Whistleblower-ilmoituskanavan tietosuojailmoitus

Tietosuojailmoitus (versio 2.0, 01.03.2023)

Tietosuojailmoitus perustuu EU:n yleiseen tietosuoja-asetukseen (2016/679, ”tietosuoja-asetus”) ja tietosuojalakiin (1050/2018). Tietosuojailmoitusta voidaan päivittää aika ajoin, ja rekisteröityjä kehotetaan seuraamaan ajankohtaisia tietoja tämän tietosuojailmoituksen julkaisupaikoissa.

1. Käsittelytoimen nimi

Whistleblower-ilmoituskanava ja ilmoitusten selvitysprosessi.

2. Rekisterinpitäjä, tietosuojavastaava ja yhteyshenkilö

Teknologian Tutkimuskeskus VTT Oy (”VTT”), Y-tunnus: 2647375-4, Tekniikantie 21, 02150 Espoo

Yhteyshenkilö:
Nimi: Laura Puronen (sisäinen tarkastaja), Heli Helenius (compliance officer)
Osoite: Teknologian tutkimuskeskus VTT Oy, Tekniikantie 21, 02150 Espoo
Yhteyshenkilöiden sähköpostit muotoa [email protected]

Tietosuojavastaavan yhteystiedot:
Osoite: Teknologian tutkimuskeskus VTT Oy, Kirjaamo, Kivimiehentie 3, 02150 Espoo 
[email protected] (tietosuojavastaava, tietoturvapäällikkö sijaisineen)

Henkilöiden sähköpostiosoite on muotoa: [email protected] 
 

3. Henkilöryhmät ja käsiteltävät henkilötiedot

Henkilöt, joiden henkilötietoja käsitellään,edustavat seuraavia ryhmiä:

  1. Whistleblower-ilmoituskanavaan ilmoituksen tehnyt henkilö
  2. Ilmoituksen kohteena oleva henkilö
  3. Muu ilmoituksessa tai selvitysprosessissa esiin tullut henkilö (esim. todistaja, kuultava, muu sivullinen)
  • Whistleblower -ilmoituskanava:
    • ilmoittajan antamat omat yhteystiedot (nimi, puhelinnumero, sähköposti)
    • ilmoittajan väärinkäytöksen kuvaukseen sisällyttämät henkilötiedot
  • Compliance-komitean selvitysprosessissa käsiteltävät henkilötiedot.
    • Sisäinen tarkastaja voi pyytää selvitystä varten tietoja VTT:n tietojärjestelmistä ja selvitysprosessissa kuultavilta henkilöiltä.

Tiedot voivat sisältää erityisiä henkilötietoja (esim. henkilön terveydentilaa koskevia tietoja), rikos- tai rikkomustietoja siltä osin kuin näitä selvitysprosessissa nousee esiin. Lähtökohtaisesti näitä henkilötietoryhmiä ei käsitellä. Ilmoituskanavan ohjeistus kehottaa ilmoittajaa rajaamaan henkilötiedot vain välttämättömiin, mutta koska ilmoittaja voi itse syöttää tietoja, ei rekisterinpitäjällä ole mahdollisuutta rajoittaa mitä henkilötietoa, myös mahdollisesti erityisiä henkilötietoryhmiä käsitellään.

4. Käsittelytarkoitus ja oikeusperuste

Henkilötietojen käsittelyn tarkoitukset ovat:

  1. Whistleblower-ilmoituskanavan ilmoitusten käsittely ja
  2. Compliance-komitean selvitysprosessissa ilmoitusten selvittäminen

Ilmoitus on mahdollista jättää nimettömänä. Tällöin ilmoituksen tehneen henkilön tunnistetietoja ei käsitellä, ellei henkilö myöhemmin anna ilmi henkilöllisyyttään. Henkilön tunnistaminen voi tällöinkin seurata henkilön ilmoituksessaan antamien tietojen yhdistelmästä johtuen.

VTT informoi alla olevien henkilöryhmien edustajia näiden henkilötietojen käsittelystä kuukauden (1) kuluessa ilmoituksen vastaanottamisesta ja/tai henkilötietojen käsittelyn aloittamisesta. Ilmoittamisesta voidaan poiketa, jos se on välttämätöntä rikosten ehkäisemiseksi tai selvittämiseksi (tietosuojalaki 33 §).

Henkilöryhmä

Ilmoituksen tehnyt henkilö

Käsittelytoimi

Ilmoituksen käsittely ja epäillyn väärinkäytöksen selvitysprosessi

Oikeusperuste

Rekisterinpitäjän lakisääteinen velvoite. Ilmoituskanavan tarjoaminen ja ilmoitusten selvittäminen on säädetty  Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022.  

Rekisterinpitäjän oikeutettu etu väärinkäytösten selvittämiseksi, mikäli kyseessä ei ole lakisääteisen velvoitteen piirissä oleva asia.* 

       

Henkilöllisyyden paljastaminen ilmoituksen kohteena olevalle henkilölle ja selvitysprosessiin osallistuville (esim. todistaja, kuultava) 

Suostumus**.  Lähtökohtaisesti VTT ei paljasta ilmoittajan henkilöllisyyttä ja pyrkii varmistamaan, että ilmoituksesta ei voi tehdä johtopäätöksiä ilmoituksen tehneen henkilön henkilöllisyydestä. 

Ilmoituksen kohteena oleva henkilö

Ilmoituksen käsittely ja epäillyn väärinkäytöksen selvitysprosessi

Rekisterinpitäjän lakisääteinen velvoite.  Ilmoituskanavan tarjoaminen ja ilmoitusten selvittäminen on säädetty Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022

Rekisterinpitäjän oikeutettu etu väärinkäytöstenselvittämiseksi, mikäli kyseessä ei ole lakisääteisen velvoitteen piirissä oleva asia

Erityiset henkilötietoryhmät: Käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Selvitysprosessiin osallistuva (esim. todistaja, kuultava, muu sivullinen tai ilmoituksessa mainittu henkilö)

Ilmoituksen käsittely ja epäillyn väärinkäytöksen selvitysprosessi

Ilmoituskanavan tarjoaminen ja ilmoitusten selvittäminen on säädetty Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022

Rekisterinpitäjän oikeutettu etu väärinkäytöstenselvittämiseksi, mikäli kyseessä ei ole lakisääteisen velvoitteen piirissä oleva asia.

* Rekisterinpitäjän oikeutettujen etujen piiriin kuuluvat myös seuraavat perusteet: oikeus varmistaa, että henkilöstön toiminta on lain ja VTT:n ohjeiden mukaista, oikeus torjua taloudellisia tappioita ja välttää maineriskejä, oikeus varmistaa henkilöstön oikeusturva (esim. suojaten aiheettomilta syytöksiltä ja maineriskiltä), oikeus parantaa VTT:n vaatimuksenmukaisuutta. Näissä tilanteissa rekisterinpitäjän oikeutettu etu arvioidaan painavammaksi kuin rekisteröidyn, erityisesti ilmoituksen kohteena olevan henkilön oikeus päättää henkilötietojensa käsittelystä.

** Ilmoituksen tehneen henkilön henkilöllisyyttä ei paljasteta ilmoituksen kohteena olevalle henkilölle tai selvitysprosessiin osallistuvalle henkilölle ilman suostumusta. Ilmoituksen tehneeltä henkilöltä pyydetään erikseen suostumus henkilöllisyyden paljastamiseen ilmoituksen kohteena olevalle henkilölle. Tämän suostumuksen peruuttaminen on mahdollista vain siihen saakka, kunnes henkilöllisyys on paljastettu. Henkilöllisyyden paljastaminen ilman suostumusta voi tulla myöhemmin prosessissa kyseeseen myös (i) ilmoituksen kohteena olevan henkilön oikeussuojan vuoksi tai (ii) mikäli selvitettävä kysymys on merkittävä ja selvitysprosessia ei voida viedä läpi henkilöllisyyden paljastumatta.  

5. Henkilötietojen tietolähteet

Tieto

Ilmoituksen tiedot (Whistleblower-ilmoituskanava)

Tietolähde

Whistleblower-ilmoituskanavan ilmoitukset. 

Compliance-komitean selvitysprosessin tiedot

Tiedot mahdollisesta non-compliance tapahtumasta kerää asiaa tutkimaan nimetty taho (useimmiten VTT:n sisäinen tarkastaja) VTT:n tietojärjestelmistä (mm. kulunvalvonta, työaikakirjaukset, matka-kululaskujärjestelmä) sekä rekisteröidyltä itseltään ja mahdollisesti ilmoittajan nimeämiltä lisätietoja antavilta tahoilta. 

Mikäli kyseessä on vakava rikosepäily, tutkinta voidaan tehdä henkilön itsensä siihen osallistumatta tutkinnan ja todistusaineiston suojaamiseksi. Tutkittavalle tehdään henkilötietojen käsittelyä koskeva ilmoitus, ellei ilmoittamisesta ole välttämätöntä poiketa rikosten ehkäisemiseksi tai selvittämiseksi (tietosuojalaki 33 §).

6. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Mikäli selvitysprosessi vaatii ulkopuolista asiantuntemusta (esim. juridiset palvelut), henkilötietoja voidaan antaa poikkeuksellisesti VTT:n lukuun toimivalle selvitysprosessiin osallistuvalle asiantuntijataholle.

Henkilötietoja ei muutoin anneta ilmoituskanavan kautta tai muutoin väärinkäytöksen selvitysprosessin läpiviemiseksi VTT:n ulkopuolelle. Rikosepäilyt selvitysmateriaaleineen voidaan siirtää esitutkintaviranomaisille (poliisi) tai muille toimivaltaisille viranomaisille.

7. Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle. Mikäli yksittäistapauksessa tästä on tarve poiketa esim. kyseistä tapausta koskevasta vastaanottajasta johtuen (kohta 7), siirrossa nojataan tietosuoja-asetuksen V luvun siirtoperusteisiin, tyypillisesti joko komission riittävyyspäätökseen kohdemaan suojatasoa koskien tai komission mallilausekkeisiin, jolloin siirron lainmukaisuus arvioidaan.

8. Automaattinen päätöksenteko

Automaattista päätöksentekoa ei tehdä.

9. Henkilötietojen säilyttäminen

Tieto

Ilmoituksen tiedot

Säilytysaika

Jos selvitysprosessia ei aloiteta, 60 päivää tätä koskevasta päätöksestä. Mahdollisten vastatoimiväitteiden vuoksi ilmoituksesta säilytetään tunnistetiedot väitteille säädettävä kanneaika huomioiden.

Jos selvitysprosessi aloitetaan, alla olevan mukaisesti.

Selvitysaineisto

Ilmoitus ja selvitysaineisto säilytetään 5 vuotta ilmoituksen vastaanottamisesta, ellei asiaan olennaisesti liittyvät jatkotoimet ole kesken tai pidempi säilyttäminen ole tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. 

Mikäli jokin henkilötieto ei ole ilmoituksen käsittelemiseksi tai selvitysprosessissa muutoin tarpeellista, se poistetaan käsiteltävästä aineistosta tätä aikaisemmin välittömästi. Ilmoituksille tehdään vastaanottotarkastus, jossa tarpeettomat henkilötiedot poistetaan.

10. Henkilötietojen suojauksen periaatteet

Whistleblower-ilmoituskanavan ja ilmoitusten selvittämisprosessin henkilötiedot käsitellään luottamuksellisesti ja vain tähän tarkoitukseen osoitetussa tietoturvallisessa käsittely-ympäristössä. Henkilötietoihin on pääsy vain niillä VTT:n työntekijöillä, joilla on tarve saada tietoja selvityksen suorittamiseksi tai mahdollisten seuraamusten toimeenpanemiseksi. Whistleblower-ilmoituskanavaan pääsy on rajattu nimetyille henkilöille (sisäinen tarkastaja, compliance officer).

11. Rekisteröidyn oikeudet

Rekisteröidyn oikeudet vaihtelevat soveltuvan käsittelyn oikeusperusteen mukaisesti.

Jos käsittelyn oikeusperuste on lakisääteinen velvoite, rekisteröidyllä on lähtökohtaisesti seuraavat oikeudet:

  • oikeus saada informaatiota henkilötietojen käsittelystä, ellei laissa erikseen säädetty poikkeusta
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai käsittelyn rajoitusta koskeva ilmoitusvelvollisuus
  • oikeus olla johtumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta
  • oikeus tehdä valitus valvontaviranomaiselle

Jos käsittelyn oikeusperuste on rekisterinpitäjän oikeutettujen etujen toteuttaminen, rekisteröidyllä on lähtökohtaisesti seuraavat oikeudet:

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (ns. ”oikeus tulla unohdetuksi”)
  • oikeus rajoittaa tietojen käsittelyä
  • oikeus vastustaa tietojen käsittelyä
  • oikeus tehdä valitus valvontaviranomaiselle

Jos käsittelyn oikeusperuste on rekisteröidyn suostumus, rekisteröidyllä on lähtökohtaisesti seuraavat oikeudet:

  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus peruuttaa suostumuksensa (ja oikeus poistaa tiedot)
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (ns. ”oikeus tulla unohdetuksi”)
  • oikeus rajoittaa tietojen käsittelyä
  • oikeus siirtää tiedot järjestelmästä toiseen
  • oikeus tehdä valitus valvontaviranomaiselle

Rekisteröityjen oikeuksista voidaan poiketa ja/tai niitä voidaan rajoittaa soveltuvan lainsäädännön mukaisesti. Rajoittaminen ja poikkeaminen tarkistetaan tapauskohtaisesti.

Rekisteröity voi toteuttaa yllämainitut oikeutensa ottamalla rekisterinpitäjään yhteyttä kohdassa 2 määriteltyjen yhteystietojen avulla, mieluiten sähköpostitse.

Lisätietoa oikeuksista:

Oikeus peruuttaa suostumuksensa

Mikäli käsittely perustuu suostumukseen, rekisteröidyllä on oikeus peruuttaa suostumuksensa henkilötietojensa käsittelyä koskien. Suostumuksen peruuttaminen ei ole mahdollista selvitysprosessin tiettyjen vaiheiden jälkeen. Esimerkiksi ilmoittajan henkilöllisyyden paljastaminen ilmoituksen kohteena olevalle henkilölle ei ole peruutettavissa tiedon paljastamisen jälkeen. Käsittely voi tämän jälkeen myös perustua muuhun oikeusperusteeseen.

Rekisteröidyn oikeus saada pääsy tietoihin

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja. Rekisteröidyllä on lisäksi oikeus saada pääsy rekisteröityä itseään koskeviin henkilötietoihin sekä tiedot henkilötietojen käsittelystä. 

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on oikeus saada rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä oikaistua ja puutteelliset henkilötiedot täydennettyä. 

Oikeus tietojen poistamiseen, ns. ”oikeus tulla unohdetuksi”

Rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä. 

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on tietyissä tilanteissa oikeus vaatia, että rekisterinpitäjä rajoittaa käsittelyä. 

Oikeus vastustaa käsittelyä

Rekisteröidyllä on tietyissä tilanteissa oikeus vastustaa häntä itseään koskevien henkilötietojen käsittelyä. Tällöin henkilötietoja ei enää käsitellä, ellei ole osoitettavissa käsittelyyn huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Vastustamisoikeus ei koske lakisääteistä käsittelyä. 

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle siltä osin kuin käsittely perustuu suostumukseen tai sopimukseen, ja käsittely suoritetaan automaattisesti.

Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaisille, jos rekisteröity katsoo, että hänen oikeuksiaan on EU:n tietosuoja-asetuksen valossa loukattu: 

Tietosuojavaltuutetun toimisto
www.tietosuoja.fi/yhteystiedot

Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki
Postiosoite: PL 800, 00531 Helsinki
Puhelinvaihde: 029 566 6700
Kirjaamo: 029 566 6768
Sähköposti (kirjaamo): tietosuoja(at)om.fi