Uudistunut työelämän tietosuojasääntely tuo yrityksille haasteita

8 huhtikuuta 2019

Vastuullinen yritys huolehtii, että soveltuvaa lainsäädäntöä ja yhtiön eettistä ohjeistusta noudatetaan kaikessa toiminnassa. Yksi keino valvoa yhtiön toimintaa ja saada tietoa mahdollisista väärinkäytöksistä ovat ilmiantokanavat, jotka ovat nopeasti vakiinnuttaneet asemansa myös Suomessa. Nyt työelämän tietosuojalakiin on tehty muutoksia, joiden vaikutus ilmiantokanavien asianmukaiselle käyttämiselle voi olla merkittävä.

Code of Conduct ja ilmiantokanavat

Yhä useamman suomalaisyhtiön toimintaa ohjaa osaltaan Code of Conduct eli yhtiön eettinen ohjeistus. Code of Conductissa määritellään yhtiön toimintatavat esimerkiksi korruption ehkäisemiseksi ja eturistiriitojen ratkaisemiseksi. Code of Conductin rooli yritystoiminnan itsesääntelyssä on merkittävä, ja se täydentää pakottavasta lainsäädännöstä tulevia yrityksen velvollisuuksia ja vastuita. Code of Conduct on siten olennainen osa vastuullista yritystoimintaa.

Niin sanotuilla whistleblowing- eli ilmiantokanavilla on Code of Conductin toteutumisen ja noudattamisen valvonnan kannalta keskeinen merkitys. Joissain tapauksissa laki velvoittaa yrityksiä ylläpitämään ilmiantokanavaa, ja yhä enenevissä määrin yhtiöt käyttävät myös vapaaehtoisia, nimenomaisesti Code of Conductiin perustuvia ilmiantokanavia.

Ilmiantokanavien kautta mahdollisista väärinkäytöksistä voi ilmoittaa luottamuksellisesti ja joissain tapauksissa myös anonyymisti. Tämä madaltaa kynnystä ilmoittaa esimerkiksi arkaluontoisista häirintätapauksista tai muista rikkomuksista. Ilmiantajan kannalta on olennaista, että hänen ei tarvitse pelätä, että tehty ilmianto aiheuttaisi hänelle negatiivisia seuraamuksia. Myös EU-tasolla on jo pitkään tiedostettu ilmiantokanavien merkitys erilaisten väärinkäytösten paljastamisessa. EU:ssa onkin valmisteilla direktiivi ilmiantoja tekevien henkilöiden suojelemiseksi. Tällä halutaan varmistaa, että työntekijät ja muut sidosryhmät ilmoittaisivat aiempaa enemmän havaitsemistaan EU-lainsäädännön rikkomuksista. Direktiivin myötä ilmiantokanavat tulevat lähivuosina pääsääntöisesti pakolliseksi yrityksille, jotka työllistävät vähintään 50 henkilöä tai joiden liikevaihto tai tase on vähintään 10 miljoonaa euroa.

Uudistuva tietosuojasääntely

Eurooppalainen tietosuojasääntely harmonisoitiin Euroopan unionin yleisellä tietosuoja-asetuksella (EU) 2016/679, jota alettiin soveltaa toukokuussa 2018. Suomessa tietosuoja-asetusta täydentää kansallisen tietosuojalain lisäksi laki yksityisyyden suojasta työelämässä, eli niin sanottu työelämän tietosuojalaki, jossa asetetaan työntekijöille kansainvälisestikin arvioiden hyvin vahva oikeus yksityisyyteen.

Suomessa ilmiantokanavien käyttöönotossa ja käyttämisessä on huomioitava tiukat työntekijöiden henkilötietojen käsittelyä koskevat säännökset. Työelämän tietosuojalakiin on tehty vastikään muutoksia, jotka ensisilmäyksellä eivät vaikuta kovinkaan suurilta, mutta joiden vaikutus esimerkiksi ilmiantokanavien asianmukaiselle käyttämiselle voi olla merkittävä. Työelämän tietosuojalain mukaan työntekijää koskevat henkilötiedot on kerättävä pääsääntöisesti työntekijältä itseltään. Mikäli tietoja halutaan kerätä myös muista lähteistä, tämä edellyttää muutamia poikkeuksia lukuun ottamatta työntekijän suostumuksen.

Tietosuojaviranomainen on omassa vakiintuneessa ratkaisukäytännössään tulkinnut kyseistä säännöstä osittain lain aiempiin esitöihin tukeutuen siten, että työnantajalla on oikeus tarpeellisissa määrin kerätä tietoja myös ilman suostumusta työntekijän luotettavuuden selvittämiseksi. Tästä on usein kyse myös ilmiantokanavien kautta tulevissa yksittäistä työntekijää koskevissa ilmiannoissa. Tietosuojaviranomainen pyrki lainvalmistelun aikana tuomaan kyseisen näkökulmansa esille ja saamaan säännökseen tämän osalta oikeanlaisen sanamuodon. Nyt muutetussa työelämän tietosuojalaissa tietosuojavaltuutetun vakiintunut kanta ei kuitenkaan tullut huomioiduksi, vaan esitöiden perusteella lakia olisi tulkittava sen sanamuodon mukaisesti, jolloin ilman työntekijän suostumusta tietoja saisi kerätä vain tilanteissa, joissa i) viranomainen luovuttaa tietoja työnantajalle tämän laissa säädetyn tehtävän suorittamiseksi tai ii) jos tietojen keräämisestä tai saamisesta laissa erikseen nimenomaisesti säädetään.

Tämä muodostaa Code of Conductiin perustuvien ilmiantokanavien osalta haastavan tilanteen, koska kyseiset ilmiantokanavat eivät nimenomaisesti perustu lakiin, vaan yritysten vapaaehtoiseen väärinkäytösten valvontaan.  Tällaisten ilmiantokanavien käyttämiseen ja niiden kautta tulleiden ilmiantojen käsittelemiseen tarvittaisiin siis työntekijän suostumus.  Tavallisestihan ilmiannot koskevat yksittäisiä työntekijöitä ja heidän epäiltyjä väärinkäytöksiään. Suostumuksen hankkiminen ilmiantokanavissa tapahtuvaan työntekijöiden henkilötietojen käsittelyyn olisi kuitenkin ongelmallista, johtuen muun muassa erityisesti työsuhteen kontekstissa annetun suostumuksen erityisedellytyksistä.

Ilmiantokanavien tulevaisuus

Mikäli työnantaja ei voi kerätä ilmiantokanavansa kautta tietoja ilman työntekijöiden suostumusta, vesittyy ilmiantokanavien tärkein tarkoitus, väärinkäytösten tehokas selvittäminen. Lain valmisteluaineiston perusteella vaikuttaa siltä, että lainvalmistelijat ovat tunnistaneet laajemman tarpeen päivittää työelämän tietosuojalakia työntekijän luotettavuuden selvittämiseksi tapahtuvan tietojen keräämisen osalta. Ennen kuin lainsäädäntöä uudemman kerran muutetaan, ilmiantokanavia käyttävät yritykset ovat kuitenkin vaikean tilanteen edessä. Yhtäältä yritysten tulisi pystyä ehkäisemään Code of Conductin vastaisia väärinkäytöksiä ja puuttumaan niihin asianmukaisesti, mutta toisaalta olisi varmistettava henkilötietojen käsittelyn laillisuus. Yritysten kannattaakin arvioida käytäntöjään ja niihin liittyvää ohjeistusta sekä kysyä tarpeen mukaan neuvoa. Tuleva EU-direktiivi luo luottamusta, että ilmiantokanavista ei kuitenkaan ole tarkoitus luopua.

Kaisa Päivinen
Associate, Dittmar & Indrenius
Krista Poitsalo
Associate, Dittmar & Indrenius

Lisätietoa Code of Conducteista, whistleblowing-kanavista sekä työelämän tietosuojasääntelystä on saatavilla kattavammasta FIBSin jäsenille avoimesta julkaisusta.

Raportointi ja lainsäädäntö Muut teemat
close