Whistleblowing-kanavien ja ilmoittajansuojelulain seuraava määräpäivä lähestyy – onko organisaatiosi valmis?
)
EU:n whistleblowing-direktiivin nojalla säädetty kansallinen ilmoittajansuojelulaki luo puitteet sille, miten väärinkäytöksistä tai lainvastaisesta toiminnasta voi ilmoittaa ja millaista suojelua ilmoittajalle annetaan. Lain seuraava määräpäivä organisaatioille on käsillä ja se koskee pienempiä yrityksiä - laki velvoittaa kaikkia vähintään 50 työntekijää työllistäviä yrityksiä ottamaan käyttöön sisäisen luottamuksellisen ilmoituskanavan viimeistään 17.12.2023.
Suuremmilla, vähintään 250 työntekijää työllistävillä yksityisen sektorin organisaatioilla sekä julkisen sektorin organisaatioilla, jotka työllistävät vähintään 50 työntekijää, on velvoite ollut voimassa jo 1.4.2023 lähtien. Alle 50 henkilöä työllistävät yritykset jäävät ilmoituskanavan perustamisvelvollisuuden ulkopuolelle.
Kuitenkin myös pienemmillä yrityksillä on mahdollisuus perustaa sisäinen ilmoituskanava. Tällöin yrityksellä on ensisijainen mahdollisuus tutkia itse omaan toimintaansa liittyvät väärinkäytösepäilyt, mikä on tietysti yrityksen oman edun mukaista.
Mikäli yritys perustaa vapaaehtoisesti ilmoituskanavan tai kanava on esimerkiksi ulkomaisen emoyhtiön perustamana käytössä suomalaisessa tytäryhtiössä, tulee myös tällaisen kanavan täyttää Suomen ilmoittajansuojelulain vaatimukset ja ilmoittajan suojeluun sovelletaan ilmoittajansuojelulain määräyksiä.
Ilmoittajansuojelulain mukaan organisaatio voi myös ulkoistaa ilmoituskanavan järjestämisen sekä ilmoitusten käsittelyn ulkopuolisen palveluntuottajan tehtäväksi. Ulkoistaminen ei kuitenkaan poista organisaation omaa vastuuta siitä, että ilmoituskanavaa koskevat lakisääteiset velvoitteet täytetään ja ilmoittajaa suojellaan ilmoittajansuojelulain mukaisesti.
Minkälainen sisäisen ilmoituskanavan tulee olla?
Ilmoittajansuojelulain mukaan sisäisessä ilmoituskanavassa on voitava ilmoittaa kirjallisesti tai suullisesti. Ilmoituksia tulee voida tehdä ainakin vakavista väärinkäytösepäilyistä ilmoittajansuojelulaissa määritellyillä oikeudenaloilla, kuten esimerkiksi kuluttajansuojaan, tuoteturvallisuuteen, yksityisyyden- ja henkilötietojen suojaan, kilpailuoikeuteen, julkisiin hankintoihin sekä ympäristönsuojeluun liittyvien EU- tai kansallisten normien rikkomisista. Ilmoittaminen esimerkiksi työoikeuteen kuuluvien olennaistenkaan normien vakavasta rikkomisesta ei sen sijaan kuulu ilmoittajansuojelulain soveltamisalan piiriin. Ilmoittajansuojelulain soveltamisalaan ei myöskään kuulu organisaation sisäisistä epäkohdista tai esimerkiksi häirinnästä ilmoittaminen.
Ilmoituskanavan tekninen järjestämistapa on jätetty pitkälti organisaation itsensä päätettäväksi, eikä organisaatiolla ole ilmoittajansuojelulain mukaan velvollisuutta ottaa vastaan anonyymejä ilmoituksia. Väärinkäytöksistä ilmoittamisen tulee kuitenkin olla luottamuksellista, joten ilmoituksia tulee käsitellä ja tietoja säilyttää tietoturvallisesti. Vastaanotetut ilmoitukset on myös merkittävä asianhallintarekisteriin tai muulla tavalla rekisteröitävä.
Tärkeä osa luottamuksellisuuden varmistamista on myös se, että sisäisen ilmoituskanavan tietoihin saa organisaatiossa olla pääsy ja ilmoituksia saavat käsitellä vain ilmoituksen käsittelystä vastaavaksi nimetyt henkilöt, joiden on hoidettava tehtävänsä puolueettomasti ja riippumattomasti.
Laki edellyttää myös, että ilmoittajalle on toimitettava vastaanottokuittaus seitsemän päivän kuluessa ilmoituksen vastaanottamisesta ja ilmoittajaa on tiedotettava kolmen kuukauden kuluessa, mihin toimenpiteisiin ilmoituksen perusteella on ryhdytty.
Mitä tulee tehdä ennen ilmoituskanavan ottamista käyttöön?
Ilmoittajansuojelulain mukaan ilmoittajia on ohjeistettava ilmoittamisesta sekä siihen liittyvistä menettelyistä ja ilmoittajansuojelun edellytyksistä. Tiedot on lain mukaan esitettävä selkeässä ja helposti saatavilla olevassa muodossa, eli käytännössä ilmoituskanavan oheen laadittavassa asianmukaisessa ohjeistuksessa.
Ilmoituksia käsittelevät henkilöt on lisäksi syytä kouluttaa tehtäväänsä, jotta yhtiö voi varmistua siitä, että ilmoitukset käsitellään luottamuksellisesti ja lainmukaisesti ja että lain vaatima ilmoittajansuoja toteutuu.
Ennen kanavan käyttöönottoa on tietosuojasäännösten mukaisesti tehtävä tietosuojan vaikutustenarviointi (DPIA) sekä laadittava tietosuojaseloste ja ilmoituskanavan käyttöönotto on käsiteltävä yhteistoimintalain mukaisessa menettelyssä. Vaatimus vaikutustenarvioinnin toteuttamisesta koskee myös jo käytössä olleita ja/tai ulkomaisen emoyhtiön perustamia ilmoituskanavia, joita ei ole aikaisemmin tietosuojanäkökulmasta tarkistettu paikallisesti.
Fondia tukena prosessissa
Ilmoittajansuojelulaki asettaa organisaatiolle vaatimuksia sekä ennen kanavan käyttöönottoa, ilmoituksia käsitellessä, että ilmoitusten käsittelyn jälkeen. Ilmoitusten vastaanottamisen ja käsittelyn myötä organisaatio päätyy käsittelemään runsaasti sensitiivistä dataa sekä epäilyjä vakavistakin rikkomuksista, jolloin on tarpeellista varmistua siitä, että prosessi on lain ja vaatimusten mukainen sekä työntekijää palveleva. Prosessissa korostuvat useat aspektit työoikeudesta tietosuojaan ja edelleen complianceen ja siirtymävaiheen hallinnollinen taakka voi näin ollen olla organisaatiolle raskas.
Fondian monihenkinen whistleblowing-tiimi on erikoistunut kaikkiin prosessin vaatimiin oikeudenaloihin ja tukee organisaatioita koko matkalla kanavan käyttöönotosta ilmoitusten käsittelyyn ja jatkotoimenpiteisiin. Fondia tarjoaa lisäksi kokonaisvaltaista whistleblowing-palvelua, joka perustuu asiakkaan liiketoiminnan ymmärtämiseen sekä compliance-vaatimusten tuntemiseen.
