Whistleblowing – ilmoittajien suojelua koskeva laki tuli voimaan 1.1.2023
Ilmoittajansuojelulaki tuli voimaan 1.1.2023. Lailla on pantu täytäntöön EU:n ilmoittajansuojeludirektiivi (whistleblowing-direktiivi). Laissa säädetään väärinkäytöksistä ilmoittavien henkilöiden suojelusta, velvollisuudesta ottaa kanava käyttöön sekä käyttöön liittyvistä vastuista ja velvollisuuksista.
Ilmoittajansuojelulaki tuli voimaan 1.1.2023. Lailla on pantu täytäntöön EU:n ilmoittajansuojeludirektiivi (whistleblowing-direktiivi). Laissa säädetään väärinkäytöksistä ilmoittavien henkilöiden suojelusta, velvollisuudesta ottaa kanava käyttöön sekä käyttöön liittyvistä vastuista ja velvollisuuksista.
Väärinkäytösten ilmoittajien suojelu on ollut EU:ssa epäyhtenäistä ja ilmoittajat eivät kaikissa tilanteissa ole saaneet kunnollista suojaa vastatoimia vastaan. Tämä puolestaan on voinut johtaa siihen, että väärinkäytöksistä ei ole uskallettu ilmoittaa eikä väärinkäytöksistä ole saatu tietoa. Direktiivin ja nyt voimaan tulleen ilmoittajansuojelulain tarkoituksena on luoda yhdenmukaiset vähimmäisvaatimukset ilmoittajien suojelulle julkiselle ja yksityiselle sektorille koko EU:n alueella ja varmistaa, että henkilö, joka työnsä yhteydessä havaitsee tai epäilee väärinkäytöksiä, voi ilmoittaa siitä turvallisesti.
Keskeinen sisältö
Laki velvoittaa pääsääntöisesti kaikkia vähintään 50 työntekijää työllistäviä organisaatioita perustamaan sisäisen ilmoituskanavan väärinkäyttöilmoituksia varten. Velvollisuus koskee laajasti eri aloilla toimivia yrityksiä, yhteisöjä ja julkishallinnon toimijoita. Yksityiset elinkeinonharjoittajat eli toiminimiyritykset on rajattu ilmoituskanavan perustamisvelvollisuuden ulkopuolelle. Organisaatioita koskevien velvoitteiden lisäksi laki velvoittaa jäsenvaltioita perustamaan ulkoisen ilmoituskanavan tai ulkoisia ilmoituskanavia, joissa ilmoitukset tehdään erikseen määriteltäville viranomaisille. Suomessa tämän ilmoituskanavan toiminnasta vastaa oikeuskansleri.
Lakia sovelletaan aloihin, joita koskevien säännösten rikkominen voisi aiheuttaa vakavaa haittaa yleiselle edulle. Näitä aloja ovat mm. julkiset hankinnat, ympäristönsuojelu, elintarvikkeiden ja liikenteen turvallisuus, kuluttajansuoja, yksityisyyden ja henkilötietojen sekä verkko- ja tietojärjestelmien turvallisuus.
Soveltamisala on rajattu työn yhteydessä saatuihin tietoihin. Laki kattaa sekä nykyiset että aikaisemmat työntekijät samoin kuin työnhakijat, itsenäiset ammatinharjoittajat, osakkeenomistajat ja hallintoelimen jäsenet, vapaaehtoistyöntekijät, harjoittelijat sekä toimeksisaajien, alihankkijoiden ja tavarantoimittajien työntekijät. Lakia sovelletaan yhtä lailla julkisella ja yksityisellä sektorilla työskenteleviin.
Organisaatio voi päättää ottaa sisäisessä ilmoituskanavassa vastaan myös nimettömiä ilmoituksia.
Suojan edellytykset
Ilmoittajan suojelun edellytyksenä on, että ilmoittajalla on ilmoitushetkellä perusteltu syy uskoa rikkomista koskevien tietojen pitävän paikkansa. Ilmoittajan ei tarvitse olla varma tiedon paikkansapitävyydestä, mutta vilpitöntä mieltä häneltä edellytetään. Ilmeisen paikkansapitämättömät tiedot tai perusteettomat huhupuheet tai tiedot, jotka ovat jo kokonaisuudessaan julkistettuja, eivät oikeuta suojaan. Ilmoittamisen taustalla olevilla motiiveilla ei ole vaikutusta arvioitaessa sitä, täyttyvätkö ilmoittajan suojelun edellytykset.
Ilmoitus on tehtävä ensisijaisesti sisäiseen ilmoituskanavaan. Jos yrityksellä ei ole sellaista ole, ilmoitus voidaan tehdä Oikeuskanslerinviraston ylläpitämään viranomaiskanavaan. Tietyin edellytyksin tieto voidaan myös julkistaa esim. joukkoviestinten kautta.
Suojan sisältö
Ilmoittajaan ei saa kohdistaa mitään epäedullisia vastatoimia tai seuraamuksia sen vuoksi, että hän on tehnyt ilmoituksen ilmoituskanavaan tai julkistanut tiedon lain mukaisin edellytyksin. Suoja koskee myös ilmoittajaa, joka on ilmoittanut rikkomista koskevan tietonsa nimettömästi, jos hänet tunnistetaan myöhemmin. Vastatoimena voidaan pitää lähes mikä tahansa tekoa tai laiminlyöntiä, joka aiheuttaa tai voi aiheuttaa ilmoittajalle perusteetonta haittaa. Esimerkiksi työsuhteen päättäminen tai lomauttaminen ovat kiellettyjä vastatoimia, jos niille ei ole lain mukaista perusteta ja ne ovat syy-yhteydessä ilmoittamiseen. Samoin muut toimet kuten työsuhteen ehtojen heikentäminen voi olla kielletty vastatoimi.
Vastatoimien kielto koskee myös yritysten välisiä suhteita. Jos ilmoittajalta vaikkapa evätään tavaroiden tai palveluiden toimittaminen ilmoituksen kohteena olevalle tilaajalle, sopimussuhde päätetään ennenaikaisesti tai ilmoittajaan kohdistetaan muita kielteisiä seurauksia, kysymys voi olla kielletystä vastatoimesta.
Ilmoittajalla on oikeus hyvitykseen ja vahingonkorvaukseen, jos häneen on kohdistettu kiellettyjä vastatoimia. Hyvitystä voidaan vaatia, vaikka vastatoimesta ei olisi aiheutunut vahinkoa ja vaikka suojelua olisi rikottu tahattomasti. Vahingonkorvauksen edellytyksenä sen sijaan on, että vastatoimien kieltoa on loukattu tahallisesti ja että aiheutuneen vahingon määrä voidaan näyttää toteen.
Henkilötietojen suoja ja tietoturva ilmoituskanavassa ja ilmoitusten käsittelyssä
Väärinkäytöksistä ilmoittaminen perustuu luottamuksellisuuteen ilmoittajien ja ilmoituksen kohteen henkilöllisyydestä. Lisäksi ilmoituskanavissa käsitellään esimerkiksi todistajien ja kollegoiden henkilötietoja. Henkilötietojen suojalla ja tietoverkojen turvallisuudella on siten keskeinen asema ilmoituskanavan käyttämisen ja toiminnan kannalta.
Henkilötietojen käsittelystä säädetään tietosuoja-asetuksessa ja tietosuojalaissa, joita sovelletaan myös ilmoituskanavissa tapahtuvaan henkilötietojen käsittelyyn. Tietosuojalainsäädännöllä turvataan näin osaltaan ilmoittajien ja ilmoituksen kohteiden oikeussuojaa. Ilmoittajansuojelulaissa henkilötietojen suojasta säädetään lisäksi mm. määräämällä, että ilmoittajan ja ilmoituksen kohteen henkilötietoja saavat käsitellä vain nimetyt henkilöt, ilmoittajan ja ilmoituksen kohteen henkilöllisyys on pidettävä salassa ja että tiedot on poistettava viiden vuoden kuluttua ilmoituksen saapumisesta, jollei säilyttäminen ei ole välttämätöntä jollakin muulla perusteella.
Tietosuojariskien torjumisen kannalta merkitystä on erityisesti tietosuoja-asetuksen mukaisella vaikutustenarvioinnilla (DPIA, Data Protection Impact Assessment), joka ilmoituskanavista on tietosuojavaltuutetun päätöksen mukaisesti tehtävä. Vaikutustenarvioinnissa kuvataan henkilötietojen käsittelyä, arvioidaan sen tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä samoin kuin toimenpiteitä, joilla riskeihin puututaan.
Lopuksi
Lain voimaantulo ei välttämättä edellytä yrityksiltä toimenpiteitä, sillä useilla yrityksillä ja julkisilla organisaatioilla on ollut jo ennestään käytössä ilmoituskanavia, joiden kautta on voitu tehdä ilmoituksia esimerkiksi henkilöstöasioista, työturvallisuuteen liittyvistä väärinkäytöksistä tai epäeettisestä toiminnasta. Lain valmistelutöiden yhteydessä vuonna 2021 tehdyn kyselyn yhteydessä kuitenkin ilmeni, että puolella vastanneista organisaatioista ei ollut käytössään ilmoituskanavaa ja puolet näistä ilmoitti, ettei kanavan hankinta ollut suunnitteillakaan. Tämä voi tarkoittaa, etteivät yritykset ainakaan tuolloin vielä tienneet direktiivin mukaisesta velvollisuudesta tarjota ilmoituskanava.
Yritykset voivat järjestää sisäisen ilmoituskanavan itse tai hankkia sen ulkopuoliselta palvelujen tarjoajalta. Samoin tietosuojavaatimusten toteuttaminen voi edellyttää palveluiden hankkimista ulkopuolelta, jos yrityksellä ei ole tähän liittyvää osaamista. Ota meihin yhteyttä, jos haluat apua ilmoituskanavan perustamisessa, käyttöönotossa, ilmoitusten vastaanottamisessa ja hallinnoimisessa tai ilmoituskanavaan liittyvissä tietosuoja- ja tietoturvakysymyksissä. Laaja tietoturvan ja riskienhallinnan kokemuksemme sekä tietosuojajuridinen osaamisemme varmistavat kaikkien asiassa vaadittavien relevanttien näkökohtien tulemisen huomioiduiksi.
