Tietosuojaseloste — Whistleblowing-ilmoituskanava
Päivitetty 10.5.2023
Tässä tietosuojaselosteessa kuvataan, kuinka käsittelemme henkilötietojasi whistleblowing-kanavan ilmoitusten käsittelemiseksi, väärinkäytösepäilyjen selvittämiseksi ja sisäisten tutkintojen toteuttamiseksi.
1. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
Mikäli sinulla on kysyttävää whistleblowing-ilmoituskanavan tai sisäisten tutkintojen tietosuojakäytäntöihin liittyen tai haluat hyödyntää omia tietosuojaoikeuksiasi, voit olla meihin yhteydessä alla olevaan osoitteeseen:
Avara Oy
Avara Rahastot Oy
Bulevardi 7
00120 Helsinki
tietosuoja@avara.fi
2. Mihin tarkoituksiin ja millä perusteella käsittelemme henkilötietojasi?
Whistleblowing-kanavan kautta voit ilmoittaa epäilystäsi. Henkilötietoja käsitellään ilmoitettujen tapausten tutkinnassa sekä mahdollisten seuraamusten arvioinnissa ja toimeenpanossa.
Kaikki ilmoitukset käsitellään luottamuksellisesti ja ilmoituksen tekijän sekä ilmoituksen kohteen sekä muiden tapaukseen liittyvien henkilöiden yksityisyyttä suojaten riippumattomien vastuuhenkilöiden toimesta. Henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen (EU) 2016/679, työelämän tietosuojalain (759/2004) sekä tietosuojalain (1050/2018) vaatimuksia. Whistleblowing -kanavan kautta vastaanotettuja henkilötietoja käsitellään vain siinä laajuudessa kuin on tarpeen ilmoitetun epäilyn asianmukaiseksi ja riittäväksi selvittämiseksi.
Henkilötietojen käsittelyn tarkoitukset ovat:
- Whistleblowing- ilmoituskanavan ylläpitäminen sekä ilmoitusten käsittely, sisäisten tutkintojen toteuttaminen ja dokumentointi. Henkilötietojen käsittely perustuu Avaran rahanpesusääntelyn, vaihtoehtorahaston hoitajista annetun lain, ilmoittajansuojelulain mukaisiin tai työoikeudellisiinvelvoitteisiin. Lisäksi käsittelyn oikeusperusteena ovat työturvallisuutta ja työhyvinvointia sekä Avaran eettisten arvojen edistämistä sekä väärinkäytösten ehkäisyä koskevat oikeutetut edut. Avaralla on lisäksi työnantajana lakisääteinen puuttumisvelvollisuus ja velvollisuus käsitellä sen tietoon tuleva työntekijän terveydelle haittaa tai vaaraa aiheuttava häirintä tai muuta epäasiallista kohtelu ja ryhdyttävä käytettävissään olevin keinoin toimiin epäkohdan poistamiseksi.
- Avaran lakisääteisten velvoitteiden noudattamisen osoittaminen sekä oikeudellisen vaateen laatiminen ja esittäminen tai sellaisen puolustaminen. Käsittely perustuu Avaran tai kolmannen osapuolen oikeusturvaan liittyviin oikeutettuihin etuihin.
Mahdollisten erityisten henkilötietojen, kuten terveyttä koskevien tietojen, tai muiden arkaluontoisten tietojen, kuten rikostuomioita tai rikoksia koskevien tietojen, käsittelyperusteena on Avaran edellä mainittuun sääntelyyn perustuvat velvoitteet. Häirintää ja epäasiallista kohtelua tai työturvallisuutta koskevissa tapauksissa erityisten henkilötietojen käsittely on tarpeen myös rekisterinpitäjän tai rekisteröidyn työoikeudellisten velvoitteiden tai oikeuksien noudattamiseksi. Erityisten henkilötietojen käsittely saattaa olla tarpeen myös oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
3. Mitä henkilötietoja käsittelemme?
REKISTERÖITYJEN RYHMÄ |
ESIMERKKEJÄ TIETOSISÄLLÖISTÄ |
Ilmoittaja |
Lähtökohtaisesti ilmoitukset voi tehdä nimettömänä tai nimellä. Whistleblowing-kanava on toteutettu siten, että ilmoittajasta ei kerätä mitään sähköisiä tunnistetietoja. Ilmoittaja saattaa itse vapaaehtoisesti lisätä ilmoitukseen omia henkilötietojaan, kuten esimerkiksi
Lisäksi käsitellään
Vaikka ilmoitus tehdään nimettömänä, ilmoitettuun tapahtumaan liittyvät seikat tai ilmoituksen muu sisältö saattavat mahdollistaa sen, että ilmoittaja on näiden tietojen perusteella epäsuorasti tunnistettavissa. Ilmoittajan henkilöllisyyttä ei kuitenkaan pyritä selvittämään. Ilmoittajansuojelulain mukaan ilmoittajan henkilöllisyyttä ei saa paljastaa, vaikka se olisi tiedossa. |
Ilmoituksen kohteena oleva henkilö |
Ilmoitus saattaa sisältää ilmoituksen kohteen käyttäytymistä ja olosuhteita koskevia tietoja sekä muita henkilökohtaisia tietoja, kuten esimerkiksi
|
Sivulliset |
Ilmoitus saattaa sisältää sivullisten henkilöiden käyttäytymistä ja olosuhteita koskevia tietoja sekä muita henkilökohtaisia tietoja, kuten esimerkiksi
|
Ilmoituksen käsittelijät
|
Ilmoitusten käsittelijöistä kerätään seuraavat henkilötiedot
|
4. Kenelle luovutamme henkilötietojasi?
Viranomaiset, sisäinen tarkastus ja väärinkäytöstutkintapalvelujen tarjoajat
Luovutamme väärinkäytös- ja rikosepäilyn selvittämiseksi tarpeellisia tietoja viranomaisille ja mahdollisesti sisäisen tarkastuksen kumppanillemme tai väärinkäytöstutkintapalvelujen tarjoajille.
Whistleblowing-ilmoituskanavan toimittajalla Navexilla tai sen alihankkijoilla ei ole pääsyä ilmoituskanavan tietoihin.
5. Siirtyvätkö tiedot Euroopan talousalueen ulkopuolelle?
Palveluntarjoaja |
Sijainti |
Henkilötietoryhmä |
Tiedonsiirtomekanismi |
Navex – WhistleB -järjestelmän toimittaja/Microsoft – WhistleB toimii Microsoftin palvelimella |
EU/ ETA |
Kaikki järjestelmässä käsiteltävät tiedot |
Komission mallisopimuslausekkeet |
* Yhdysvaltojen tiedustelulainsäädännön mukaan, yhdysvaltalaisten yritysten hallussa olevia tietoja voidaan pyytää luovuttamaan Yhdysvaltain viranomaisille, vaikka datakeskus sijaitsee EU-alueella.
Toteutamme suojatoimenpiteitä, joiden avulla eurooppalaisen tietosuojalainsäädännön edellyttämä korkea henkilötietojen suojan taso säilyy myös henkilötietojen siirron jälkeen. WhistleB -järjestelmässä tiedot on salattu Avaran omilla salausavaimilla, eikä WhistleB:llä tai sen alihankkijoilla ole tietoihin pääsyä. Henkilötiedot on kansainvälisen siirron kannalta tehokkaasti suojattu teknisin lisäsuojakeinoin.
6. Millaisia oikeuksia sinulla on omiin henkilötietoihisi liittyen?
Tietosuojalainsäädäntö takaa sinulle erilaisia oikeuksia henkilötietojen käsittelyyn liittyen. Jos haluat käyttää alla kuvattuja oikeuksiasi, voit lähettää yksilöidyn pyyntösi kohdassa 1 mainittuun osoitteeseen.
Tahdomme kuitenkin huomauttaa, että nämä lainsäädännön takaamat oikeudet eivät ole täysin rajoittamattomia. Emme esimerkiksi voi poistaa tietojasi tilanteessa, jossa meihin soveltuva lainsäädäntö edellyttää henkilötietojen säilyttämistä tai toteuttaa henkilötietojen tarkistusoikeutta ilmoituskanavan tietojen osalta tilanteissa, joissa tietojen antaminen loukkaa toisen henkilön suojattua oikeutta tai etua tai vaarantaa ilmoitusta koskevan tutkinnan.
Oikeus saada pääsy tietoihisi. Sinulla on aina oikeus saada vahvistus siitä, käsittelemmekö henkilötietojasi. Mikäli käsittelemme henkilötietojasi, sinulla on aina oikeus saada pääsy sekä oikeus saada myös jäljennös näistä tiedoista. Voimme pyytää sinua täsmentämään pyyntöäsi tarvittaessa, esimerkiksi tietojen toimittamiseen liittyvien yksityiskohtien osalta.
Emme voi toteuttaa pääsyoikeuttasi tilanteissa, joissa tietojen antaminen loukkaa toisen henkilön suojattua oikeutta tai etua tai vaarantaa ilmoitusta koskevan tutkinnan tai jatkotoimet.
Oikeus henkilötietojesi oikaisuun. Mikäli koet, että käsittelemämme henkilötiedot ovat virheellisiä, puutteellisia tai vanhentuneita, voit pyytää meitä oikaisemaan tällaiset henkilötiedot.
Oikeus henkilötietojesi poistamiseen. Tietyissä tilanteissa voit pyytää meitä poistamaan sinua koskevia henkilötietoja. Huomioithan kuitenkin, että emme voi välttämättä poistaa sellaisia tietoja, joiden säilyttämiselle on edelleen olemassa perusteltu tarve, kuten tietty lakisääteinen velvollisuus tai muu erityisen painava syy, kuten kesken oleva väärinkäytöstutkinta tai tutkinnan dokumentointi.
Oikeus vastustaa ja rajoittaa henkilötietojesi käsittelyä. Sinulla on oikeus vastustaa henkilötietojesi käsittelyä. Tämä ei kuitenkaan tarkoita yleistä oikeutta vastustaa kaikkea henkilötietojesi käsittelyä, vaan rajoittuu esimerkiksi sellaisiin tilanteisiin, joissa tietojen käsittely perustuu oikeutettuun etuun. Meillä on oikeus jatkaa henkilötietojen käsittelyä käsittelyn vastustamisesta huolimatta, jos meillä on käsittelyyn erityisen painava syy. Tällainen syy voi olla esimerkiksi väärinkäytösepäilyn selvittäminen.
Sinulla on myös oikeus pyytää henkilötietojesi käsittelyn rajoittamista esimerkiksi tilanteissa, joissa kiistät henkilötietojesi paikkansapitävyyden.
Oikeus tehdä valitus valvontaviranomaiselle. Jos epäilet, että olemme esimerkiksi käsitelleet henkilötietojasi lainvastaisesti, sinulla on aina oikeus tehdä ilmoitus valvontaviranomaiselle. Henkilötietojen käsittelyn lainmukaisuutta Suomessa valvoo tietosuojavaltuutetun toimisto, jonka yhteystiedot löydät täältä: https://tietosuoja.fi/etusivu
7. Miten huolehdimme henkilötietojen luottamuksellisuudesta ja turvallisuudesta?
Kunnioitamme yksityisyyttäsi ja henkilötietojesi turvallinen säilyttäminen ja käsittely on meille tärkeää. Suojaamme henkilötietojasi asianmukaisesti teknisin ja organisatorisin toimenpitein luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.
Henkilötietojen suojauksessa on toteutettu mm. seuraavia toimenpiteitä:
Pääsyn rajoittaminen. Henkilötietojen käsittely on sallittu ainoastaan nimetyille, valtuutetuille henkilöille, joiden työtehtävät sitä edellyttävät. Henkilötietoihin pääsee käsiksi vain asianmukaisin käyttövaltuuksin.
Sopimukset. Tietoja käsittelevät henkilöt ovat salassapitovelvollisuuden alaisia, ja he ovat allekirjoittaneet salassapitositoumuksen. Myös mahdolliset henkilötietoja käsittelevät sopimuskumppanimme sitoutuvat käsittelemään tietoja luottamuksellisesti.
Henkilöstön kouluttaminen ja ohjeistus. Olemme järjestäneet kattavaa tietosuojakoulutusta sekä ohjeistusta koko henkilöstöllemme.
Tietojen tekninen suojaus. Kaikki viestintä whistleblowing-järjestelmässä on salattu päästä päähän (end to end encryption) jonka lisäksi järjestelmän tiedot on salattu Avaran omilla salausavaimilla. Whistleblowing-kanava on toteutettu siten, että ilmoittajasta ei kerätä mitään tunnistetietoja.
8. Kuinka kauan säilytämme henkilötietojasi?
Tietoja säilytetään pääsääntöisesti enintään viisi (5) vuotta ilmoituksen tekemisestä.
Tietoja säilytetään viiden vuoden jälkeen, jos tietojen edelleen säilyttäminen on tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän, ilmoituksen kohteena olevan henkilön tai Avaran oikeuksien turvaamiseksi.
Säilytysajat perustuvat rahanpesusääntelyyn ja vaihtoehtorahastonhoitajista annettuun lakiin, ilmoittajansuojasääntelyyn sekä työ-, rikos- tai vahingonkorvauslainsäädännön mukaisiin kanneaikoihin sekä väärinkäytösten selvittämiseen liittyvään oikeutettuun etuumme.
9. Voidaanko tähän tietosuojaselosteeseen tehdä muutoksia?
Tässä selosteessa esitetyt käsittelytavat voivat muuttua ja siten tätä tietosuojaselostetta voidaan päivittää. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Pidämme tämän selosteen ajan tasalla ja suosittelemme tutustumaan sen sisältöön säännöllisesti.