Whistleblowing vaatimukset yritykselle

Nainen selaa puhelinta tietokoneen äärellä
Nainen selaa puhelinta tietokoneen äärellä
Tietosuoja on jatkuva prosessi, joka vaikuttaa ja ulottuu moniin eri lakeihin sekä toiminnallisuuksiin. Siksi on erityisen tärkeää, että jokaisessa uudistuksessa asioita mietitään myös GDPR:n näkökulmasta.

🚨 Puhallus pilliin ja katse kohti DPIA:ta 🚨

Tietosuoja on jatkuva prosessi, joka vaikuttaa ja ulottuu moniin eri lakeihin sekä toiminnallisuuksiin. Siksi on erityisen tärkeää, että jokaisessa uudistuksessa asioita mietitään myös GDPR:n näkökulmasta.

Haluammekin nyt Lawderin kanssa muistuttaa, että yli 50 henkeä työllistävien organisaatioiden on otettava käyttöönsä EU-direktiivin mukainen Whistleblowing-ilmoituskanava. Ja siitä on tehtävä vaikutustenarviointi.

Velvoite on peräisin joulukuussa 2022 voimaan tulleesta ilmoittajansuojelulaista.

Whistleblowingilla tarkoitetaan ilmoituskanavaa, jolla yrityksen työntekijät voivat turvallisesti ja anonyymisti ilmoittaa yritykselle epäilyttävästä toiminnasta tai erilaisista väärinkäytöksistä.

Tietosuojan näkökulmasta katsottuna, organisaation on muistettava tehdä whistleblowingin käyttöönoton yhteydessä myös ilmoituskanavaa koskeva vaikutustenarviointi: DPIA.

Mutta mikä ihmeen DPIA?

Tietosuojamaailman usein unohdettu kirjainmonsteri

Yrityksillä on henkilötietoja käsitellessään monenlaisia tietosuojavelvollisuuksia ja monissa yrityksissä onkin tehty paljon dokumentaatiota, suunnitelmia sekä ohjeita näiden kallisarvoisten tietojen käsittelyyn.

Hyvin yleistä yritysten tietosuoja-asioissa on kuitenkin tietosuojaa koskevan vaikutustenarvioinnin, eli kirjainyhdistelmän DPIA:n (Data Protection Impact Assessment) puute. 🤷

Vaikutustenarviointi tarkoittaa toimenpiteenä ja tekemisenä sitä, että yritys tunnistaa ja arvioi henkilötietojen käsittelyyn liittyviä riskejä sekä pyrkii minimoimaan ne etukäteen.

Vaikutustenarviointia ei ole velvollisuutta tehdä tavanomaisesta henkilötietojen käsittelystä ja monesti juuri tässä kohtaa yrityksillä saattaakin tulla asiasta kysymysmerkkejä herättäviä tulkintoja:

“Eihän meillä käsitellä tietoja millään erityisellä DPIA-tasolla?” Vai käsitelläänkö sittenkin? 🧐

Milloin vaikutustenarviointi on ensisijaisen tärkeää?

DPIA vaaditaan:

🚨 Kun yritys ottaa käyttöönsä Whistleblowing-ilmoituskanavan 👤 Kun henkilötietoja käytetään profilointiin 🖋️ Kun tehdään päätöksiä, joilla on henkilöä koskevia vaikutuksia 🏥 Kun kyseessä on laajamittainen käsittely, joka kohdistuu tietosuoja-asetuksen mukaisiin erityisiin henkilötietoihin, kuten terveystietoihin 📼 Kun kyseessä on julkisen alueen järjestelmällinen valvonta, kuten kameravalvonta

Tietosuojavaltuutetun toimisto on antanut Suomessa listan yksittäisistä henkilötietojen käsittelytoimista, joiden osalta vaikutustenarviointi tulee myös laatia.

Listan mukaan DPIA tulee tehdä esimerkiksi:

💡 Kun yrityksellä on käytössään Whistleblowing-ilmoituskanava 💡 Kun käsitellään geneettisiä tietoja 💡 Kun rekisterinpitäjä kerää henkilötiedot muualta, kuin rekisteröidyltä 💡 Kun rekisterinpitäjä poikkeaa tietosuoja-asetuksen mukaisesta informoinnista

Kuulostaako paljolta? Voit aina kysyä veloituksetta neuvoa Lawderin aulasta.

Miten teen DPIA:n?

Mitä kaikkea vaikutustenarviointiin lukeutuu ja mitä on otettava huomioon?

🛡️ Lähdetään toteuttamaan DPIA 🛡️ Luodaan DPIA:sta työkalu riskien hallitsemiseen, tunnistamiseen ja minimoimiseen 🛡️ Dokumentoidaan DPIA ja sen johtopäätökset asianmukaisesti 🛡️ Seurataan ja päivitetään henkilötietojenkäsittelyyn liittyviä riskejä DPIA:n avulla 🛡️ Päivitetään DPIA, jos käsittelytoimista aiheutuvat riskit muuttuvat esimerkiksi käsittelytarkoitusten, tietojen siirron tai uuden tekniikan vuoksi 🛡️ Laaditaan kuvaus suunnitelluista henkilötietojen käsittelytoimista ja käsittelyn tarkoituksista 🛡️ Arvioidaan käsittelyn tarpeellisuutta ja oikeasuhteisuutta tarkoituksiin nähden 🛡️ Sisällytetään erilaiset toimenpiteet (esim. henkilöstön koulutus ja ohjeistus) auttamaan riskien hallintaa ja pienentämään riskien todennäköisyyksiä Jos organisaatiossa on nimetty tietosuojavastaava, otetaan hänet mukaan DPIA:n toteutukseen. 🙋🛠️

Miksi DPIA kannattaa tehdä?

✔️ DPIA velvoitetaan tietosuoja-asetusten puolesta tiettyjen käsittelytoimien osalta. Puuttuminen on aiheuttanut seuraamusmaksuja yrityksille. ✔️ DPIA osoittaa, että yritys noudattaa tietosuoja-asetusta ✔️ DPIA:n avulla on mahdollista arvioida oman organisaation tietosuojan tasoa ✔️ DPIA lisää henkilöstön tietoisuutta tietosuojasta ✔️ DPIA kehittää yrityksen liiketoimintaprosessia entistä turvallisempaan ja tehokkaampaan suuntaan henkilötietojen käsittelyn osalta.

LAWDER AUTTAA WHISTLEBLOWING-KYSYMYKSISSÄ 🛎️

Lawder on auttanut tietosuoja-asioissa jo satoja organisaatioita. Sinun ei tarvitse olla tietosuojan ammattilainen, sillä me Lawderissa tiedämme mistä pitää huolehtia.

Voit esittää kysymyksesi tietosuojaan ja whistleblowingiin liittyen milloin vain.

Lawderin aula on aina avoin!

LUE MYÖS

Kuvassa lukko ja avaimet turkoosilla taustalla
Blogi

Henkilöstön tietosuojatietoisuuden ylläpitäminen

Tietosuojalainsäädäntö velvoittaa kaikilta organisaatioilta riittävää tasoa henkilötietojen käsittelyssä sekä niihin kohdistuvien uhkien havainnoinnissa ja torjunnassa. Henkilöstön ohjeistus, koulutus ja koulutustason seuranta on olennainen osa tietosuoja-asetuksen mukaisia organisatorisia suojatoimia.

Lue lisää
Lääkärit pöydän äärellä tabletin ja tietokoneen kanssa
Blogi

EHDS ja tietosuoja – haasteet ja mahdolliset ratkaisut

Huhtikuussa 2024 Euroopan parlamentti hyväksyi uuden lakiehdotuksen Eurooppalaisesta terveysdata-avaruudesta (EHDS, European Health Data Space). Tämä asetus pyrkii tehostamaan terveystietojen vaihtoa ja saatavuutta Euroopan unionin sisällä, edistämällä terveysdatan käyttöä sekä potilashoitoon että tutkimukseen.

Lue lisää

Lawder on palvelu yrityksille ja yhteisöille

Voit esittää kysymyksesi Lawderin virtuaalisessa aulassa. Etsimme oikean asiantuntijan kuvaamaasi tarpeeseen. Neuvonta on maksutonta.