilöllisyytensä ilmaisemisesta, paitsi jos se vaarantaisi ilmoituksen selvittämisen, esitutkinnan tai oikeudenkäynnin.

Käytännössä ilmoituksia koskevien tietojen jakaminen tulee rajata minimiin, ja juridinen peruste tiedon jakamiselle tulee varmistaa aina tapauskohtaisesti. Ilmoitusten käsittelyprosessi ja -resurssit on suositeltavaa määritellä niin, että minimoidaan tarve ilmoitusten ja niihin liittyvien henkilötietojen jakamisesta muille kuin ilmoitusten käsittelyyn nimetyille henkilöille sekä tapauskohtaisesti tutkintaan osallistuville asiantuntijoille ja muille laissa yksilöidyille vastaanottajatahoille. Ilmoitusten käsittelystä vastaavilla tahoilla tulee olla riittävä ammattitaito ja riippumaton asema hoitaa tutkinta itsenäisesti ja myös mahdollisimman pitkälle valta päättää tarvittavista jatkotoimista. Ilmoitusten käsittelijöiden tehtävät ja toimivalta tutkinnan ja jatkotoimenpiteiden osalta on suositeltavaa dokumentoida osaksi käsittelyprosessin kuvausta.

Voidaanko ilmoituksesta kertoa organisaation johdolle?

Ilmoittajansuojelulaissa ei nimenomaisesti säännellä, millä edellytyksin organisaation johdolle tai esimerkiksi yhtiön hallitukselle voidaan raportoida ilmoituksista. Ilmoittajansuojelulaki ei lähtökohtaisesti aseta estettä raportoida anonyymia tietoa. Säännöllinen raportointi organisaatiossa ilmenneistä rikkeistä on suositeltavaa tehdä lähtökohtaisesti anonyymina. Sen sijaan salassapitoa ja ilmoitusten käsittelyä koskevat vaatimukset voivat rajata mahdollisuuksia raportoida ilmoittajan tai ilmoituksen kohteen henkilöllisyyden paljastavia tietoja. Tällaisten tietojen raportointi tulee arvioida aina tapauskohtaisesti.

Laki ei estä organisaation johtoon kuuluvan henkilön nimeämistä yhdeksi ilmoitusten käsittelystä vastaavaksi henkilöksi sillä edellytyksellä, että kyseinen henkilö voi toimia riippumattomasti ja puolueettomasti. Lisäksi ilmoitusten käsittelystä vastaava henkilö voi siirtää rikkomusepäilyä koskevan asian organisaatiossa sellaiselle taholle, jonka tehtäviin kuuluu jatkotoimenpiteistä päättäminen. Tämä voi mahdollistaa yksittäistapauksissa esimerkiksi ylimmälle johdolle raportoinnin, mikäli jatkotoimenpiteistä päättäminen on johdon vastuulla.  

Kuinka pitkään ilmoituksia saa säilyttää?

Ilmoituksiin ja tutkintamateriaaliin sisältyviä henkilötietoja saa säilyttää vain niin kauan kuin se on organisaation määrittämien käyttötarkoitusten kannalta tarpeen. Ilmoituksen säilyttäminen on sidoksissa esimerkiksi siihen, minkälaisesta rikkomusepäilystä on kyse, ja mitä jatkotoimenpiteitä ilmoituksen johdosta mahdollisesti tehdään. Tilanteiden moninaisuuden takia ei usein ole mahdollista määrittää täysin tarkkarajaista säilytysaikaa, joka soveltuisi kaikkiin ilmoituksiin.

Ilmoittajansuojelulain piirissä olevat ilmoitukset tulee poistaa viimeistään viiden vuoden kuluttua ilmoituksen saapumisesta, jollei niiden säilyttäminen ole välttämätöntä esimerkiksi lakisääteisten oikeuksien tai velvoitteiden toteuttamista varten tai oikeudenkäynnin vuoksi. Mikäli ilmoituksen kohteena oleva rikkomusepäily ei koske ilmoittajansuojelulain mukaista asiaa, määräytyy säilytysaika muilla kriteereillä.

Ilmoitusten ja muun tutkintamateriaalin säilytysajat ja säilytysaikoja koskevat kriteerit tulee määrittää mahdollisimman tarkasti ja dokumentoida osaksi tietosuojadokumentaatiota. Lisäksi tulee ottaa käyttöön menettely, jossa jo ilmoituksen vastaanottovaiheessa poistetaan tarpeettomat henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta. Niin ikään on suositeltavaa määrittää menettely, jossa säilytystarvetta arvioidaan säännöllisesti myös tutkinnan aikana ja sen jälkeen tarpeettomien tietojen poistamiseksi. Tietojen poistomenettely tulee vastuuttaa sisäisesti esimerkiksi ilmoitusten käsittelystä vastaavien henkilöiden tehtäväksi.

Tutustu myös aiempiin ilmoituskanavia käsitteleviin blogeihimme:

Whistleblowing-kanavan valmistelu kannattaa aloittaa viimeistään nyt

Uusi ilmoittajansuojelulaki hyväksytty – miten varautua ilmoitusten tutkimiseen?