Vuoden alusta tuli voimaan EU:n whistleblowing-direktiiviin pohjautuva laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta. Tämä niin kutsuttu ilmoittajansuojelulaki velvoittaa tietyin siirtymäajoin esimerkiksi suuret ja keskisuuret yritykset sekä julkisen sektorin toimijat perustamaan organisaation sisäisen ilmoituskanavan, jonka kautta muun muassa työntekijät ja tietyt muut sidosryhmät voivat ilmoittaa epäillyistä väärinkäytöksistä. Ilmoituskanavan perustamisvelvollisuutta koskevat siirtymäajat päättyvät 17.12.2023, joten viimeistään nyt on suositeltavaa aloittaa ilmoituskanavan käyttöönotto tai varmistaa, että organisaation ilmoituskanava täyttää ilmoittajansuojelulain vaatimukset.
27.9.2023
Whistleblowing ja tietosuoja – mikä organisaatioita tyypillisesti askarruttaa?
Eija Warma-Lehtinen & Ville Kukkonen
Palvelut
Ilmoittajansuojelulaki asettaa uusia vaatimuksia, jotka liittyvät esimerkiksi ilmoituskanavaa koskevaan informointiin, ilmoitusten käsittelyyn ja ilmoituksen tehneen henkilön suojaamiseen. Tässä blogissa pureudumme muutamaan tietosuojaan liittyvään kysymykseen, jotka ovat askarruttaneet organisaatioita niiden ottaessa ilmoituskanavia käyttöön.
Ilmoittajansuojelulain vaatimusten ohella on tärkeää, että ilmoituskanava ja ilmoitusten käsittely toteutetaan tietosuojalainsäädännön reunaehtojen mukaisesti. Jotta ilmoituksia ja niihin sisältyviä henkilötietoja voidaan ylipäätään käsitellä laillisesti, jo kanavan käyttöönotossa on huomioitava tietosuojasääntelyn vaatimukset. Tietosuojavelvoitteiden mukaisesti toteutettu ilmoituskanava ja asianmukainen tietosuojadokumentaatio ovat myös keskeistä sen kannalta, että organisaatio voi tarvittaessa näyttää toimineensa lainsäädännön edellyttämällä tavalla.
Mitä tietosuoja-asioista tulee ottaa huomioon ilmoituskanavan käyttöönotossa?
Suunniteltaessa ilmoituskanavan käyttöönottoa ja ilmoitusten käsittelyprosessia organisaation tulee määrittää henkilötietojen käsittelyn perusteet ja käyttötarkoitukset. Käyttötarkoitusten ja käsittelyperusteiden määrittämiseen vaikuttaa esimerkiksi se, onko ilmoituskanavaa tarkoitus käyttää vain ilmoittajansuojelulain mukaisista rikkeistä ilmoittamiseen vai myös muista rikkomusepäilyistä kuten työsuhdeasioista tai organisaation sisäisten ohjeistusten rikkomisesta ilmoittamiseen. Käsittelytarkoitukset ja -perusteet tulee dokumentoida osana henkilötietojen käsittelyn kuvausta esimerkiksi käsittelytoimia koskevaan selosteeseen, tietovarantokuvaukseen tai muuhun vastaavaan sisäiseen tietosuoja-asiakirjaan.
Kaikkia henkilötietojen käsittelyn kohteena olevia henkilöitä tulee informoida lainsäädännön edellyttämällä tavalla sekä huolehtia tietosuojalainsäädäntöön perustuvien oikeuksien toteutumisesta. Nämä velvollisuudet tulee täyttää ilmoittajan ohella myös esimerkiksi ilmoituksen kohdehenkilön ja mahdollisten muiden tutkintaan osallistuvien henkilöiden osalta. Suunniteltaessa rekisteröityjen oikeuksia koskevia sisäisiä prosesseja tulee huomioida, että ilmoittajansuojelulaki rajaa tietyiltä osin rekisteröidyn oikeuksia, kuten oikeutta tarkastaa omat henkilötietonsa.
Lisäksi ennen ilmoituskanavan käyttöönottoa tulee laatia tietosuojalainsäädännön mukainen tietosuojaa koskeva vaikutustenarviointi. Tietosuojaa koskeva vaikutustenarviointi on eräänlainen organisaation sisäinen riskiarvio, johon tulee kuvata ilmoituskanavaan liittyvä henkilötietojen käsittely, arvioida käsittelyn tarpeellisuus ja oikeasuhteisuus sekä etenkin arvioida henkilötietojen käsittelystä aiheutuvia riskejä ja tarvittavia toimenpiteitä, joilla näitä riskejä voidaan minimoida.
Mikäli organisaatio on yhteistoimintalain piirissä, tulee ilmoituskanavaan liittyvä henkilötietojen käsittely käydä läpi henkilöstön kanssa yhteistoimintalain mukaisessa vuoropuhelussa ennen kuin ilmoituskanavan käyttöönotosta voidaan tehdä päätös. Vuoropuhelu on myös usein hyvä tilaisuus käydä esimerkiksi ilmoituskanavaa varten laadittu tietosuojadokumentaatio läpi yhdessä henkilöstön kanssa.
Mitä tietosuojavelvoitteita tulee huomioida ilmoitusten käsittelyssä?
Ilmoitusten käsittelyprosessi ja materiaalien säilyttäminen tulee järjestää siten, että pääsy niihin on rajattu riittävin teknisin ja organisatorisin suojakeinoin vain ilmoitusten käsittelyyn oikeutetuille tahoille. Tämä koskee ilmoituksen lisäksi kaikkea muuta tutkintaan liittyvää materiaalia kuten mahdollisia sisäisiä sähköposteja ja esimerkiksi haastattelumuistioita. Tutkintamateriaalien säilytyspaikat sekä pääsyn rajaamiseksi tehdyt toimenpiteet tulee dokumentoida osana tietosuoja- ja tietoturvadokumentaatiota.
Lain mukaan ilmoituksia saavat lähtökohtaisesti käsitellä vain ennalta nimetyt henkilöt, joiden tulee olla puolueettomia ja riippumattomia. Ilmoituksen tutkinnassa saattaa kuitenkin ilmetä tarve pyytää myös muita organisaation omia tai ulkopuolisia asiantuntijoita mukaan asian selvittämiseen. Ilmoittajansuojelulaki mahdollistaa tämän, sillä ilmoitusten käsittelyyn voidaan tapauskohtaisesti nimetä lisää käsittelijöitä tai ulkopuolisia asiantuntijoita.
Lain mukaan ilmoituksen käsittelystä vastaavat henkilöt ovat velvollisia pitämään salassa tiedon ilmoittajan ja ilmoituksen kohteen henkilöllisyydestä ja kaikesta muusta sellaisesta tiedosta, josta henkilöllisyys voidaan päätellä suoraan tai epäsuorasti. Salassa pidettävää tietoa ei saa ilmaista ilman henkilön nimenomaista suostumusta, ellei kyse ole laissa erikseen määritellystä vastaanottajasta kuten toimivaltaisesta viranomaistahosta. Lisäksi ilmoittajaa tulee informoida etukäteen hänen henkilöllisyytensä ilmaisemisesta, paitsi jos se vaarantaisi ilmoituksen selvittämisen, esitutkinnan tai oikeudenkäynnin.
Käytännössä ilmoituksia koskevien tietojen jakaminen tulee rajata minimiin, ja juridinen peruste tiedon jakamiselle tulee varmistaa aina tapauskohtaisesti. Ilmoitusten käsittelyprosessi ja -resurssit on suositeltavaa määritellä niin, että minimoidaan tarve ilmoitusten ja niihin liittyvien henkilötietojen jakamisesta muille kuin ilmoitusten käsittelyyn nimetyille henkilöille sekä tapauskohtaisesti tutkintaan osallistuville asiantuntijoille ja muille laissa yksilöidyille vastaanottajatahoille. Ilmoitusten käsittelystä vastaavilla tahoilla tulee olla riittävä ammattitaito ja riippumaton asema hoitaa tutkinta itsenäisesti ja myös mahdollisimman pitkälle valta päättää tarvittavista jatkotoimista. Ilmoitusten käsittelijöiden tehtävät ja toimivalta tutkinnan ja jatkotoimenpiteiden osalta on suositeltavaa dokumentoida osaksi käsittelyprosessin kuvausta.
Voidaanko ilmoituksesta kertoa organisaation johdolle?
Ilmoittajansuojelulaissa ei nimenomaisesti säännellä, millä edellytyksin organisaation johdolle tai esimerkiksi yhtiön hallitukselle voidaan raportoida ilmoituksista. Ilmoittajansuojelulaki ei lähtökohtaisesti aseta estettä raportoida anonyymia tietoa. Säännöllinen raportointi organisaatiossa ilmenneistä rikkeistä on suositeltavaa tehdä lähtökohtaisesti anonyymina. Sen sijaan salassapitoa ja ilmoitusten käsittelyä koskevat vaatimukset voivat rajata mahdollisuuksia raportoida ilmoittajan tai ilmoituksen kohteen henkilöllisyyden paljastavia tietoja. Tällaisten tietojen raportointi tulee arvioida aina tapauskohtaisesti.
Laki ei estä organisaation johtoon kuuluvan henkilön nimeämistä yhdeksi ilmoitusten käsittelystä vastaavaksi henkilöksi sillä edellytyksellä, että kyseinen henkilö voi toimia riippumattomasti ja puolueettomasti. Lisäksi ilmoitusten käsittelystä vastaava henkilö voi siirtää rikkomusepäilyä koskevan asian organisaatiossa sellaiselle taholle, jonka tehtäviin kuuluu jatkotoimenpiteistä päättäminen. Tämä voi mahdollistaa yksittäistapauksissa esimerkiksi ylimmälle johdolle raportoinnin, mikäli jatkotoimenpiteistä päättäminen on johdon vastuulla.
Kuinka pitkään ilmoituksia saa säilyttää?
Ilmoituksiin ja tutkintamateriaaliin sisältyviä henkilötietoja saa säilyttää vain niin kauan kuin se on organisaation määrittämien käyttötarkoitusten kannalta tarpeen. Ilmoituksen säilyttäminen on sidoksissa esimerkiksi siihen, minkälaisesta rikkomusepäilystä on kyse, ja mitä jatkotoimenpiteitä ilmoituksen johdosta mahdollisesti tehdään. Tilanteiden moninaisuuden takia ei usein ole mahdollista määrittää täysin tarkkarajaista säilytysaikaa, joka soveltuisi kaikkiin ilmoituksiin.
Ilmoittajansuojelulain piirissä olevat ilmoitukset tulee poistaa viimeistään viiden vuoden kuluttua ilmoituksen saapumisesta, jollei niiden säilyttäminen ole välttämätöntä esimerkiksi lakisääteisten oikeuksien tai velvoitteiden toteuttamista varten tai oikeudenkäynnin vuoksi. Mikäli ilmoituksen kohteena oleva rikkomusepäily ei koske ilmoittajansuojelulain mukaista asiaa, määräytyy säilytysaika muilla kriteereillä.
Ilmoitusten ja muun tutkintamateriaalin säilytysajat ja säilytysaikoja koskevat kriteerit tulee määrittää mahdollisimman tarkasti ja dokumentoida osaksi tietosuojadokumentaatiota. Lisäksi tulee ottaa käyttöön menettely, jossa jo ilmoituksen vastaanottovaiheessa poistetaan tarpeettomat henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta. Niin ikään on suositeltavaa määrittää menettely, jossa säilytystarvetta arvioidaan säännöllisesti myös tutkinnan aikana ja sen jälkeen tarpeettomien tietojen poistamiseksi. Tietojen poistomenettely tulee vastuuttaa sisäisesti esimerkiksi ilmoitusten käsittelystä vastaavien henkilöiden tehtäväksi.
Tutustu myös aiempiin ilmoituskanavia käsitteleviin blogeihimme:
Whistleblowing-kanavan valmistelu kannattaa aloittaa viimeistään nyt
Uusi ilmoittajansuojelulaki hyväksytty – miten varautua ilmoitusten tutkimiseen?
Uusimmat uutiset
Julkaistu 3.3.2026 – Työoikeus
Irtisanomiskynnys madaltuu: mitä käytännössä tulee huomioida?
Julkaistu 29.10.2025 – Työoikeus
Johtajilta vaaditaan muutostilanteissa sekä tehokkuutta että inhimillisyyttä
Julkaistu 22.10.2025 – Työoikeus
Työsuhteessa – Castrén & Snellmanin työoikeustiimin uusi podcast työelämän ja työoikeuden teemoista
Julkaistu 6.5.2024 – Työoikeus
Yritykset ulkoistavat toimintojaan – neljä tärppiä onnistumiseen
Tomi Kemppainen, Mats Forsius & Mikko Hanni
Mikko Hanni & Mats Forsius
Tomi Kemppainen, Kim Parviainen & Eija Warma-Lehtinen
Uusimmat referenssit
Suomalainen Rakennuttajakonsulttiyhtiö — käräjäoikeus hylkäsi syytteen turvallisuuskoordinaattoria koskevassa työturvallisuusrikosasiassa
Avustimme menestyksekkäästi suomalaista rakennuttajakonsulttiyhtiötä ja sen palveluksessa ollutta turvallisuuskoordinaattoria häneen kohdistuneessa työturvallisuusrikossyytteessä. Syyttäjä vaati rangaistusta väitetystä työturvallisuusmääräysten rikkomisesta. Syyte koski putoamistapaturmaa rakennustyömaalla, jossa asiakkaamme toimi rakennuttajan nimeämänä turvallisuuskoordinaattorina. Selvitimme turvallisuuskoordinaattorin velvollisuuksien rajat suhteessa päätoteuttajan vastuuseen sekä sen, miten asiakkaamme oli käytännössä huolehtinut kaikista hänelle kuuluvista tehtävistä. Osoitimme, että asiakkaamme oli toiminut huolellisesti ja velvollisuuksiensa mukaisesti rakennushankkeen suunnittelun, valmistelun ja toteutuksen osalta. Itä-Uudenmaan käräjäoikeus hylkäsi asiakkaaseemme kohdistetun syytteen. Käräjäoikeus katsoi, että asiakkaamme oli turvallisuuskoordinaattorina asianmukaisesti huolehtinut rakennuttajalle kuuluvista työturvallisuustehtävistä rakennushankkeen suunnittelussa ja valmistelussa eikä ollut tietoinen työmaalla havaitusta putoamissuojauspuutteesta. Tuomio on asiakkaamme osalta lainvoimainen.
Julkaistu 22.6.2026
G&W Electric – Safegridin osto
Avustimme G&W Electriciä sen ostaessa suomalaisen Safegrid Oy:n, johtavan älykkäiden sähköverkon valvontaratkaisujen tarjoajan. Yrityskauppa nopeuttaa G&W Electricin pitkäaikaista strategiaa integroida älykäs verkonvalvonta ja ennakoiva analytiikka sähkönjakeluportfolioonsa sekä vahvistaa sen tarjontaa sähköyhtiöasiakkaille maailmanlaajuisesti. Vuonna 1905 perustettu G&W Electric on Illinoisin Bolingbrookissa pääkonttoriaan pitävä globaali johtaja innovatiivisissa sähköverkkojärjestelmissä, jolla on toimintaa yli 100 maassa. Yhtiö tunnetaan kehittyneiden kytkentälaitteiden, jälleenkytkinten, antureiden, järjestelmänsuojauslaitteiden sekä sähköverkon automaatioratkaisujen suunnittelusta ja valmistuksesta. Safegrid on suomalainen teknologiayritys, jonka pääkonttori sijaitsee Espoossa. Yhtiö kehittää Intelligent Grid System® -sähköverkon valvontaratkaisua, joka yhdistää langattomia antureita ja kehittynyttä analytiikkaa reaaliaikaisen tiedon tuottamiseksi verkon tilasta. Ratkaisu mahdollistaa sähköyhtiöille syntyvien ongelmien tunnistamisen, vikojen ennakoinnin sekä häiriöaikojen lyhentämisen keski- ja suurjännitteisillä jakelu- ja siirtoverkoilla.
Julkaistu 8.5.2026
Aurevia ja Labquality – Strateginen uudelleenjärjestely
Neuvoimme ranskalaisen pääomasijoitusyhtiön Mérieux Equity Partnersin portfolioyhtiötä Aurevia Oy:tä strategisessa uudelleenjärjestelyssä, jossa Aurevia ja sen emoyhtiöt jakautuivat kahdeksi itsenäiseksi konserniksi. Järjestelyyn sisältyi myös kummankin konsernin rahoitusjärjestelyjen uudistaminen. Uudelleenjärjestelyn seurauksena syntynyt uusi Aurevia jatkaa toimintaansa johtavana sopimusperusteisten tutkimuspalveluiden (CRO) sekä laadunvarmistus- ja sääntelypalveluiden (QARA) tarjoajana, kun taas Labquality keskittyy ulkoisen laadunarvioinnin (EQA) palveluihin. Aurevia palvelee lääkinnällisten laitteiden, in vitro -diagnostiikan ja lääkealan toimijoita. Labqualityn asiakkaita ovat kliiniset laboratoriot sekä sosiaali- ja terveydenhuollon organisaatiot. Järjestely luo Aurevialle ja Labqualitylle paremmat edellytykset investointien tehokkaampaan kohdentamiseen, kasvun kiihdyttämiseen omissa asiakassegmenteissään sekä joustavampaan reagointiin muuttuviin markkina- ja asiakastarpeisiin. Järjestely toteutettiin useiden samanaikaisten jakautumisten kautta, ja se edellytti kattavaa oikeudellista ja verotuksellista suunnittelua useissa eri maissa. Tiimimme avusti Aureviaa koko prosessin ajan suunnittelusta toteutukseen kattaen yhtiö-, vero- ja työoikeudelliset kysymykset, sääntelyasiat sekä kummankin konsernin rahoitusrakenteen optimoinnin.
Julkaistu 7.4.2026
VR – Korkeimman oikeuden ratkaisu selkeyttää työaikakäytäntöjä
Edustimme menestyksekkäästi VR-Yhtymää korkeimmassa oikeudessa asiassa, joka koski lähiliikenteen veturinkuljettajien ruokataukokäytäntöä. Korkein oikeus antoi 6.2.2026 ratkaisun (KKO:2026:12) VR:n hyväksi ja vahvisti, että VR:llä oli oikeus muuttaa lähiliikenteen veturinkuljettajien ruokataukokäytäntö palkattomaksi vuonna 2021 työehtosopimuksen mukaisesti. Ratkaisu tuo selkeyttä työehtosopimusten ja työlainsäädännön tulkintaan sekä työnjohto-oikeuden rajoihin. Yli 250 lähiliikenteen veturinkuljettajaa riitautti VR:n huhtikuussa 2021 käyttöön ottaman palkattoman ruokatauon. Ennen muutosta ruokatauko oli ollut pitkään palkallinen. Muutos perustui veturinkuljettajien työehtosopimukseen, joka mahdollistaa ruokatauon järjestämisen joko palkallisena tai palkattomana. Korkein oikeus totesi, että työn jaksottaminen ja työtaukojen pitäminen kuuluvat työnjohto-oikeuden ydinalueelle. Tämän vuoksi kynnys sille, että käytännöstä muodostuisi osapuolia sitova ehto, on varsin korkea. Pelkkä käytännön pitkäaikainen ja johdonmukainen noudattaminen ei yksin tee siitä sitovaa, vaan työnantajan sitoutumistarkoituksen tulee käydä selvästi ilmi työnantajan toiminnasta tai muista seikoista. Kun molemmat ruokatauon järjestämisen vaihtoehdot oli säilytetty työehtosopimuksessa, johon oli vuosien mittaan tehty muita muutoksia, ei näissä olosuhteissa voitu katsoa VR:n tarkoittaneen sitoutua taukokäytäntöön ja luopua työn tauottamisen osalta työnjohto-oikeudestaan. Merkitystä oli myös sillä, että työsopimuksissa oli työajan osalta nimenomaisesti viitattu vain työehtosopimukseen. Korkein oikeus katsoi, että työntekijöiden palkallinen ruokatauko ei ollut vakiintunut työsuhteen ehdoksi ja että VR sai muuttaa käytäntöä työehtosopimukseen perustuen. Työnantajalla oli työnjohto-oikeutensa nojalla oikeus yksipuolisesti muuttaa ruokataukokäytäntöä valitsemalla sovellettavaksi toinen työehtosopimuksen mahdollistamista järjestelyistä.
Julkaistu 3.3.2026