‹ Takaisin11.03.2024

Maaliskuu 1/2024: Ilmoittajansuojelulaki – Mitä se tarkoittaa käytännössä organisaatioille, ilmoittajille ja sisäiselle tarkastajalle?

1. Milloin ilmoittajansuojelulakia sovelletaan?

Ilmoittajansuojelun tarkoituksena on antaa suoja tietyntyyppisten väärinkäytösten ilmoittajille. Ilmoittajansuojelulain[1] mukaisena ilmoittajana pidetään henkilöä, joka työnsä yhteydessä perustellusti uskoo havainneensa Euroopan unionin tai kansallisen oikeuden rikkomista alla luetelluissa asioissa:

  • julkiset hankinnat lukuun ottamatta puolustus- ja turvallisuushankintoja
  • finanssipalvelut, -tuotteet ja -markkinat
  • rahanpesun ja terrorismin rahoittamisen estäminen
  • tuoteturvallisuus ja vaatimustenmukaisuus
  • liikenneturvallisuus
  • ympäristönsuojelu
  • säteily- ja ydinturvallisuus
  • elintarvikkeiden ja rehujen turvallisuus sekä eläinten terveys ja hyvinvointi
  • Euroopan unionin toiminnasta tehdyn sopimuksen 168 artiklassa tarkoitettu kansanterveys
  • kuluttajansuoja
  • yksityisyyden ja henkilötietojen suoja
  • verkko- ja tietojärjestelmien turvallisuus.

Lisäksi ilmoituksia voidaan tehdä:

  • Euroopan unionin varainhoitoa tai menojen toteuttamista tai unionin tulojen tai varojen keräämistä koskevien sääntöjen rikkomisesta
  • avustusten tai valtiontukien myöntämistä, käyttämistä tai takaisinperintää koskevien sääntöjen rikkomisesta
  • kilpailusääntöjen rikkomisesta
  • yritysten ja yhteisöjen verosääntöjen rikkomisesta tai järjestelyistä veroetujen saamiseksi
  • kuluttajan suojaamiseksi säädetyn lainsäädännön rikkomisesta.

Ilmoittajan on tehtävä siitä ilmoitus joko nimellään tai nimettömästi ensisijaisesti organisaation omaan ilmoituskanavaan (ja toissijaisesti oikeuskanslerinviraston ilmoituskanavaan). Organisaatiolla on oltava oma ilmoituskanava, jos sillä on yli 50 työntekijää. Sellaisilla finanssisektorin tai rahanpesusääntelyn soveltamisalaan kuuluvilla toimijoilla, joilla on jo nykyisin velvollisuus ylläpitää sisäistä ilmoituskanavaa, on velvollisuus perustaa lain mukainen sisäinen ilmoituskanava työntekijämäärästä riippumatta. Alle 250 mutta yli 50 työntekijän organisaatioiden siirtymäajat kuluivat umpeen joulukuussa 2023.

Organisaatio voi päättää, käsitteleekö se nimettömät ilmoitukset. Mikäli ne käsitellään ja ilmoittaja on valinnut nimettömän ilmoittamisen, tulee sitä kunnioittaa myös ilmoituksen jatkokäsittelyssä.

Lain mukaan sisäisessä ilmoituskanavassa on voitava ilmoittaa kirjallisesti tai suullisesti. Sanamuodon perusteella organisaation on mahdollista kuitenkin päättää, että se vastaanottaa vain kirjallisia ilmoituksia.

Saapuneesta ilmoituksesta on toimitettava aina myös vastaanottoilmoitus seitsemän päivän kuluessa, esimerkiksi automaattiviestillä. Nimettömänä tehtyjä ilmoituksia ei tarvitse kuitata vastaanotetuksi.

2. Miten ilmoittajansuojelulaki vaikuttaa?

Ilmoittajansuojelu kieltää työnantajan vastatoimet ilmoittajaa ja ilmoittajaksi rinnastettavia henkilöitä kohtaan ilmoituksen takia: esimerkiksi palvelussuhteen ehtojen heikentämisen tai sen päättämisen, tai lomauttamisen. Työpaikkakiusaaminen on yksi vastatoimien muoto, mutta todentamisen kannalta astetta haastavampi.

3. Kuka voi nauttia ilmoittajansuojelulain suojaa?

Ilmoittaja voi olla

  • työ- tai virkasuhteessa
  • itsenäinen ammatinharjoittaja
  • osakkeenomistaja
  • yhteisön tai säätiön hallituksen tai hallintoneuvoston jäsen tai toimitusjohtaja
  • vapaaehtoistyöntekijä
  • harjoittelija.

Lisäksi suoja annetaan henkilölle, joka avustaa ilmoittajaa ilmoittamismenettelyssä tai on yhteydessä ilmoittajaan ja on myös vaarassa työnsä tai asemansa vuoksi joutua vastatoimien kohteeksi ilmoituksen takia. Tällainen henkilö voi olla esimerkiksi työpaikan luottamushenkilö, luottamusvaltuutettu, työsuojeluvaltuutettu, muu henkilöstön edustaja tai ilmoittajan sopimuskumppani, työtoveri tai sukulainen.

4. Organisaation velvollisuudet dokumentaation suhteen

Lain 37 §:n perusteella yrityksen on pystyttävä osoittamaan saapuneiden ilmoitusten määrä ja niiden aiheuttamat toimenpiteet, myös vastaanottoilmoituksen tai automaattisen vastaanottokuittauksen toimittaminen. Ilmoituskanavien kautta tulevien tietojen säilyttämisestä on säädetty erikseen lain 29 §:ssä.

5. Tietosuoja- ja yt-velvoitteet

Ilmoittajansuojelulaissa ilmaistujen vaatimusten lisäksi ilmoituskanavaan sovelletaan myös tietosuojalainsäädännön sekä yritysten yhteistoiminnan vaatimuksia. Esimerkiksi henkilötietojen kerääminen sisäisessä ilmoituskanavassa kuuluu käsitellä myös yhteistoimintalain mukaisessa vuoropuhelussa. Lisäksi ilmoituskanavasta tulee tietosuojavaltuutetun päätöksen mukaisesti tehdä tietosuoja-asetuksen mukainen vaikutustenarviointi, jossa kuvataan henkilötietojen käsittelystä aiheutuvia riskejä, sekä toimenpiteitä, joilla riskeihin puututaan. Mikäli organisaatio päättää käsitellä ilmoituksia lainsäädäntöä laajemmin, huomioiden sisäiset toimintaohjeet (Code of Conduct), tulee suorittaa myös oikeutetun edun tasapainotesti.

6. Sisäisen tarkastuksen rooli

Sisäisen tarkastuksen tulisi arvioida varsinkin seuraavia ilmoituskanavaprosessin osa-alueita:

  1. Saavutettavuus: Ilmoituskanavien on oltava helposti saatavilla kaikille työntekijöille ja työntekijöiksi yllä kuvatusti rinnastettaville. Toteutuuko tämä maantieteellisesti ja ammattiryhmittäin?
  2. Tietoturva: Ilmoittajien pitäisi voida raportoida huolenaiheistaan nimettömästi ja pelkäämättä vastatoimia. Sisäisen tarkastuksen tulisi arvioida, tarjoavatko ilmoituskanavat riittävän tietoturvatason ja tietosuojan, ja että ohjeistus ilmoittajansuojasta on riittävän selkeästi selitetty myös operatiiviselle johdolle.
  3. Tehokkuus: Onko ilmoitusten läpikäynti riittävän nopeaa ja riittävän laadukasta? Ovatko resurssit kohdallaan? Onko ulkoistamista ajateltu?
  4. Compliance: Ilmoituskanavien tulisi olla WB-direktiivin ja kansallisen lainsäädännön mukaisia.
  5. Raportointi ja seuranta: hyödynnetäänkö ilmoituskanavan tuottamaa informaatiota organisaatiosta? Analysoidaanko, mistä aiheista ja mistä paikasta ilmoituksia tulee, ja vaikuttavatko ne organisaation riskiarvioon?
  6. Koulutus ja tietoisuus: onko tiedotus ollut riittävää niin työntekijöille, johtajille kuin muille sidosryhmille siitä, mitkä ovat ilmoituskanavan tuomat oikeudet, velvollisuudet ja mahdollisuudet.

Helge Vuoti
Partner, BDO Oy
JHT, HT, CIA, CCSA, CISA, CFE

[1] Ilmoittajansuojeludirektiiviin (Euroopan parlamentin ja neuvoston direktiivi unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta) perustuva kansallinen laki (Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022) on astunut voimaan 1.1.2023.

Avaa koko näytössä.