back

Suunnitteletko whistleblower-ilmoituskanavan käyttöönottoa? – Muista pakollinen tietosuojan vaikutustenarviointi

Pian jokainen uskaltaa puhaltaa pilliin. Kansallista ilmoittajansuojelusääntelyä puuhataan parhaillaan EU:n whisleblower-direktiivin velvoittamana.  Hallituksen esitys (HE 147/2022) kansalliseksi ilmoittajansuojelulaiksi on vihdoin ulkona ja uuden lain ontarkoitus tulla voimaan pikimmiten. Tämä tarkoittaa sitä, että

  •  kaikilta yli 250 työntekijän organisaatioilta vaaditaan ilmoituskanava 3 kk sisään lain voimaantulosta.
  • yli 50 työntekijän organisaatiolta ilmoituskanava vaaditaan siirtymäajan jälkeen vuonna 17.12.2023.

Ilmoituskanavaan, mahdollisen tutkinnan järjestämiseen sekä rekisteröityjen oikeuksien toteuttamiseen liittyy monia tietosuojahaasteita.

 

Velvollisuus tehdä DPIA

Tietosuojavaltuutetun päätöksen mukaan whistleblower-ilmoituskanavassa on kyse korkean riskin toiminnasta, joka vaatii tietosuojaa koskevan vaikutustenarvioinnin (DPIA) tekemistä.

 

Työelämän tietosuojasääntely

Muiden kuin lakiin perustuvien whistleblower-kanavien asema on tällä hetkellä ongelmallinen työelämän tietosuojasääntelyn kannalta. Työelämän tietosuojalain sanamuodon mukainen tulkinta ei (vastoin vakiintunutta tulkintakäytäntöä) salli työntekijän tietojen keräämistä ulkopuolisilta tahoilta luotettavuuden selvittämiseksi ilman työntekijän suostumusta. Ongelma on tunnistettu ja työelämän tietosuojalakia ollaan parhaillaan uudistamassa epäselvyyden ratkaisemiseksi.   

 

Tietosuojaperiaatteiden täyttäminen

Ilmoituskanava ja siitä mahdollisesti poikivat tutkinnat ovat henkilötietojen käsittelyä kaikilta osin. Henkilötietojen käsittelyssä tulee aina muistaa GDPR 5 artiklassa määritetyt tietosuojaperiaatteet. Prosessit ja ohjeistukset tulee olla kunnossa, sen varmistamiseksi, että vain tarpeellisia tietoja käsitellään ja vain ennalta määritettyyn käyttötarkoitukseen. Pitkät kanneajat ja käännetty näyttötaakka työoikeudellisissa asioissa aiheuttavat haasteita säilytysaikojen määrittämiselle ja tietojen minimoinnin suhteen. Muista myös henkilöstön koulutus. 

 

Nimeä ilmoituksen käsittelystä vastaava puolueeton ja riippumaton henkilö

  • Hallituksen esityksen mukaan ilmoituksia saavat käsitellä vain organisaation tähän tehtävään nimeämät henkilöt.
  • Nimetty henkilö voi olla joka oman organisaation tai palveluntuottajan palveluksessa (esim. HR- tai compliance-vastaava, sisäinen tarkastaja tai hallituksen jäsen)
  • Lisäksi organisaatio tai palveluntuottaja voi nimetä ilmoituksen paikkansa pitävyyden selvittämiseksi tarvittavia asiantuntijoita.

Ehdotettu säännös varmistaisi eheyden ja luottamuksellisuuden periaatteen toteutumista, joka edellyttää, että henkilötietoja käsitellään tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä. 

 

Poista tiedot viiden vuoden sisään kuluttua ilmoituksen saapumisesta

  • Tietoja saa säilyttää pidempään, jos niiden säilyttäminen on välttämätöntä ilmoittajansuojelulaissa tai muussa laissa säädettyjen oikeuksien tai velvoitteiden toteuttamista varten taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
  • Henkilötiedot, joilla ei selvästi olisi merkitystä ilmoituksen käsittelyn kannalta, olisi poistettava ilman aiheetonta viivytystä.

Ehdotetulla säännöksellä varmistettaisiin tietojen minimoinnin periaatteen ja säilytyksen rajoittamisen periaatteiden toteutuminen. Rekisterinpitäjän vastuulla on huolehtia siitä, että ilmoituskanavan kautta saapuneista henkilötiedoista säilytettäisiin ainoastaan niitä tietoja, jotka ovat selvästi merkityksellisiä ilmoituksen käsittelyn kannalta.

 

Läpinäkyvyys ja informointi

Ennen kuin voit informoida rekisteröityjä GDPR:n edellyttämällä läpinäkyvällä tavalla sinun on tunnettava ilmoituskanavaan ja mahdollisiin tutkinnan järjestämiseen liittyvät prosessit läpikotaisin. Jos käytät ilmoituskanavan järjestämiseen kumppania, varmista, että tiedät, missä toimittajasi säilyttää henkilötietoja, ja mistä maista mahdolliset alihankkijat pääsevät niihin käsiksi. Käsittelystä on kerrottava työntekijöitä koskevalla tietosuojaselosteella selkeästi tuoden esiin myös se mitä seurauksia käsittelyllä voi rekisteröidylle olla. Voit myös harkita erillisen tietosuojaselosteen tekemistä ilmoituskanavaan liittyvälle käsittelylle.

 

Huomaa YT-lainmukainen vuoropuheluvelvoite

Ilmoituskanavan käyttöönotto on muutos työntekijän henkilötietojen käsittelyssä, joka on käytävä yhteistoimintalain 12 §:n mukaan läpi YT-lain mukaisessa vuoropuhelussa. Muista, että neuvottelut on käytävä ennen kuin päätös ilmoituskanavan käyttöönotosta on tehty.

 

Palveluntarjoajan vaatimustenmukaisuus

Monet ajattelevat, että voivat ulkoistaa vastuun kanavasta palveluntarjoajalle. Palveluntarjoajaa valittaessa on kuitenkin oltava tarkkana. Kanavan kautta voidaan mahdollisesti käsitellä hyvinkin arkaluontoisia työntekijöitä koskevia tietoja. Muista, että olet vastuussa palveluntarjoajan suorittamasta henkilötietojen käsittelystä. Siksi tärkeää varmistaa, että käsittely täyttää kaikilta osin tietosuojavaatimukset. Tämä edellyttää, että ymmärrät toimittajan ja toimittajan käyttämien alihankkijoiden suorittaman käsittelyn ja siihen liittyvät riskit. Tietovirtakartta auttaa hahmottamaan käsittelyä. Lisäksi tietojen käsittelystä on aina tehtävä kirjallinen sopimus ja käsittelyn vaatimuksenmukaisuutta on valvottava.  

 

Ilmoituksen kohteen tietosuojaoikeudet

Koko ilmoittajansuojelusääntely rakentuu nimensä mukaisesti ilmoittajan tehokkaalle suojelulle, joka onkin koko järjestelmän toimivuuden kannalta välttämätöntä. Ilmoituksen tekijän suojelun ja ilmoituksen kohteen GDPR:n takaaman tiedonsaantioikeuden välillä on kuitenkin ilmeinen ristiriita. Monet tuntuvat ajattelevan, ettei ilmoituksen kohteen tietosuojaoikeuksista tarvitse välittää lainkaan. Tämä ei kuitenkaan ole totta. Whistleblower-direktiivin johdannossa (kohta 84) varataan jäsenvaltiolle mahdollisuus rajoittaa tarvittaessa lainsäädäntötoimenpitein ilmoituksen kohteen tietosuojaoikeuksien käyttöä. 

Hallituksen esityksen mukaan rekisteröidyn oikeuksia voitaisiin rajoittaa siinä määrin ja niin kauan kuin se on tarpeen, jotta voidaan ehkäistä yritykset

  • haitata ilmoittamista ja puuttua ilmoituksiin
  • vaikeuttaa tai hidastaa ilmoitusten perusteella toteutettavia toimenpiteitä  ja erityisesti ilmoitusten paikkansa pitävyyden selvittämistä
  • saada tietoon ilmoittavien henkilöiden henkilöllisyys.

 

Oikeus käsittelyn rajoittamiseen (GDPR 18 artikla)

Tuoreessa hallituksen esityksessä ehdotetaan säädettäväksi poikkeus tietosuoja-asetuksen 18 artiklaan, jonka mukaan rekisteröity voi vaatia henkilötietojensa käsittelyn rajoittamista esimerkiksi tilanteissa, joissa rekisteröity kiistää henkilötietojensa paikkansapitävyyden.

Käsittelyn rajoittamisoikeuden käyttäminen voisi vaikeuttaa ja hidastaa ilmoittajansuojelua koskevan sääntelyn tavoitteen ja tarkoituksen toteutumista. Rekisteröity voisi esimerkiksi kiistää ilmoituskanavan kautta ilmoitettujen henkilötietojen paikkansapitävyyden, jolloin rekisterinpitäjän tulisi rajoittaa käsittelyä siihen asti, kunnes rekisterinpitäjä on varmistanut niiden paikkansapitävyyden. Käsittelyn rajoittamisoikeuden käyttäminen voisi vaikeuttaa ja hidastaa direktiivin tavoitteen ja tarkoituksen toteutumista.

Rekisteröidyllä olisi edelleen käytössä oikeus vaatia epätarkkojen tai virheellisen tietojen oikaisemista tietosuoja-asetuksen 16 artiklan perusteella. Ehdotettua rajoitusta voitaisiin siten pitää rekisteröidyn oikeusturvan kannalta hyvin vähäisenä. 

 

Oikeus saada pääsy omiin henkilötietoihin GDPR 15 artikla

Rekisteröidyn oikeutta saada pääsy omiin henkilötietoihinsa olisi mahdollista rajoittaa, kun se on välttämätöntä ja oikeasuhtaista tutkinta- ja jatkotoimien turvaamiseksi tai ilmoittajan henkilöllisyyden suojaamiseksi.

Rekisteröidyn oikeutta saada pääsy omiin henkilötietoihin olisi perusteltua rajoittaa, jos niiden luovuttaminen rekisteröidylle voisi vaarantaa sisäisen ilmoituskanavan kautta saapuneen ilmoituksen käsittelyn. Jo pelkkä tieto siitä, että rekisteröidystä on tehty sisäisen tai keskitetyn ulkoisen ilmoituskanavan kautta ilmoitus, voisi joissakin tilanteessa vaarantaa tutkinta- ja jatkotoimia siten, että rekisteröity voisi tiedon saatuaan vaikeuttaa tutkintaa muuttamalla tai hävittämällä tutkinnan kannalta merkityksellisiä asiakirjoja.

Rekisteröidyn oikeutta saada pääsy omiin henkilötietoihin voitaisiin rekisterinpitäjän toimesta rajoittaa niin laajasti kuin se on välttämätöntä, ettei ilmoittajan henkilöllisyys paljastu. Rekisteröidyllä olisi siten kuitenkin oikeus saada käyttöönsä henkilötiedot, joiden osalta ei olisi vaaraa ilmoittajan henkilöllisyyden paljastumisesta tai tutkinnan vaarantumisesta. Käytännössä rajoituksen laajuutta koskevat punnintatilanteet voivat aiheuttaa haasteita.

Lisäksi rekisteröidyllä olisi oikeus saada tietää rajoituksen syyt ja oikeudesta pyytää tietojen antamista tietosuojavaltuutetulle. Rekisteröidyltä ei siten kokonaan evättäisi mahdollisuutta valvoa henkilötietojensa käsittelyä. 

 

DPIA tekemättä?

Tietosuojavaikutusten arvioinnit ovat PrivacyAntin ydinosaamista. PrivacyAnt Softwaren tietovirtakaavioiden ja sääntöpohjaisten kontrollien avulla päästään kiinni riskeihin ja tietosuojavaatimuksiin tarkasti ja kustannustehokkaasti. Autamme sinua niin yksittäisen DPIA:n tekemisessä kuin jatkuvan DPIA-prosessin luomisessa.

 

Kerro meille DPIA-tarpeesi, niin teemme tarjouksen.