Eezy whistleblowing –kanavan tietosuojaseloste
Päivitetty 15.12.2021
1 Rekisterinpitäjä
Eezy Oyj (jäljempänä ”Eezy”)
y-tunnus: 2854570-7
PL 901, 20201 Turku
2 Tietosuoja-asioista vastaavan henkilön yhteystiedot
lakimies Aino Nylander
c/o Eezy Oyj
Itämerenkatu 3, 00180 Helsinki
Sähköposti: tietosuoja@eezy.fi
3 Henkilötietojen käsittelijä
Eezy on ulkoistanut henkilötietojen käsittelyn tietosuojalainsäädännön mahdollistamalla tavalla. Eezyn Whitleblowing – kanavan kautta tehtyjen ilmoitusten käsittelijänä toimii WhistleB Whistleblowing Centre Ab (World Trade Centre, Klarabergsviadukten 70, SE-107 24 Tukholma). Se vastaa Eezyn käyttämästä whistleblowing -sovelluksesta, mukaan lukien salattujen tietojen, kutenwhistleblowing-ilmoituksien, käsittelystä. WhistleB tai sen alihankkijat eivät pysty purkamaan viestien salausta ja lukemaan ilmoituksia.
4 Tietosuojaselosteen kuvaus
Tässä yleisen tietosuoja-asetuksen (679/2016/EU) 13 ja 14 artiklojen mukaisessa tietosuojaselosteessa kerrotaan, miten rekisterinpitäjä käsittelee whistleblowing–kanavan kautta ilmoituksen jättäneiden henkilöiden henkilötietoja tai sellaisten henkilöiden henkilötietoja, jotka ovat ilmoituksen kohteena tai asianosaisina. (jäljempänä yhdessä ”rekisteröity”).
5 Käsiteltävät henkilötiedot
Ilmoittajan henkilöllisyys on lähtökohtaisesti anonymisoitu. Whistleblowing-palvelu saattaa kerätä henkilötietoja selvitettäessä epäiltyjä väärinkäytöksiä ja/tai epäsopivaa käytöstä. Henkilötietoja saatetaan kerätä:
- ilmoituksessa määritetystä henkilöstä,
- ilmoituksen lähettävästä henkilöstä (jos ilmoitusta ei lähetetä nimettömästi) ja
- mahdollisista kolmansista osapuolista tutkiakseen eettisten ohjeidemme tai sisäisten sääntöjemme vastaisia epäiltyjä väärinkäytöksiä ja epäsopivaa käyttäytymistä.
Rekisteröidystä saatetaan kerätä mm. seuraavanlaisia henkilötietoja:
- henkilön nimi, sosiaaliturvatunnus, syntymäaika ja yhteystiedot
- titteli ja asema organisaatiossa
- muut ilmoitukseen sisältyvät ja sen selvittämisen yhteydessä kerättävät taustatiedot (mm. tapahtuman kuvaus, tapahtuman selvittämisen vaatimat muut lisätiedot)
6 Henkilötietojen säännönmukaiset lähteet
Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään. Ilmoittajaa koskevat henkilötiedot kerätään ensisijassa Eezyn verkkosivuilla sijaitsevilta Whistleblowing- palautelomakkeilta, jonka ilmoittaja täyttää esim. omalla nimellään. Rekisteröidystä voidaan kerätä tietoja myös muualta kuin rekisteröidyltä itseltään, mm. jos toisen rekisteröidyn tekemä ilmoitus sisältää muiden henkilöiden henkilötietoja. Eezy voi saada asian selvittämisen yhteydessä muitakin rekisteröityjä koskevia henkilötietoja. Näitä voidaan saada esim. rekisteröidyltä itseltään, asian selvittämiseen osallistuvilta henkilöiltä tai julkisista lähteistä.
Ilmoittajan henkilötietoja voidaan kerätä ja päivittää myös ilman rekisteröidyn suostumusta lainsäädännön sallimissa ja edellyttämissä tilanteissa.
7 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste
Eezy käsittelee ilmoittajan henkilötietoja osana Whistleblowing -direktiivin ja Suomenkansallisen lainsäädännön soveltamisalaan kuuluvien väärinkäytösten selvittämistä. Asian selvittäminen perustuu ilmoittajan esille tuomaan väärinkäytösepäilyyn ja siihen kiinteästi liittyviin tapahtumiin sekä ilmoittajan itsensä toimittamiin tietoihin tapahtumasta.
Tätä tarkoitusta varten Eezy kerää henkilötietoja niistä henkilöistä, jotka tekevät ilmoituksen kanavan kautta, sekä henkilöistä, joita kanavan kautta tehtävä ilmoitus koskee. Rekisteröidyt voivat olla esimerkiksi Eezyn työntekijöitä ja / tai yhteistyökumppanien edustajia. Henkilötietoja käsitellään Eezyn eettisten ohjeiden, lainsäädännön tai taloudellisten väärinkäytösten vastaisen menettelyn havaitsemiseksi sekä niiden selvittämiseksi ja estämiseksi.
Henkilötietojen käsittely perustuu Eezyn lakisääteiseen velvoitteeseen (EU:n tietosuoja-asetus, EU:n ilmoittajien suojelua koskeva direktiivi ja Suomen ilmoittajia koskeva kansallinen lainsäädäntö) perustaa ja ylläpitää ilmoituskanavaa, jonka kautta voidaan ilmoittaa väärinkäytöksistä. Lisäksi perusteena on Eezyn oikeutettu etu varmistaa rekisterinpitäjän työntekijöiden ja yhteistyökumppanien eettinen ja lainmukainen toiminta. Käsittelytehtäviä voidaan ulkoistaa rekisterinpitäjän ulkopuolisille palveluntarjoajille tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa.
8 Henkilötietojen luovutukset ja siirrot
Eezy säilyttää whistleblowing-ilmoituskanavan kautta saatuja ilmoituksia ehdottoman luottamuksellisesti ja tietosuojalainsäädännön vaatimalla tavalla. Henkilötietoja voidaan luovuttaa Eezy konserniin kuuluvien yhtiöiden välillä ja eri Eezy konserniin työ- tai toimisuhteessa oleville henkilöille väärinkäytöksen selvittämiseksi. Lisäksi rekisteröidyn henkilötietoja voidaan luovuttaa viranomaisille (esim. poliisille) niiden lakisääteisten tehtävien hoitamiseksi tilanteeseen soveltuvan lainsäädännön mukaisesti.
Tietoja ei pääsääntöisesti siirretä Euroopan unionin jäsenvaltioiden alueen tai Euroopan talousalueen ulkopuolelle, ellei se ole henkilötietojen käsittelyn tarkoitusten tai tietojen käsittelyn teknisen toteuttamisen kannalta tarpeellista, jolloin tietojen siirrossa noudatetaan tietosuojalainsäädännön vaatimuksia.
9 Henkilötietojen suojaaminen
Rekisterinpitäjällä on käytössä asianmukaisia teknisiä ja hallinnollisia tietoturvatoimenpiteitä henkilötietojen suojan varmistamiseksi. Henkilötietoja tallennetaan sekä sähköisiin tietokantoihin että manuaalisesti ylläpidettäviin aineistoihin. Sähköisesti käsiteltävät tietokannat on suojattu palomuurein, salasanoin ja muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisin keinoin. Manuaalisesti ylläpidettävät ja käsiteltävät aineistot sijaitsevat tiloissa, joihin on asiattomilta pääsy estetty.
Henkilötietoihin pääsevät käsiksi ainoastaan ne erikseen määritellyt ja yksilöidyt henkilöt, joiden tehtävien hoitaminen edellyttää rekisteriin tallennettujen henkilötietojen käsittelyä. Nämä henkilöt pääsevät järjestelmään henkilökohtaisilla käyttäjätunnuksilla, joiden käytöstä ja ilmaisemisesta jokainen on solminut erityisen käyttäjätunnus- ja salassapitositoumuksen.
10 Automaattinen päätöksenteko
Rekisteröidyn henkilötietoja ei käytetä sen luonteiseen päätöksentekoon, jolla olisi oikeudellisia ja / tai vastaavia vaikutuksia rekisteröidylle.
11 Henkilötietojen säilytysaika
Kerättyjä henkilötietoja säilytetään niin pitkään kuin on tarpeen, jotta ilmoituksen kohteena oleva väärinkäytös voidaan selvittää tai lainsäädäntö ja muut säännösten asettamat määräajat edellyttävät.
Ilmoituksiin ja tutkimusasiakirjoihin sisältyvät henkilökohtaiset tiedot poistetaan tutkimuksen valmistuessa, ellei henkilökohtaisten tietojen säilyttämistä vaadita muissa sovellettavissa laeissa. Tiedot poistetaan pysyvästi 30 päivän kuluttua tutkimuksen valmistumisesta. Arkistoitavat tutkimusasiakirjat ja ilmoitukset anonymisoidaan tietosuojalainsäädännön mukaisesti siten, että ne eivät sisällä henkilötietoja, joiden perusteella henkilön voi tunnistaa suoraan tai epäsuorasti.
12 Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat tietosuojalainsäädännön turvaamat oikeudet:
- Rekisteröidyllä on oikeus pyytää Eezyltä tietojen oikaisemista. Henkilötietojen korjauspyyntö tulee yksilöidä siten, että henkilötiedoissa oleva virhe voidaan havaita ja korjata helposti.
- Rekisteröidyllä on oikeus pyytää henkilötietojen poistamista sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti. Rekisteröidyn pyyntö poistaa henkilötiedot Eezyn järjestelmästä kesken väärinkäytöksen selvitysprosessin voi tarkoittaa selvitysprosessin keskeyttämistä kyseisen ilmoituksen osalta, jos väärinkäytöksen selvittämistä ei voida enää jatkaa.
- Rekisteröidyllä on oikeus pyytää henkilötietojen käsittelyn rajoittamista sekä vastustaa henkilötietojen käsittelyä sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti.
- Rekisteröidyllä on oikeus siirtää tiedot järjestelmästä toiseen eli saada itseään koskevat henkilötiedot jäsennellyssä ja yleisesti käytetyssä muodossa, ja siirtää ne toiselle rekisterinpitäjälle sovellettavan tietosuojalainsäädännön rajoissa ja mukaisesti.
- Rekisteröidyllä on oikeus tehdä valitus kansalliselle tietosuojaviranomaiselle (Suomessa tietosuojavaltuutettu) tai muulle Euroopan unionin tai Euroopan talousalueen tietosuojaviranomaiselle, jos rekisteröity katsoo, että hänen henkilötietojensa käsittelyyn liittyviä lakisääteisiä oikeuksia on rikottu.
Rekisteröity voi osoittaa pyynnöt yllä mainittujen oikeuksiensa käyttämisestä tietosuoja-asioista vastaavalle yhteyshenkilölle.
13 Tietosuojaselosteen muuttaminen
Rekisterinpitäjä kehittää liiketoimintaansa jatkuvasti ja pidättää siksi oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä verkkosivuillaan osoitteessa www.eezy.fi. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Rekisterinpitäjä suosittelee rekisteröityjä tutustumaan tietosuojaselosteen sisältöön säännöllisesti ja aika ajoin uudelleen.