Tietosuoja tutuksi, osa 10: Whistleblowing-kanavien tietosuoja

Tietosuoja tutuksi, osa 10: Whistleblowing-kanavien tietosuoja

Kansallinen ilmoittajansuojelulaki tulee pian

Yli 50 työntekijää työllistävien yksityisen ja julkisen sektorin organisaatioiden sekä valtion virastojen on joulukuussa 2021 kansallisesti implementoitavan Whistleblower-direktiivin johdosta perustettava ilmoituskanavat, joiden kautta työntekijät ja muut organisaation kanssa tekemisissä olevat voivat luottamuksellisesti ilmoittaa epäilemistään EU- tai kansallisten oikeuksien rikkomuksista. Ilmoituksen tekevien henkilöiden turvallisuuden varmistaminen on yksi direktiivin keskeisistä tarkoituksista.

Tietosuojalla keskeinen rooli

Ilmoituskanavien kautta käsiteltävän tiedon luonteen johdosta kanavien tietosuojaan on kiinnitettävä erityistä huomiota. Tietosuojavaltuutetun toimisto onkin nimennyt henkilötietojen käsittelyn whistleblowing-järjestelmissä yhdeksi niistä käsittelytoimista, joiden yhteydessä on välttämätöntä tehdä vaikutustenarviointi, eli tunnistaa ja hallita henkilötietojen käsittelyssä mahdollisesti ilmeneviä riskejä. Ilmoituskanava tulee rakentaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatteiden mukaisesti, ottaen heti alusta alkaen huomioon tietosuojaperiaatteet ja -velvoitteet.

Huomioi esimerkiksi nämä:

  1. Aloita perusteista. Vaikutustenarviointi on aina aloitettava kartoittamalla suunniteltu henkilötietojen käsittelytoimi ja sen tarkoitus. Mitä henkilötietoja tullaan käsittelemään, ja mitä käsittelyllä tässä tapauksessa tarkoitetaan? Kenellä on pääsy tietoihin? Kuinka pitkään tietoja on tarpeellista säilyttää, ja miten ne hävitetään?
  2. Turvaa tiedon luottamuksellisuus. Ilmoituskanavan kautta tulleita tietoja tulee säilyttää ja käsitellä erityisellä luottamuksellisuudella, sillä se on keskeinen kannuste järjestelmän käyttämiselle. Rekisteröidyn tietojensaantioikeutta toteutettaessa on suojeltava muiden osapuolten identiteettiä. Mahdollisten tietoturvaloukkausten seurausten vakavuus huomioiden tietoturva on varmistettava teknisin ja organisatorisin suojakeinoin tapauskohtaisen riskianalyysin pohjalta.
  3. Varmista tiedon laatu. Tietojen minimoinnin periaatteen mukaisesti on tärkeää varmistaa, että käsiteltävät henkilötiedot ovat asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on juuri kyseisen tapauksen kannalta tarpeellista. Tarkastuksessa havaittu epärelevantti tieto tulee poistaa heti. Ilmoituskanavan kautta saatavan tiedon laatua voi pyrkiä edistämään kanavan käytöstä annettavalla selkeällä ohjeistuksella. Esimerkiksi terveystiedot ovat harvoin tarpeellisia.
  4. Huolehdi rekisteröidyn informoinnista. Rekisteröityä, eli tässä tapauksessa ilmoittajaa, epäilyn kohdetta sekä mahdollista kolmatta osapuolta, kuten todistajaa, tulee mahdollisimman pikaisesti informoida siitä, miten heidän tietojaan tullaan käsittelemään. Joissain tapauksissa epäilyn kohteen informointi voi estää väärinkäytösten selvittämisen, joten tiedotusta voidaan siirtää myöhempään ajankohtaan. Tilanteet vaativat aina tapauskohtaista arviointia, ja päätöksenteko perusteluineen on dokumentoitava.

 

Toimistomme avustaa joustavasti erilaisissa tietosuojaan liittyvissä kysymyksissä. Ota rohkeasti yhteyttä, mikäli esimerkiksi tietosuojakoulutuksen järjestäminen on organisaatiossanne ajankohtaista.  Tarjoamme myös valmiita tietosuojapaketteja, joihin voit tutustua tästä linkistä.

Anni Halinen

Lakimies | OTM | CIPP/E

Jaa sosiaalisessa mediassa:

Facebook
Twitter
LinkedIn