Eezy whistleblowing –kanavan tietosuojaseloste
Päivitetty 15.12.2021
1 Rekisterinpitäjä
Eezy Oyj (jäljempänä ”Eezy”)
y-tunnus: 2854570-7
PL 901, 20201 Turku
2 Tietosuoja-asioista vastaavan henkilön yhteystiedot
lakimies Aino Nylander
c/o Eezy Oyj
Itämerenkatu 3, 00180 Helsinki
Sähköposti: tietosuoja@eezy.fi
3 Henkilötietojen käsittelijä
Eezy on ulkoistanut henkilötietojen käsittelyn tietosuojalainsäädännön mahdollistamalla tavalla. Eezyn Whitleblowing – kanavan kautta tehtyjen ilmoitusten käsittelijänä toimii WhistleB Whistleblowing Centre Ab (World Trade Centre, Klarabergsviadukten 70, SE-107 24 Tukholma). Se vastaa Eezyn käyttämästä whistleblowing -sovelluksesta, mukaan lukien salattujen tietojen, kutenwhistleblowing-ilmoituksien, käsittelystä. WhistleB tai sen alihankkijat eivät pysty purkamaan viestien salausta ja lukemaan ilmoituksia.
4 Tietosuojaselosteen kuvaus
Tässä yleisen tietosuoja-asetuksen (679/2016/EU) 13 ja 14 artiklojen mukaisessa tietosuojaselosteessa kerrotaan, miten rekisterinpitäjä käsittelee whistleblowing–kanavan kautta ilmoituksen jättäneiden henkilöiden henkilötietoja tai sellaisten henkilöiden henkilötietoja, jotka ovat ilmoituksen kohteena tai asianosaisina. (jäljempänä yhdessä ”rekisteröity”).
5 Käsiteltävät henkilötiedot
Ilmoittajan henkilöllisyys on lähtökohtaisesti anonymisoitu. Whistleblowing-palvelu saattaa kerätä henkilötietoja selvitettäessä epäiltyjä väärinkäytöksiä ja/tai epäsopivaa käytöstä. Henkilötietoja saatetaan kerätä:
- ilmoituksessa määritetystä henkilöstä,
- ilmoituksen lähettävästä henkilöstä (jos ilmoitusta ei lähetetä nimettömästi) ja
- mahdollisista kolmansista osapuolista tutkiakseen eettisten ohjeidemme tai sisäisten sääntöjemme vastaisia epäiltyjä väärinkäytöksiä ja epäsopivaa käyttäytymistä.
Rekisteröidystä saatetaan kerätä mm. seuraavanlaisia henkilötietoja:
- henkilön nimi, sosiaaliturvatunnus, syntymäaika ja yhteystiedot
- titteli ja asema organisaatiossa
- muut ilmoitukseen sisältyvät ja sen selvittämisen yhteydessä kerättävät taustatiedot (mm. tapahtuman kuvaus, tapahtuman selvittämisen vaatimat muut lisätiedot)
6 Henkilötietojen säännönmukaiset lähteet
Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään. Ilmoittajaa koskevat henkilötiedot kerätään ensisijassa Eezyn verkkosivuilla sijaitsevilta Whistleblowing- palautelomakkeilta, jonka ilmoittaja täyttää esim. omalla nimellään. Rekisteröidystä voidaan kerätä tietoja myös muualta kuin rekisteröidyltä itseltään, mm. jos toisen rekisteröidyn tekemä ilmoitus sisältää muiden henkilöiden henkilötietoja. Eezy voi saada asian selvittämisen yhteydessä muitakin rekisteröityjä koskevia henkilötietoja. Näitä voidaan saada esim. rekisteröidyltä itseltään, asian selvittämiseen osallistuvilta henkilöiltä tai julkisista lähteistä.
Ilmoittajan henkilötietoja voidaan kerätä ja päivittää myös ilman rekisteröidyn suostumusta lainsäädännön sallimissa ja edellyttämissä tilanteissa.
7 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Eezy käsittelee ilmoittajan henkilötietoja osana Whistleblowing -direktiivin ja Suomenkansallisen lainsäädännön soveltamisalaan kuuluvien väärinkäytösten selvittämistä. Asian selvittäminen perustuu ilmoittajan esille tuomaan väärinkäytösepäilyyn ja siihen kiinteästi liittyviin tapahtumiin sekä ilmoittajan itsensä toimittamiin tietoihin tapahtumasta.
Tätä tarkoitusta varten Eezy kerää henkilötietoja niistä henkilöistä, jotka tekevät ilmoituksen kanavan kautta, sekä henkilöistä, joita kanavan kautta tehtävä ilmoitus koskee. Rekisteröidyt voivat olla esimerkiksi Eezyn työntekijöitä ja / tai yhteistyökumppanien edustajia. Henkilötietoja käsitellään Eezyn eettisten ohjeiden, lainsäädännön tai taloudellisten väärinkäytösten vastaisen menettelyn havaitsemiseksi sekä niiden selvittämiseksi ja estämiseksi.
Henkilötietojen käsittely perustuu Eezyn lakisääteiseen velvoitteeseen (EU:n tietosuoja-asetus, EU:n ilmoittajien suojelua koskeva direktiivi ja Suomen ilmoittajia koskeva kansallinen lainsäädäntö) perustaa ja ylläpitää ilmoituskanavaa, jonka kautta voidaan ilmoittaa väärinkäytöksistä. Lisäksi perusteena on Eezyn oikeutettu etu varmistaa rekisterinpitäjän työntekijöiden ja yhteistyökumppanien eettinen ja lainmukainen toiminta. Käsittelytehtäviä voidaan ulkoistaa rekisterinpitäjän ulkopuolisille palveluntarjoajille tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa.
8 Henkilötietojen luovutukset ja siirrot
Eezy säilyttää whistleblowing-ilmoituskanavan kautta saatuja ilmoituksia ehdottoman luottamuksellisesti ja tietosuojalainsäädännön vaatimalla tavalla. Henkilötietoja voidaan luovuttaa Eezy konserniin kuuluvien yhtiöiden välillä ja eri Eezy konserniin työ- tai toimisuhteessa oleville henkilöille väärinkäytöksen selvittämiseksi. Lisäksi rekisteröidyn henkilötietoja voidaan luovuttaa viranomaisille (esim. poliisille) niiden lakisääteisten tehtävien hoitamiseksi tilanteeseen soveltuvan lainsäädännön mukaisesti.
Tietoja ei pääsääntöisesti siirretä Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, ellei se ole henkilötietojen käsittelyn tarkoitusten tai tietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista, jolloin tietojen siirrossa noudatetaan tietosuojalainsäädännön vaatimuksia.
9 Henkilötietojen suojaaminen
Rekisterinpitäjällä on käytössä asianmukaisia teknisiä ja hallinnollisia tietoturvatoimenpiteitä henkilötietojen suojan varmistamiseksi. Henkilötietoja tallennetaan sekä sähköisiin tietokantoihin että manuaalisesti ylläpidettäviin aineistoihin. Sähköisesti käsiteltävät tietokannat on suojattu palomuurein, salasanoin ja muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisin keinoin. Manuaalisesti ylläpidettävät ja käsiteltävät aineistot sijaitsevat tiloissa, joihin on asiattomilta pääsy estetty.
Henkilötietoihin pääsevät käsiksi ainoastaan ne erikseen määritellyt ja yksilöidyt henkilöt, joiden tehtävien hoitaminen edellyttää rekisteriin tallennettujen henkilötietojen käsittelyä. Nämä henkilöt pääsevät järjestelmään henkilökohtaisilla käyttäjätunnuksilla, joiden käytöstä ja ilmaisemisesta jokainen on solminut erityisen käyttäjätunnus- ja salassapitositoumuksen.
10 Automaattinen päätöksenteko
Rekisteröidyn henkilötietoja ei käytetä sen luonteiseen päätöksentekoon, jolla olisi oikeudellisia ja / tai vastaavia vaikutuksia rekisteröidylle.
11 Henkilötietojen säilytysaika
Kerättyjä henkilötietoja säilytetään niin pitkään kuin on tarpeen, jotta ilmoituksen kohteena oleva väärinkäytös voidaan selvittää tai lainsäädäntö ja muut säännösten asettamat määräajat edellyttävät.
Ilmoituksiin ja tutkimusasiakirjoihin sisältyvät henkilökohtaiset tiedot poistetaan tutkimuksen valmistuessa, ellei henkilökohtaisten tietojen säilyttämistä vaadita muissa sovellettavissa laeissa. Tiedot poistetaan pysyvästi 30 päivän kuluttua tutkimuksen valmistumisesta. Arkistoitavat tutkimusasiakirjat ja ilmoitukset anonymisoidaan tietosuojalainsäädännön mukaisesti siten, että ne eivät sisällä henkilötietoja, joiden perusteella henkilön voi tunnistaa suoraan tai epäsuorasti.
12 Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat tietosuojalainsäädännön turvaamat oikeudet:
- Rekisteröidyllä on oikeus pyytää Eezyltä tietojen oikaisemista. Henkilötietojen korjauspyyntö tulee yksilöidä siten, että henkilötiedoissa oleva virhe voidaan havaita ja korjata helposti.
- Rekisteröidyllä on oikeus pyytää henkilötietojen poistamista sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti. Rekisteröidyn pyyntö poistaa henkilötiedot Eezyn järjestelmästä kesken väärinkäytöksen selvitysprosessin voi tarkoittaa selvitysprosessin keskeyttämistä kyseisen ilmoituksen osalta, jos väärinkäytöksen selvittämistä ei voida enää jatkaa.
- Rekisteröidyllä on oikeus pyytää henkilötietojen käsittelyn rajoittamista sekä vastustaa henkilötietojen käsittelyä sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti.
- Rekisteröidyllä on oikeus siirtää tiedot järjestelmästä toiseen eli saada itseään koskevat henkilötiedot jäsennellyssä ja yleisesti käytetyssä muodossa, ja siirtää ne toiselle rekisterinpitäjälle sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti.
- Rekisteröidyllä on oikeus tehdä valitus kansalliselle tietosuojaviranomaiselle (Suomessa tietosuojavaltuutettu) tai muulle Euroopan unionin tai Euroopan talousalueen tietosuojaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyyn liittyviä lakisääteisiä oikeuksia on rikottu.
Rekisteröity voi osoittaa pyynnöt yllä mainittujen oikeuksiensa käyttämisestä tietosuoja-asioista vastaavalle yhteyshenkilölle.
13 Tietosuojaselosteen muuttaminen
Rekisterinpitäjä kehittää liiketoimintaansa jatkuvasti ja pidättää siksi oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä verkkosivuillaan osoitteessa www.eezy.fi. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Rekisterinpitäjä suosittelee rekisteröityjä tutustumaan tietosuojaselosteen sisältöön säännöllisesti ja aika ajoin uudelleen.
Dataskyddsbeskrivning för Eezys visselblåsarkanal
15.12.2021
1 Personuppgiftsansvarig
Eezy Abp (nedan ”Eezy”)
FO-nummer: 2854570-7
PB 901, 20201 Åbo
2 Kontaktuppgifter till den person som ansvarar för dataskyddsfrågor
jurist Aino Nylander
c/o Eezy Abp
Östersjögatan 3, 00180 Helsingfors
E-post: tietosuoja@eezy.fi
3 Personuppgiftsbiträde
Eezy har lagt ut behandlingen av personuppgifter på så sätt som dataskyddslagstiftningen möjliggör. Rapporterna som lämnas via Eezys visselblåsningskanal behandlas av WhistleB Whistleblowing Centre Ab (World Trade Centre, Klarabergsviadukten 70, SE-107 24 Stockholm). Bolaget ansvarar för visselblåsarapplikationen som används av Eezy, inklusive behandlingen av krypterade uppgifter såsom visselblåsarrapporter. WhistleB eller dess underleverantörer kan inte avkoda meddelandenas kryptering och läsa rapporterna.
4 Beskrivning av dataskyddsbeskrivningen
Denna dataskyddsbeskrivning som följer 13 och 14 artikel i den allmänna dataskyddsförordningen (679/2016/EU) berättar om hur den personuppgiftsansvarige behandlar personuppgifter om sådana personer som lämnat en rapport via visselblåsningskanalen eller sådana personer som är ett föremål för eller en part i en rapport (nedan gemensamt ”den registrerade”).
5 Personuppgifter som behandlas
Visselblåsarens identitet är i princip anonymiserad. Visselblåsartjänsten kan samla in personuppgifter vid utredning av misstänkt missbruk och/eller olämpligt uppförande. Personuppgifter kan eventuellt samlas in:
- om en person som bestäms i rapporten
- om den person som skickar rapporten (om rapporten inte skickas anonymt) och
- om eventuella tredje parter så att dessa kan utreda misstänkt missbruk och olämpligt uppförande som bryter mot våra etiska riktlinjer eller interna bestämmelser.
Bland annat följande slags personuppgifter kan samlas in om den registrerade:
- personens namn, personbeteckning, födelsedatum och kontaktuppgifter
- titel och ställning i organisationen
- andra bakgrundsuppgifter som ingår i rapporten och som samlas in när ärendet utreds (bl.a. beskrivning av händelsen, andra tilläggsuppgifter som utredningen av händelsen kräver)
6 Normala källor för personuppgifter
Personuppgifter samlas in primärt från den registrerade själv. Personuppgifter om visselblåsaren samlas in primärt via visselblåsningformulär på Eezys webbplats som ifylls av visselblåsaren (eventuellt under sitt eget namn). Uppgifter om den registrerade kan också samlas in på andra håll än från den registrerade själv, t.ex. om en rapport från en annan registrerad innehåller personuppgifter om andra personer. I samband med utredningen av ärendet kan Eezy också få personuppgifter om andra registrerade. Dessa uppgifter kan fås t.ex. från den registrerade själv, från andra personer som deltar i att utreda ärendet eller ur offentliga källor.
Personuppgifter om visselblåsaren kan även insamlas och uppdateras utan den registrerades samtycke i situationer där lagstiftningen tillåter och kräver detta.
7 Syfte med och rättslig grund för behandling av personuppgifter
Eezy behandlar visselblåsarens personuppgifter som en del av utredning av sådant missbruk som omfattas av visselblåsardirektivet och Finlands nationella lagstiftning. Utredningen av ärendet baseras på misstanken om missbruk som lyfts fram av visselblåsaren och på därtill direkt kopplade händelser samt på uppgifter om händelsen som visselblåsaren själv skickat.
För detta syfte samlar Eezy in personuppgifter om de personer som lämnar en rapport via denna kanal samt om de personer som rapporten som lämnas in via denna kanal handlar om. De registrerade kan till exempel vara anställda hos Eezy och/eller representanter av Eezys samarbetspartner. Personuppgifter behandlas för att upptäcka, utreda och förhindra ekonomiskt missbruk eller förfaranden som bryter mot Eezys etiska riktlinjer eller lagstiftningen.
Behandlingen av personuppgifter grundar sig på Eezys lagstadgade skyldighet (EU:s dataskyddsförordning, EU:s direktiv om skydd för visselblåsare och Finlands nationella lagstiftning gällande visselblåsare) att inrätta och upprätthålla en rapporteringskanal som kan användas för att rapportera missbruk. Dessutom utgör Eezys berättigade intresse för att säkerställa att den personuppgiftsansvarige, de anställda och samarbetspartnerna agerar på ett etiskt och lagenligt sätt också en grund för behandlingen. Behandlingsuppdrag kan läggas ut på tjänsteleverantörer utanför den personuppgiftsansvarige i enlighet med och inom den ram som fastställs i dataskyddslagstiftningen.
8 Utlämnanden och överföringar av personuppgifter
Eezy förvarar rapporter som kommit in via visselblåsarkanalen absolut konfidentiellt och på så sätt som krävs i dataskyddslagstiftningen. Personuppgifter kan, för att utreda missbruk, lämnas ut mellan olika bolag som ingår i Eezy-koncernen och till olika personer i arbets- eller anställningsförhållande till Eezy-koncernen. Dessutom kan den registrerades personuppgifter lämnas ut till myndigheter (t.ex. polisen) så att de kan sköta sina lagstadgade uppgifter i enlighet med tillämplig lagstiftning.
Uppgifter överförs i regel inte utanför Europeiska unionens medlemsstaters område eller utanför Europeiska ekonomiska samarbetsområdet, om det inte är nödvändigt för syftena med behandlingen av personuppgifter eller för det tekniska genomförandet av behandlingen av uppgifter, varvid kraven i dataskyddslagstiftningen följs vid överföringen av uppgifter.
9 Skydd av personuppgifter
Den personuppgiftsansvarige har tillgång till ändamålsenliga tekniska och administrativa dataskyddsåtgärder för att säkerställa skyddet av personuppgifter. Personuppgifter lagras både i elektroniska databaser och material som upprätthålls manuellt. Databaser som behandlas elektroniskt är skyddade med brandväggar, lösenord och andra tekniska medel som är allmänt godkända inom dataskyddsområdet. Material som upprätthålls och behandlas manuellt ligger i utrymmen dit obehöriga inte äger tillträde.
Endast de separat definierade och specificerade personer, vars uppgifter förutsätter behandling av personuppgifter som lagrats i registret, har tillträde till personuppgifterna. Dessa personer har tillträde till systemet med personliga inloggningsuppgifter och de har alla ingått ett särskilt användarnamn- och sekretessavtal om användningen och avslöjandet av inloggningsuppgifter.
10 Automatiskt beslutsfattande
Den registrerades personuppgifter används inte för det slags beslutsfattande som skulle ha rättsliga och/eller liknande konsekvenser för den registrerade.
11 Lagringstid för personuppgifter
De insamlade personuppgifterna lagras så länge som nödvändigt för att utreda det missbruk som är föremål för rapporten eller så länge lagstiftningen och andra stadgade tidsfrister kräver.
Personliga uppgifter som ingår i rapporterna och utredningshandlingarna tas bort när utredningen blir klar, om inte andra tillämpliga lagar kräver att de personliga uppgifterna ska lagras. Uppgifterna raderas permanent inom 30 dagar efter att utredningen blivit klar. De utredningshandlingar och rapporter som arkiveras ska anonymiseras i enlighet med dataskyddslagstiftningen på så sätt att dessa inte innehåller personuppgifter som direkt eller indirekt skulle kunna identifiera personen.
12 Den registrerades rättigheter
Den registrerade har följande rättigheter som tryggas av dataskyddslagstiftningen:
- Den registrerade har rätt att begära rättelse av uppgifterna hos Eezy. Begäran om rättelse av personuppgifter ska specificeras så att det är enkelt att observera och rätta ett fel i personuppgifterna.
- Den registrerade har rätt att begära radering av personuppgifter inom ramen för och enligt tillämplig dataskyddslagstiftning. Den registrerades begäran att radera personuppgifterna från Eezys system mitt under utredningsprocessens gång kan betyda att utredningsprocessen avbryts för rapporten i fråga, om man inte längre kan fortsätta utreda missbruket.
- Den registrerade har rätt att begära begränsning av samt invända mot behandling av personuppgifter inom ramen för och enligt tillämplig dataskyddslagstiftning.
- Den registrerade har rätt att överföra uppgifter från ett system till ett annat, dvs. att få personuppgifter om sig själv i ett strukturerat och allmänt använt format och överföra dem till en annan personuppgiftsansvarig inom ramen för och enligt tillämplig dataskyddslagstiftning.
- Den registrerade har rätt att hos den nationella dataskyddsmyndigheten (i Finland dataskyddsombudet) eller en annan dataskyddsmyndighet i Europeiska unionen eller Europeiska ekonomiska samarbetsområdet lämna in ett klagomål, om den registrerade anser att de lagstadgade rättigheter som gäller behandlingen av hans eller hens personuppgifter har kränkts.
Den registrerade kan sända begäranden som gäller utövandet av sina ovan nämnda rättigheter till den kontaktperson som svarar för dataskyddsärenden.
13 Ändring av dataskyddsbeskrivningen
Den personuppgiftsansvarige utvecklar ständigt sin affärsverksamhet och förbehåller sig därför rätten att ändra denna dataskyddsbeskrivning genom att meddela detta på sin webbplats på adressen www.eezy.fi. Ändringarna kan också utgå från ändringar i lagstiftningen. Den personuppgiftsansvarige rekommenderar att de registrerade regelbundet och emellanåt på nytt läser dataskyddsbeskrivningens innehåll.