back

Suunnitteletko whistleblower-ilmoituskanavan käyttöönottoa? – Muista tietosuojaa koskeva vaikutustenarviointi

Pian jokainen uskaltaa puhaltaa pilliin. Kansallista ilmoittajansuojelusääntelyä puuhataan parhaillaan EU:n whisleblower-direktiivin velvoittamana.  Pian kaikilta yli 250 työntekijän organisaatioilta vaaditaan ilmoituskanava ja yli 50 henkilön organisaatiolta siirtymäajan jälkeen vuonna 2023. Ilmoituskanavaan ja mahdollisen tutkinnan järjestämiseen liittyy monia tietosuojahaasteita.

 

Velvollisuus tehdä DPIA

Tietosuojavaltuutetun päätöksen mukaan whistleblower-ilmoituskanavassa on kyse korkean riskin toiminnasta, joka vaatii tietosuojaa koskevan vaikutustenarvioinnin (DPIA) tekemistä.

 

Työelämän tietosuojasääntely

Muiden kuin lakiin perustuvien whistleblower-kanavien asema on tällä hetkellä ongelmallinen työelämän tietosuojasääntelyn kannalta. Työelämän tietosuojalain sanamuodon mukainen tulkinta ei (vastoin vakiintunutta tulkintakäytäntöä) salli työntekijän tietojen keräämistä ulkopuolisilta tahoilta luotettavuuden selvittämiseksi ilman työntekijän suostumusta. Ongelma on tunnistettu ja työelämän tietosuojalakia ollaan parhaillaan uudistamassa epäselvyyden ratkaisemiseksi.   

 

Tietosuojaperiaatteiden täyttäminen

Ilmoituskanava ja siitä mahdollisesti poikivat tutkinnat ovat henkilötietojen käsittelyä kaikilta osin. Henkilötietojen käsittelyssä tulee aina muistaa GDPR 5 artiklassa määritetyt tietosuojaperiaatteet. Prosessit ja ohjeistukset tulee olla kunnossa, sen varmistamiseksi, että vain tarpeellisia tietoja käsitellään ja vain ennalta määritettyyn käyttötarkoitukseen. Pitkät kanneajat ja käännetty näyttötaakka työoikeudellisissa asioissa aiheuttavat haasteita säilytysaikojen määrittämiselle ja tietojen minimoinnin suhteen. Muista myös henkilöstön koulutus. 

 

Läpinäkyvyys ja informointi

Ennen kuin voit informoida rekisteröityjä GDPR:n edellyttämällä läpinäkyvällä tavalla sinun on tunnettava ilmoituskanavaan ja mahdollisiin tutkinnan järjestämiseen liittyvät prosessit läpikotaisin. Jos käytät ilmoituskanavan järjestämiseen kumppania, varmista, että tiedät, missä toimittajasi säilyttää henkilötietoja, ja mistä maista mahdolliset alihankkijat pääsevät niihin käsiksi. Käsittelystä on kerrottava työntekijöitä koskevalla tietosuojaselosteella selkeästi tuoden esiin myös se mitä seurauksia käsittelyllä voi rekisteröidylle olla. Voit myös harkita erillisen tietosuojaselosteen tekemistä ilmoituskanavaan liittyvälle käsittelylle.

 

Huomaa YT-neuvotteluvelvoite

Ilmoituskanavan käyttöönotto on muutos työntekijän henkilötietojen käsittelyssä, joka on käytävä yhteistoimintalain 15 §:n mukaan läpi yt-neuvotteluissa. Muista, että neuvottelut on käytävä ennen kuin päätös ilmoituskanavan käyttöönotosta on tehty.

 

Palveluntarjoajan vaatimustenmukaisuus

Monet ajattelevat, että voivat ulkoistaa vastuun kanavasta palveluntarjoajalle. Palveluntarjoajaa valittaessa on kuitenkin oltava tarkkana. Kanavan kautta voidaan mahdollisesti käsitellä hyvinkin arkaluontoisia työntekijöitä koskevia tietoja. Muista, että olet vastuussa palveluntarjoajan suorittamasta henkilötietojen käsittelystä. Siksi tärkeää varmistaa, että käsittely täyttää kaikilta osin tietosuojavaatimukset. Tämä edellyttää, että ymmärrät toimittajan ja toimittajan käyttämien alihankkijoiden suorittaman käsittelyn ja siihen liittyvät riskit. Tietovirtakartta auttaa hahmottamaan käsittelyä. Lisäksi tietojen käsittelystä on aina tehtävä kirjallinen sopimus ja käsittelyn vaatimuksenmukaisuutta on valvottava.  

 

Ilmoituksen kohteen tietosuojaoikeudet

Koko ilmoittajansuojelusääntely rakentuu nimensä mukaisesti ilmoittajan tehokkaalle suojelulle, joka onkin koko järjestelmän toimivuuden kannalta välttämätöntä. Ilmoituksen tekijän suojelun ja ilmoituksen kohteen GDPR:n takaaman tiedonsaantioikeuden välillä on kuitenkin ilmeinen ristiriita. Monet tuntuvat ajattelevan, ettei ilmoituksen kohteen tietosuojaoikeuksista tarvitse välittää lainkaan. Tämä ei kuitenkaan ole totta. Whistleblower-direktiivin johdannossa (kohta 84) varataan jäsenvaltiolle mahdollisuus rajoittaa tarvittaessa lainsäädäntötoimenpitein ilmoituksen kohteen tietosuojaoikeuksien käyttöä. En ole kuitenkaan kuullut, että kukaan olisi kyseisiä rajoituksia ilmoittajansuojelu-sääntelyä koskevasta hallituksen esitysluonnoksesta löytänyt.  Ilmoituksen kohteen tiedonsaantioikeuden osalta pitää punnita, milloin tiedon antaminen vaikuttaa haitallisesti ilmoittajan oikeuksiin ja vapauksiin.​ Punnintatilanteiden haastavuuden, selkeyden ja tiedonsaantioikeuden väärinkäytösriskin takia rajoituksista olisi hyvä säätää lailla.

Vastaavasti esimerkiksi rahanpesulaissa rajoitetaan rekisteröidyn oikeutta saada pääsy tietoihinsa. Rahanpesulain 4 luvun 4§:n mukaan ilmoitusvelvollinen tai ilmoitusvelvollisen palveluksessa toimiva ei saa paljastaa tietoa rahanpesuilmoituksen tekemisestä tai selvittelystä henkilölle, johon epäily kohdistuu, eikä muulle henkilölle. Rahanpesulain 4 luvun 3 §:n mukaan rekisteröidyllä ei ole oikeutta tarkastaa epäilyttäviä liiketoimia koskevia tietoja tai selonottovelvollisuuden täyttämiseksi hankittuja tietoja ja asiakirjoja. Lain mukaan tietosuojavaltuutettu voi rekisteröidyn pyynnöstä tarkastaa näiden tietojen käsittelyn lainmukaisuuden.

 

DPIA tekemättä?

Tietosuojavaikutusten arvioinnit ovat PrivacyAntin ydinosaamista. PrivacyAnt Softwaren tietovirtakaavioiden ja sääntöpohjaisten kontrollien avulla päästään kiinni riskeihin ja tietosuojavaatimuksiin tarkasti ja kustannustehokkaasti. Autamme sinua niin yksittäisen DPIA:n tekemisessä kuin jatkuvan DPIA-prosessin luomisessa.

 

Kerro meille DPIA-tarpeesi, niin teemme tarjouksen.