Takaisin

Lain vaatima organisaation sisäinen ilmoituskanava – miten se pitäisi toteuttaa?

Uusi laki ilmoittajansuojelusta tuli voimaan vuoden 2023 alussa. Monessa yrityksessä pohdintaankin nyt, miten toteuttaa ilmoituskanavan käyttöönotto omassa organisaatiossa. Riittääkö esimerkiksi erillinen sähköpostilaatikko täyttämään lain vaatimukset? Entä voiko turvallisuushavaintoja varten luotuja kanavia ja periaatteita hyödyntää myös ilmoittajansuojelussa? Tai mitä tulisi huomioida hankittaessa ilmoituskanava ulkoiselta palveluntarjoajalta?

Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022) – tutummin ilmoittajansuojelulaki – velvoittaa kaikki säännöllisesti yli 50 työntekijää työllistävät elinkeinonharjoittajat perustamaan organisaation sisäisen ilmoituskanavan. Lain tarkoituksena on suojella lainvastaisuuksista, väärinkäytöksistä ja muista rikkomuksista ilmoittavia henkilöitä esimerkiksi työnantajan vastatoimilta.

Organisaation sisäisen ilmoituskanavan kautta organisaatioon työsuhteessa oleva henkilö voi ilmoittaa lainsäädännön vastaisesta toiminnasta ilmoittajansuojelulain soveltamisalalla. Laki velvoittaa kanavan tarjoamisen vain henkilöstölle, mutta ilmoittaminen voidaan yrityksen päätöksestä sallia myös muille henkilöille, jotka voivat havaita lainvastaista menettelyä hoitaessaan työtehtäviään. Tällöin ilmoittaja voi olla esimerkiksi alihankkijan palveluksessa tai saada tietonsa vaikkapa tavarantoimitustilanteessa, konsulttitehtävissä, työnhakutilanteessa tai työharjoittelussa.

Ilmoituksen voi tehdä esimerkiksi ympäristölainsäädäntöä koskevista rikkomuksista, elintarviketurvallisuudesta sekä henkilötietojen suojasta. Ilmoitusten ja ilmoittajansuojelun piiriin kuuluvat aihealueet on määritelty tarkemmin lain 2 §:ssä. Sisäisen ilmoituskanavan perustamisvelvollisuus (10 §) sen sijaan koskettaa yrityksiä niiden toimialasta riippumatta.

Toteutustapa jätettiin pitkälti yritysten harkintaan. Markkinoille on putkahtanut myös lukuisia valmisratkaisuja palveluntuottajien toimesta. Tämän kirjoituksen on tarkoitus auttaa lainsäädännön vaatimusten tunnistamisessa perustettaessa tai hankittaessa yrityksen sisäistä ilmoituskanavaa.

Millainen ilmoituskanava yrityksellä sitten tulisi olla?

Organisaatio voi päättää itse, missä muodossa ilmoituskanava toteutetaan. Sisäistä ilmoituskanavaa koskevat vähimmäisvaatimukset on kirjattu lain 15 §:ään. Mitään teknisiä erityisvaatimuksia ilmoituskanavalle ei ole. Riittää, että ilmoituksen voi tehdä kirjallisesti tai suullisesti. Toteutustavan sijasta lain vaatimukset keskittyvät valituista menettelyistä tiedottamiseen sekä ilmoituksen ja sen sisältämien henkilötietojen käsittelyyn.

Yksinkertaisimmillaan ilmoituksia voitaisiin siis jättää vaikkapa lukittuun palautelaatikkoon tai turvattuun sähköpostiin. Tämä ei kuitenkaan välttämättä ole ilmoitusten käsittelyn tai ilmoittamisen luottamuksellisuuden kannalta helpoin tai tarkoituksenmukaisin ratkaisu.

Lain 11 §:n mukaan sisäinen ilmoituskanava voidaan toteuttaa myös ostamalla palvelu ulkopuoliselta palveluntarjoajalta. Ilmoituskanavan järjestäminen voidaan tällöin ulkoistaa joko kokonaan tai vain tekniseltä toteutukseltaan. Palvelun hankkiminen ostopalveluna ei kuitenkaan poista organisaation vastuuta sille asetettujen velvollisuuksien toteutumisesta. Sopimusta solmittaessa onkin hyvä kiinnittää huomio esimerkiksi ilmoittamisen luottamuksellisuuteen, henkilötietojen suojaan sekä ilmoituksen käsittelystä vastaavien henkilöiden puolueettomuuteen ja riippumattomuuteen liittyviin seikkoihin.

Monella, erityisesti teollisuus- ja rakennusalan toimijalla, on jo käytössä oma sisäinen ilmoituskanava esimerkiksi työturvallisuudessa havaittujen puutteellisuuksien ja riskitilanteiden raportointia varten. Mitään lainsäädännöllisiä esteitä tällaisen kanavan mukauttamiselle ilmoittajansuojalainsäädännön vaatimuksia vastaavaksi ei ole. Sopimus- ja palveluteknisesti tilanne voi olla eri.

Kirjallinen vai suullinen – onko ilmoituksen tekotavalla merkitystä?

Lain mukaan sisäisessä ilmoituskanavassa on voitava ilmoittaa kirjallisesti tai suullisesti. Jos suullinen ilmoittaminen on mahdollista, se on voitava tehdä puhelimitse tai muun ääniviestijärjestelmän kautta ja ilmoittajan pyynnöstä kohtuullisen ajan kuluessa järjestettävässä henkilökohtaisessa tapaamisessa. Suullinen ilmoitus edellyttää siis aina myös henkilökohtaisen tapaamisen järjestämistä, mikäli ilmoittaja sitä toivoo. Yritys voi kuitenkin päättää. että se vastaanottaa vain kirjallisia ilmoituksia.

Saapuneesta ilmoituksesta on toimitettava aina myös vastaanottoilmoitus seitsemän päivän kuluessa ilmoituksen vastaanottamisesta. Vastaanottoilmoitus voi olla sähköisestä järjestelmästä lähetettävä automaattiviesti. Lisäksi ilmoittajan henkilöllisyyden luottamuksellisuus on kyettävä turvaamaan ilmoitustavasta riippumatta. Myös nimettömiä ilmoituksia on mahdollisuus ottaa vastaan, jos niin päätetään. Nimettömien ilmoitusten perusteella ei tarvitse toimittaa vastaanottoilmoitusta tai antaa tiedoksi toimenpiteitä, joihin ilmoitus on johtanut.

Ilmoituksen tekotavoista päätettäessä on tietosuoja-asioiden lisäksi hyvä pohtia myös ilmoittajien yhdenvertaisuutta ja ilmoituskanavan esteettömyyttä ja saavutettavuutta.

Kenen vastuulla ilmoitusten käsittely on?

Lain 14 §:n mukaan ilmoituksia saavat käsitellä vain organisaation tähän nimeämät henkilöt. Tehtävää voi hoitaa sellainen työntekijä, jolla on asemansa puolesta edellytykset raportoida suoraan organisaation johdolle, kuten esimerkiksi lainsäädännön noudattamisesta, henkilöstöasioista taikka sisäisestä tarkastuksesta vastaava johtaja, talousjohtaja tai hallituksen jäsen. Nimetty henkilö voi olla myös ulkopuolisen palveluntuottajan lukuun toimiva henkilö, jos palvelu on täysin ulkoistettu.

Ilmoituksen käsittelijän tehtäviin kuuluu lisäksi ilmoituksen oikeellisuuden selvittäminen sekä tarvittaviin toimenpiteisiin ryhtyminen rikkomiseen puuttumiseksi.

Vastuu ilmoituksen käsittelystä vastaavien henkilöiden nimeämisestä on kuitenkin aina sisäisen ilmoituskanavan perustaneella organisaatiolla eli käytännössä sen päätösvaltaisella toimielimellä tai toimielimen määräämällä henkilöllä.

Mitä dokumentointi- tai tiedoksiantovelvoitteita ilmoituksesta seuraa?

Lain 37 §:ssä edellytetään muun muassa saapuneiden ilmoitusten kirjaamista ja pöytäkirjan laatimista mahdollisista ilmoittajien tapaamisista. Käytännössä yrityksen on voitava osoittaa toteen myös vastaanottoilmoituksen toimittaminen. Ilmoituskanavien kautta tulevien tietojen säilyttämisestä on säädetty erikseen lain 29 §:ssä.

Ilmoittajansuojalaissa ilmaistujen vaatimusten lisäksi ilmoituskanavaan sovelletaan myös tietosuojalainsäädännön sekä yritysten yhteistoiminnan vaatimuksia. Esimerkiksi henkilötietojen kerääminen sisäisessä ilmoituskanavassa kuuluu käsitellä myös yhteistoimintalain mukaisessa vuoropuhelussa. Lisäksi ilmoituskanavasta tulee tietosuojavaltuutetun päätöksen mukaisesti tehdä tietosuoja-asetuksen mukainen vaikutustenarviointi, jossa kuvataan henkilötietojen käsittelystä aiheutuvia riskejä, sekä toimenpiteitä, joilla riskeihin puututaan.

Ilmoittajansuojelulaki itsessään vaatii organisaatiota tiedottamaan ilmoituskanavasta, siihen liittyvistä menettelyistä sekä ilmoittajan suojelun edellytyksistä omalle henkilöstölleen sekä tarvittaessa muille sidosryhmille. Tietyissä tilanteissa ilmoitus voidaan tehdä myös oikeuskanslerinviraston keskitettyyn ilmoituskanavaan, joten myös nämä periaatteet tulisi avata.