Väärinkäytösten ilmoittajia ja syytösten kohteita on suojeltava

Pakolliseksi tulevien ilmoituskanavien tietosuojavaatimusten tunnistaminen.

Pakolliseksi tulevien ilmoituskanavien tietosuojavaatimusten tunnistaminen.

Whistleblower-direktiivi väärinkäytöksestä ilmoittavien henkilöiden suojelusta tulee osaksi kansallista lainsäädäntöä vuoden 2021 lopussa ja edellyttää toimenpiteitä kaikilta yli 50 henkilöä työllistäviä yrityksiltä ja julkisen sektorin organisaatioilta. Lainsäädäntö edellyttää perustamaan sisäisen ilmoituskanavan väärinkäytösten nimettömään ilmoittamiseen.

Ilmoituskanavan rakentamisessa on keskeistä huomioida EU:n tietosuoja-asetusta ja kansallista tietosuojalainsäädännön seuraavat vaatimukset koskien ilmoituskanavassa tapahtuvaan henkilötietojen käsittelyyn. Ilmoituskanavien kautta kerättävät henkilötiedot voivat koskea ilmoittajia, ilmoituksen kohteita sekä mahdollisesti muita ilmoituksesta ilmeneviä henkilöitä kuten todistajia tai kollegoita. Käytännössä ilmoituskanavan toteuttaminen edellyttää tietosuojan vaikutuksenarviointia.

Lainsäädäntö edellyttää luottamuksellisuutta ja salassapitoa

Organisaation on varmistettava ilmoituskanavan tietosuojasta ja tietoturvasta sekä direktiivin että tietosuojalainsäädännön vaatimusten mukaisesti. Whistleblower-lainsäädäntö edellyttää, että ilmoittamisen on oltava luottamuksellista ja tieto ilmoituksessa mainittujen henkilöiden henkilöllisyydestä ja muut henkilötiedot on pidettävä salassa. Ilmoituskanavaa koskevien tietojen tulee olla ainoastaan niiden henkilöiden saatavilla, jotka on oikeutettu käsittelemään ilmoituksia tai tekemään jatkotoimenpiteitä.

Ilmoituskanavan etu on, että organisaatioilla on mahdollisuus toimia proaktiivisesti poikkeamien selvittämiseksi ja korjaamiseksi ja mahdollisesti välttää laajamittaisempi ongelmien eskaloituminen ja organisaation vastuun ja riskien kasvaminen.

  • Laadi tietosuojaa koskeva vaikutustenarviointi (DPIA) ennen ilmoituskanavan käyttöönottoa ja pyydä tarvittaessa apua tietosuojavastaavalta.
  • Toteuta asianmukaiset tekniset ja organisatoriset (esim. pääsyoikeuksien rajaaminen) toimenpiteet henkilötietojen luottamuksellisuuden varmistamiseksi.
  • Informoi työntekijöitä ja muita rekisteröityjä ilmoituskanavasta ja siihen liittyvästä henkilötietojen käsittelystä avoimesti ja läpinäkyvästi.
  • Varmista, että ilmoituskanava tai ostopalveluna hankittu ilmoituskanava ja palvelusopimus täyttää tietosuoja- ja whistleblower-lainsäädännön vaatimukset
  • Laadi selkeä prosessi ilmoitusten vastaanottamiseksi, käsittelemiseksi ja dokumentoimiseksi. Huolehdi tietojen elinkaaresta poistamalla tai anonymisoimalla tarpeettomat tiedot.
  • Huomioi YT- ja työelämän tietosuojalain vaatimukset; ilmoituskanavan käyttöönotto edellyttää yhteistoimintalakien mukaista yhteistoimintamenettelyä.

Ota yhteyttä, niin keskustellaan lisää!

Jari Piittinen
Puh. +358 40 162 4687 
etunimi.sukunimi@kpmg.fi