29 elo Ilmoittajansuojelu ja rikoksiin liittyvien tietojen käsittely yrityksissä
Joulukuussa 2023 kaikista yli 50 henkilöä työllistävistä yrityksistä tulee tahoja, jotka käsittelevät rikoksiin liittyviä tietoja. Nämä tiedot ovat sellaisia, joiden käsittelyyn tarvitaan joko viranomainen tai erikseen lainsäädännöstä johdettava peruste. Perusteena toimii ilmoittajansuojelulaki, joka edellyttää kaikkia yli 50 henkilöä työllistäviä organisaatiota tarjoamaan kanavan EU:n ja kansallisen oikeuden vastaisista teoista ilmoittamiseen.
Tyypillisesti asiaa lähdetään lähestymään järjestelmän näkökulmasta: ”Tarvitsemme tietojärjestelmän, joka ratkaisee tämän ongelman.” On kuitenkin hyvä muistaa, että ilmoituskanavat ovat vain tietojärjestelmiä, joilla ilmoitukset välitetään. Itse henkilötietojen käsitteleminen lähtee liikkeelle vasta tilanteesta, kun tietojärjestelmään ilmoitus tehdään. Tällaisissa tapauksissa tiedot ovat usein arkaluonteisia ja käsittely korkeariskistä, joten tietojenkäsittely vaatiikin erityistä huomiota. Siksi ilmoituskanavista tulee laatia tietosuojavaltuutetun ohjeistuksen mukaan tietosuojaa koskeva vaikutusarviointi. Korkeita riskejä liittyy myös itse tutkintaan, eikä tutkinta välttämättä tapahdu suoranaisesti organisaation hankkimassa ilmoituskanavassa.
Mitä ovat “rikoksiin liittyvät tiedot”?
Rikostuomioihin ja rikoksiin liittyvät tiedot ovat tietosuoja-asetuksen kymmenennen artiklan tarkoittamia tietoja, joita saa käsitellä vain tietyin ehdoin (aiemmassa suomenkielisessä asetuksen käännöksessä oli sana ”rikkomuksiin”, korjattu oikaisussa 2021). Kyse ei ole vain lainvoimaisten tuomioiden käsittelystä. Ympäri maailmaa löytyy tulkintoja siitä, mitä näillä tiedoilla tarkoitetaan. Esimerkiksi Ison-Britannian vielä kuuluessa unioniin, valvontaviranomainen on ilmaissut näiden tietojen osalta tulkinnan olevan laaja ja käsittävän mitä tahansa tietoja, joiden perusteella voi oppia jotain yksityisen ihmisen rikostaustasta tai käyttäytymisestä.
Pohjoismaista Ruotsin yksityisyydensuojaviranomainen on maininnut kyseisten tietojen käsittävän tiedot myös rikosepäilyistä. AEPD Espanjassa on vienyt tulkinnan niin pitkälle, että jopa nuhteettomuusrekisteri, jossa on henkilöitä, joilla ei ole rikostaustaa, olisi rikostietojen käsittelyä. Viranomainen määräsi yrityksen lopettamaan nuhteettomuustodistusten keräämisen, tuhoamaan kerätyt todistukset ja kahden miljoonan euron hallinnollisen seuraamusmaksun lainvastaisesta henkilötietojen käsittelystä.
Näillä perusteilla kaikki henkilötietojen jatkokäsittely ilmoituksen vastaanoton jälkeen on 10. artiklan piiriin kuuluvaa tietoa, jonka osalta on huolehdittava lainmukaisuusperusteista sekä käsittelyn riskeistä, vastuista ja velvoitteista.
Suunnittele tutkinta etukäteen
Tutkintatapaukset etenevät yleensä hyvin samalla tavalla riippumatta siitä, millaisesta tapauksesta on kyse. Väärinkäytöstutkinnassa yksi tapa jäsentää tutkinnan etenemistä on tutkinnan jäsentäminen seuraaviin ajallisessa järjestyksessä eteneviin päävaiheisiin:
- Tutkintapäätös
- Suunnittelu
- Tiedonkeruu
- Faktojen arviointi
- Raportointi
- Seuraamukset ja korjaavat toimenpiteet
Kannattaa pohtia kenellä on oikeus tehdä päätöksiä tutkinnasta ja sen laajuudesta. Suunnitteluvaiheessa tulee erityisesti kiinnittää huomiota siihen, miten se toteutetaan paljastamatta itse epäilyä tai siihen liittyviä henkilöitä. Tiedonkeruu on organisoitava hyvin; mitä tietoja tarvitaan, keneltä ne hankitaan, miten ja missä niitä säilytetään luottamuksellisuuden varmistamiseksi. Arvioinnin tulee aina olla mahdollisimman objektiivinen, joten osallistuvan henkilöstön ja käytetyn näytön kattavuus tulee arvioida huolella. Kannattaa määritellä myös kenelle raportoidaan ja mitä. Ja onko seuraamukset ja korjaavat toimet jonkun muun kuin tutkintaa suorittavien käsittelijöiden vastuulla. Ja miten varmistetaan ilmoituksen tekijän, tutkinnan kohteen ja asiaan liittyvien oikeudet ja vapaudet prosessin loppuun saakka.
Jos käytät tutkinnassa alihankkijoita, ole erityisen tarkka siitä, että heillä on asianmukaiset luvat (turvallisuusalan elinkeinoluvan haltijat, asianajajat, tilintarkastajat). Tai rajoita tutkinta siten, ettei rikoksiin liittyviä tietoja tule luovutettua organisaation ulkopuolelle.
Huolehdithan, että myös ilmoituksen jälkeinen jatkoprosessi on lainmukainen ja hallitset riskit, kun itse tutkinta alkaa. Sisällytä myös tutkintaprosessi tietosuojaa koskevaan vaikutustenarviointiin, koska usein vasta siinä vaiheessa mukaan tulee korkeita riskejä.
Tietosuojavastaavamme Jari Ala-Varvi keskustelee aiheesta myös PrivacyPodin jaksossa – otahan siis podcast kuunteluun, jos aihe kiinnostaa.
Jos kaipaat apuja ilmoittajansuojalakiin liittyvissä tietosuoja-asioissa, voit olla yhteydessä asiantuntijoihimme.