Whistleblowing-ilmoituskanavaohje

Whistleblowing-ilmoituskanavaohje Suomessa on organisaation sisäinen asiakirja, joka kuvaa, miten organisaatiossa havaituista väärinkäytöksistä, laittomasta toiminnasta tai EU:n ja kansallisen oikeuden rikkomuksista voidaan ilmoittaa turvallisesti ja luottamuksellisesti. Ohje perustuu lakiin Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022), joka on Suomen kansallinen toimeenpanolaki EU:n nk. whistleblower-direktiiville (Euroopan parlamentin ja neuvoston direktiivi (EU) 2019/1937).

Laki 1171/2022 tuli voimaan 1.1.2023, ja se velvoittaa vähintään 50 henkilöä työllistävät yksityisen sektorin työnantajat sekä kaikki kuntasektorin työnantajat ottamaan käyttöön sisäisen ilmoituskanavan. Ilmoituskanava ei ole pelkkä lomake tai sähköpostiosoite — se on järjestelmä, johon kuuluvat kanavan tekniset ratkaisut, käsittelyprosessi, ilmoittajan suoja, palauteaikataulu ja tietosuojamenettelyt. Lakisääteinen velvollisuus koskee ensisijaisesti työnantajia, mutta myös muut organisaatiot voivat ottaa ilmoituskanavan vapaaehtoisesti käyttöön.

Ilmoituskanavan tarkoitus on kaksisuuntainen. Yhtäältä se suojaa ilmoittajaa (whistleblower) vastatoimenpiteiltä kuten irtisanomiselta, häirinnältä tai muulta epäsuotuisalta kohtelulta, joka voisi seurata ilmoituksen tekemisestä lain 1171/2022 11 §:n mukaisesti. Toisaalta se auttaa organisaatiota saamaan tietoa sisäisistä ongelmista, jotka muuten jäisivät piiloon — tutkimusten mukaan suurin osa organisaatioiden väärinkäytöksistä havaitaan sisäisten ilmoittajien kautta, ei viranomaistarkastusten avulla.

Laki 1171/2022 perustuu EU:n whistleblower-direktiiviin (2019/1937), jonka tavoitteena on yhdenmukaistaa ilmoittajansuoja koko EU:ssa. Direktiivin mukaiset ilmoituskanavat koskevat erityisesti tiettyjä aloja: rahanpesu, tuoteturvallisuus, ympäristönsuojelu, tietosuoja (GDPR), verkko- ja tietojärjestelmät, kuluttajansuoja, tilintarkastus, finanssipalvelut, kilpailuoikeus ja julkiset hankinnat. Kansallinen laki 1171/2022 voi laajentaa suojan kattamaan myös muita aloja.

Ilmoittajan suoja on lain 1171/2022 ydinelementti. Ilmoittajan henkilöllisyys on pidettävä salassa, ja ilmoittajaan kohdistuvat vastatoimet ovat kiellettyjä. Suoja koskee myös ilmoittajalle läheisiä henkilöitä (perheenjäsenet, työtoverit) ja oikeushenkilöitä. Ilmoittajan on kuitenkin täytettävä tietyt edellytykset saadakseen suojan: ilmoittajalla on oltava perusteltu syy uskoa, että ilmoitettu tieto on totta, ja ilmoitus on tehtävä lainmukaisesti. Tahallinen väärä ilmoitus ei nauti suojaa.

Ilmoituskanavat voidaan jakaa sisäisiin ja ulkoisiin. Sisäinen kanava on organisaation oma kanava, johon tämä ohje keskittyy. Ulkoinen kanava on viranomaistaho, johon ilmoittaja voi kääntyä, jos sisäinen kanava ei toimi tai ilmoittaja epäilee sen puolueettomuutta. Suomessa ulkoisesta kanavasta vastaa eduskunnan oikeusasiamies sekä toimivaltaiset viranomaiset toimialoittain. Ilmoittaja voi käyttää sisäistä ja ulkoista kanavaa samanaikaisesti tai siirtyä ulkoiseen kanavaan, jos sisäinen ei reagoi asianmukaisesti.

Tietosuoja on oleellinen osa ilmoituskanavan toimintaa. Ilmoituskanavan kautta kerättyjä henkilötietoja käsitellään yleisen tietosuoja-asetuksen (EU 2016/679) ja tietosuojalain (1050/2018) mukaisesti. Ilmoituskanavan tietosuojakäytännöt on kuvattava tietosuojaselosteessa, ja ilmoituskanavaa varten voidaan solmia erillinen tietojenkäsittelysopimus, jos käytetään ulkoistettua palveluntarjoajaa. forms-legal.com tarjoaa erilliset mallit tietosuojaselosteelle ja tietojenkäsittelysopimukselle täydentämään tätä ilmoituskanavaohjeistusta.

Kansainväliset verrokit osoittavat, että toimivat whistleblowing-järjestelmät vähentävät merkittävästi väärinkäytöksistä organisaatiolle aiheutuvia kustannuksia. EU:n toimeenpaneva virasto EFSA:n raportin mukaan organisaatiot, joilla on toimivat ilmoituskanavat, havaitsevat väärinkäytökset kaksi kertaa nopeammin ja niistä aiheutuvat tappiot ovat 50 prosenttia pienemmät. Suomessa oikeuskäytäntö lain 1171/2022 soveltamisesta kehittyy edelleen, ja tietosuojavaltuutetun toimisto sekä eduskunnan oikeusasiamies vastaanottavat ilmoituksia lain soveltamiseen liittyvissä asioissa.

Whistleblowing-ilmoituskanavaohje Suomessa tarvitaan kaikissa organisaatioissa, jotka ovat lain 1171/2022 velvoittamisalan piirissä tai jotka haluavat vapaaehtoisesti ottaa käyttöön toimivan ilmoituskanavan.

Pakollinen velvoite vähintään 50 henkilöä työllistäville. Laki 1171/2022 velvoittaa yksityisen sektorin työnantajat, jotka työllistävät vähintään 50 henkilöä, ottamaan käyttöön sisäisen ilmoituskanavan. Velvoite kattaa sekä kokoaikaiset että osa-aikaiset työntekijät. 50–249 henkilöä työllistävillä yrityksillä on mahdollisuus jakaa kanava muiden samankokoisten yritysten kanssa konsernin sisällä tai yhteistyöjärjestelyn kautta lain 1171/2022 12 §:n mukaisesti. Vähintään 250 henkilön yrityksillä on oltava oma kanava.

Julkishallinto. Kaikki kuntasektorin työnantajat, valtion virastot ja laitokset sekä muut julkishallinnon organisaatiot ovat velvoitettuja lain 1171/2022 mukaisesti riippumatta koosta. Julkishallinnon osalta velvoite on laajempi kuin yksityisellä sektorilla.

Finnish Financial Supervisory Authority (Finanssivalvonta) -valvotut yhteisöt. Lain 1171/2022 lisäksi Finanssivalvonnan valvomat yhteisöt (pankit, vakuutusyhtiöt, sijoituspalveluyritykset) voivat olla velvoitettuja ylläpitämään ilmoituskanavia myös sektorikohtaisen lainsäädännön nojalla, kuten luottolaitoslain (610/2014) tai vakuutusyhtiölain (521/2008) perusteella.

Pörssiyhtiöt ja listatut yhtiöt. Arvopaperipörssissä listatut yhtiöt voivat olla velvoitettuja ylläpitämään ilmoituskanavia myös arvopaperimarkkinalainsäädännön ja hyvän hallintotavan periaatteiden (corporate governance) nojalla, riippumatta henkilöstömäärästä.

Vapaaehtoinen käyttöönotto alle 50 henkilön organisaatioissa. Vaikka laki 1171/2022 ei velvoita alle 50 henkilön yrityksiä, moni PK-yritys hyötyy vapaaehtoisesta ilmoituskanavasta. Kanava parantaa hallintoa, auttaa havaitsemaan ongelmia ajoissa ja voi olla edellytys tietyissä hankintamenettelyissä tai yhteistyösopimuksissa.

Supply chain -velvoitteet. Suuret yritykset, joilla on ilmoituskanava, voivat vaatia alihankkijoiltaan ja yhteistyökumppaneiltaan vastaavia kanavia osana hankinnan tai sopimuksen ehtoja. Tämä on erityisesti relevanttia EU:n yritysvastuudirektiivin (CSDDD) toimeenpanon yhteydessä, joka velvoittaa suuria yrityksiä valvomaan myös toimitusketjujensa ihmisoikeus- ja ympäristöriskejä.

Vakuutusyhtiöt ja finanssialan toimijat. Vakuutusyhtiölain (521/2008) ja luottolaitoslain (610/2014) nojalla finanssialan toimijoilla on erityinen ilmoitusvelvollisuus Finanssivalvonnalle tiettyjen vakavien rikkomusten osalta. Laki 1171/2022 täydentää tätä sektorikohtaista ilmoituskanavajärjestelmää. Finanssialan organisaatioiden on varmistettava, että niiden sisäinen ilmoituskanava kattaa sekä lain 1171/2022 mukaiset rikkomukset että sektorikohtaiset velvoitteet. Tietosuojavaltuutetun toimisto ja Finanssivalvonta tekevät yhteistyötä finanssialan valvonnassa, joten molempien viranomaisten vaatimukset on huomioitava ilmoituskanavan suunnittelussa.

Kattava Whistleblowing-ilmoituskanavaohje Suomessa sisältää seuraavat osatekijät lain 1171/2022 ja EU:n direktiivin (EU) 2019/1937 vaatimusten täyttämiseksi.

Kanavan tekniset ratkaisut. Ilmoituskanavan on mahdollistettava sekä kirjalliset että suulliset ilmoitukset lain 1171/2022 18 §:n mukaisesti. Kanavan on oltava turvallinen, niin että ilmoittajan henkilöllisyys voidaan pitää salassa. Käytännön ratkaisuja ovat erilliset verkkoalustat (WhistleB, EQS, NAVEX), suojatut sähköpostiosoitteet, erilliset puhelinlinjat tai postilaatikososoite. Tärkeintä on, että kanava on erillinen organisaation tavallisista viestintäkanavista ja käytössä on riittävät tekniset suojatoimet.

Käsittelyprosessi ja palauteaikataulu. Laki 1171/2022 18 § edellyttää, että ilmoittajalle lähetetään kuittaus 7 päivän kuluessa ilmoituksen vastaanottamisesta (pois lukien nimettömät ilmoitukset). Ilmoittajalle on annettava palaute ilmoituksen käsittelyn edistymisestä viimeistään 3 kuukauden kuluessa kuittauksen lähettämisestä. Käsittelyprosessiin kuuluu ilmoituksen vastaanottaminen, alustava arviointi, mahdollinen sisäinen tutkinta ja jatkotoimista päättäminen.

Ilmoittajan suoja lain 1171/2022 11 §:n mukaisesti. Ilmoittajaa on suojattava vastatoimenpiteiltä: irtisanominen, alennus, palkkaalennukset, syrjintä, häirintä, blacklisting tai muut epäsuotuisat toimet ovat kiellettyjä. Todistustaakka vastatoimien suhteen on käännetty: työnantajan on osoitettava, ettei toimenpide johdu ilmoittamisesta. Ilmoittaja voi hakea vahingonkorvausta vastatoimien vuoksi.

Luottamuksellisuus ja ilmoittajan henkilöllisyyden suoja. Ilmoittajan henkilöllisyys on pidettävä salassa lain 1171/2022 16 §:n mukaisesti. Henkilöllisyyttä ei saa paljastaa ilman ilmoittajan suostumusta paitsi, jos se on välttämätöntä laissa säädettyihin tarkoituksiin, kuten viranomaistoimintaan. Nimetöntä ilmoittamisen mahdollisuus on lain 1171/2022 mukaisesti tarjottava, mutta nimettömille ilmoittajille ei tarvitse lähettää kuittausta.

Puolueettomuus ja riippumattomuus. Ilmoitusten käsittelijän on oltava puolueeton — käsittelijänä voi toimia organisaation sisäinen compliance-toiminto, lakimies tai ulkoistettu palveluntarjoaja. Käsittelijän on oltava eri henkilö kuin se, jota ilmoitus koskee. Ulkoistettu käsittely lisää puolueettomuutta erityisesti pienemmissä organisaatioissa.

Tietosuoja. Ilmoituskanavan tietosuojamenettelyt on kuvattava tietosuojaselosteessa yleisen tietosuoja-asetuksen (EU 2016/679) 13 tai 14 artiklan mukaisesti. Ilmoittajan tietoja käsitellään ainoastaan ilmoituksen käsittelyn tarkoituksiin ja poistetaan lain 1171/2022 19 §:n mukaisesti viimeistään 5 vuoden kuluttua ilmoituksen vastaanottamisesta. Jos käytetään ulkoistettua ilmoituskanavaalustaa, on solmittava tietojenkäsittelysopimus yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti.

Tiedottaminen henkilöstölle ja sidosryhmille. Ilmoituskanava on oltava tosiasiallisesti kaikkien lain 1171/2022 2 §:n tarkoittamien ilmoittajien saatavilla. Ilmoituskanavaohje on jaettava kaikille asianomaisille ja asetettava helposti saataville organisaation verkkosivustolle tai intraan. forms-legal.com tarjoaa tämän mallin helppona lähtökohtana ilmoituskanavaohjeen laadinnalle.

Tallentaminen ja rekisteri. Kaikki ilmoitukset on kirjattava sisäiseen rekisteriin lain 1171/2022 19 §:n mukaisesti. Rekisterissä on oltava tieto ilmoituksen vastaanottamispäivästä, yhteenveto ilmoituksen sisällöstä, toteutetuista toimenpiteistä ja lopputuloksesta. Rekisteriä ei saa luovuttaa ulkopuolisille, ja se on suojattava asianmukaisesti.

Yhteys tietosuoja-arviointiin. Ilmoituskanavan käyttöönotto vaatii yleisen tietosuoja-asetuksen (EU 2016/679) 35 artiklan mukaisen tietosuojan vaikutustenarvioinnin (DPIA), koska käsittely sisältää erityisten henkilötietoryhmien mahdollista käsittelyä (rikostietoihin viittaavat tiedot) ja vaikutustenarviointi on tarpeen korkean riskin käsittelyissä. Tietosuojavaltuutetun toimisto on ohjeissaan vahvistanut, että ilmoituskanavat kuuluvat DPIA-velvollisuuden piiriin. Tietojenkäsittelysopimus on solmittava, jos käytetään ulkoistettua ilmoituskanavaalustaa yleisen tietosuoja-asetuksen (EU 2016/679) 28 artiklan mukaisesti. forms-legal.com tarjoaa erilliset mallit sekä DPIA-dokumentaatioon liittyviin tietojenkäsittelysopimuksiin että tietosuojaselosteisiin.

Whistleblowing-ilmoituskanavaohje Suomessa laaditaan seuraavien vaiheiden mukaisesti lain 1171/2022 vaatimusten täyttämiseksi.

Vaihe 1 — Ilmoita organisaation tiedot. Merkitse organisaation täydellinen nimi, Y-tunnus ja koko. Organisaation koko vaikuttaa velvollisuuksiin — alle 50 henkilöä työllistävillä ei ole lakisääteistä velvoitetta, mutta kanava voi olla vapaaehtoinen.

Vaihe 2 — Valitse ja kuvaa ilmoituskanava. Päätä, mikä tekninen ratkaisu soveltuu parhaiten organisaatioosi. Pienemmille organisaatioille suojattu sähköpostiosoite tai puhelinlinja voi riittää, mutta suuremmille suositellaan erillistä verkkoalustaa, joka mahdollistaa nimettömän ilmoittamisen ja turvallisen viestinnän. Kuvaa ohjeessa konkreettisesti, miten ilmoituksen voi tehdä.

Vaihe 3 — Nimeä käsittelijä. Päätä, kuka vastaa ilmoitusten käsittelystä. Käsittelijän on oltava puolueeton ja luotettava henkilö — compliance-päällikkö, juristi tai ulkoistettu palveluntarjoaja. Käsittelijä ei voi olla sama henkilö, jota ilmoitus koskee, joten on tärkeää nimetä varahenkilö.

Vaihe 4 — Kuvaa käsittelyprosessi ja aikataulut. Kirjaa ohjeeseen selkeästi: kuittaus 7 päivässä, palaute 3 kuukaudessa. Nämä ovat lain 1171/2022 18 §:n mukaisia pakollisia määräaikoja. Kuvaa myös, miten tutkinta tapahtuu ja mitä jatkotoimia ilmoituksesta voi seurata.

Vaihe 5 — Kuvaa ilmoittajan suoja. Kerro selkeästi, miten ilmoittajan henkilöllisyys suojataan ja millaista suojaa vastatoimenpiteiltä organisaatio tarjoaa lain 1171/2022 11 §:n mukaisesti. Tämä on oleellinen osa ohjetta, koska se rohkaisee ilmoittamaan.

Vaihe 6 — Kuvaa tietosuojamenettelyt. Kerro, miten ilmoituskanavan kautta kerättyjä henkilötietoja käsitellään yleisen tietosuoja-asetuksen (EU 2016/679) ja lain 1171/2022 mukaisesti. Viittaa tietosuojaselosteeseen, jossa käsittely kuvataan yksityiskohtaisemmin.

Vaihe 7 — Julkaise ohje ja tiedota henkilöstölle. Aseta ohje saataville kaikille potentiaalisille ilmoittajille. Järjestä koulutus henkilöstölle ilmoituskanavan käytöstä ja ilmoittajan suojasta. Hyvä käytäntö on myös tiedottaa ulkopuolisille sidosryhmille, kuten alihankkijoille, ilmoituskanavan olemassaolosta lain 1171/2022 2 §:n laajan soveltamisalan mukaisesti.

Whistleblowing-ilmoituskanavaohje Suomessa kuuluu lain 1171/2022 ja EU:n direktiivin (EU) 2019/1937 sääntelyn piiriin.

Velvollisuus ottaa käyttöön sisäinen ilmoituskanava lain 1171/2022 12 §:n mukaisesti. Yksityisen sektorin työnantajat, jotka työllistävät vähintään 50 henkilöä, ovat velvoitettuja ottamaan käyttöön sisäisen ilmoituskanavan. Julkishallinnolle velvollisuus on laajempi. 50–249 henkilöä työllistävät yritykset voivat jakaa kanavan lain 1171/2022 12 §:n 2 momentin mukaisesti. Velvollisuuden laiminlyönnistä voidaan määrätä seuraamusmaksu lain 1171/2022 34–36 §:n mukaisesti.

Ilmoittajan suoja lain 1171/2022 11 §:n mukaisesti. Kaikki vastatoimenpiteet ilmoittajaa kohtaan ovat laittomia. Vastatoimenpiteisiin syyllistynyt voidaan velvoittaa maksamaan vahingonkorvausta lain 1171/2022 28 §:n mukaisesti. Työnantajalla on käännetty todistustaakka: työnantajan on osoitettava, ettei epäsuotuisa toimenpide johdu ilmoittamisesta, vaan muusta syystä. Ilmoittajan suojelu koskee myös nimettömiä ilmoittajia, joiden henkilöllisyys myöhemmin paljastuu.

Kuittaus ja palauteaikataulu lain 1171/2022 18 §:n mukaisesti. Ilmoittajalle on lähetettävä kuittaus 7 päivän kuluessa ilmoituksen vastaanottamisesta (paitsi nimettömät ilmoitukset). Ilmoittajalle on annettava palaute ilmoituksen käsittelytoimista kohtuullisessa ajassa, viimeistään 3 kuukauden kuluessa kuittauksesta. Aikataulujen noudattamatta jättäminen on lain rikkomus.

Rekisteri ja dokumentointi lain 1171/2022 19 §:n mukaisesti. Kaikki ilmoitukset on kirjattava turvalliseen rekisteriin. Rekisteri on säilytettävä ilmoitusten käsittelyn ajan ja viimeistään 5 vuoden kuluttua ilmoituksen vastaanottamisesta on poistettava rekisteristä tiedot, joita ei enää tarvita. Rekisterin tietoja ei saa luovuttaa ulkopuolisille ilman lain nojalla.

Seuraamusmaksut lain 1171/2022 34–36 §:n mukaisesti. Lain velvoitteiden rikkomisesta voidaan määrätä seuraamusmaksu. Seuraamusmaksu voidaan määrätä muun muassa velvollisuuden laiminlyönnistä ottaa käyttöön sisäinen ilmoituskanava, aikatauluvelvoitteiden rikkomisesta sekä vastatoimenpiteiden kohdistamisesta ilmoittajaan. Lain 1171/2022 seuraamusjärjestelmä on kehitteillä, ja oikeuskäytäntö tarkentuu ajan myötä. Tietosuojavaltuutetun toimisto voi tutki myös tietosuojaan liittyviä rikkomuksia ilmoituskanavan yhteydessä.

Yhteensopivuus yleisen tietosuoja-asetuksen (EU 2016/679) kanssa. Ilmoituskanavan toiminta on yhteensopivaa yleisen tietosuoja-asetuksen (EU 2016/679) kanssa, kun tietosuojamenettelyt on asianmukaisesti dokumentoitu. Tietosuojavaltuutetun toimisto on antanut ohjeistusta siitä, miten ilmoituskanavan henkilötietoja tulee käsitellä. Ilmoituskanavaan liittyvä tietojenkäsittely on tyypillisesti dokumentoitava tietosuojan vaikutustenarvioinnissa (DPIA) yleisen tietosuoja-asetuksen (EU 2016/679) 35 artiklan mukaisesti, jos käsittely aiheuttaa korkean riskin.

Tavanomaiset virheet Whistleblowing-ilmoituskanavaohje Suomessa laadinnassa voivat johtaa lain 1171/2022 rikkomiseen tai heikentää kanavan tosiasiallista toimivuutta.

Virhe 1 — Kanava ei takaa anonymiteettiä. Ilmoituskanava, joka ei mahdollista nimetöntä ilmoittamista tai jossa nimetön ilmoittaja on tunnistettavissa teknisistä lokitiedoista, ei täytä lain 1171/2022 vaatimuksia. Ratkaisu: varmista, että tekninen ratkaisu (verkkoalusta, suojattu sähköposti) mahdollistaa aidon anonymiteetin — erityisesti IP-osoitteen ja metadatan suojaus on tärkeää.

Virhe 2 — Käsittelijä ei ole puolueeton. Ilmoitusten käsittelyvastuuta ei ole eriytetty organisaatiossa, vaan esimerkiksi HR-johtaja käsittelee ilmoituksia, vaikka hän saattaa olla epäillyn lähiesihenkilö tai osa epäillyn tahon organisaatiota. Ratkaisu: nimety käsittelijä, jolla ei ole intressiristiriitaa, ja nimeä varahenkilö mahdollisia esteellisyystilanteita varten.

Virhe 3 — Puuttuvat aikataulut. Kanava ei noudada lain 1171/2022 18 §:n mukaisia 7 päivän kuittausaikaa ja 3 kuukauden palauteaikaa. Ratkaisu: luo selkeä prosessi, joka automaattisesti muistuttaa käsittelijää aikatauluista. Kirjaa aikataulut ohjeeseen.

Virhe 4 — Puuttuva tietosuojadokumentaatio. Ilmoituskanavan tietosuojakäytäntöjä ei ole kuvattu tietosuojaselosteessa eikä ilmoittajille anneta riittävästi tietoa henkilötietojensa käsittelystä. Ratkaisu: päivitä tietosuojaseloste kattamaan ilmoituskanavan tietosuojakäytännöt, ja harkitse DPIA-arviointia.

Virhe 5 — Henkilöstölle ei tiedoteta. Ilmoituskanava on olemassa, mutta siitä ei tiedoteta henkilöstölle, joten kukaan ei tiedä sen olemassaolosta. Ratkaisu: järjestä koulutuksia, lisää ilmoituskanavaohje perehdytysmateriaaliin ja julkaise se helposti löydettävässä paikassa.

Virhe 6 — Rekisteriä ei pidetä. Ilmoitukset käsitellään, mutta niitä ei kirjata rekisteriin lain 1171/2022 19 §:n mukaisesti. Ratkaisu: pidä systemaattista rekisteriä kaikista ilmoituksista, toimenpiteistä ja lopputuloksista. Rekisteri on tärkeä sekä lain noudattamisen osoittamiseksi että organisaation oppimisen kannalta.

Virhe 7 — Kanava ei kata kaikkia lain 1171/2022 tarkoittamia ilmoittajia. Kanava on suunniteltu vain omille työntekijöille, vaikka laki 1171/2022 2 §:n mukainen ilmoittajapiiri on laajempi ja kattaa myös alihankkijat, harjoittelijat, vapaaehtoiset ja yhteistyökumppanit. Ratkaisu: varmista, että kanava on tosiasiallisesti kaikkien lain 1171/2022 tarkoittamien henkilöiden käytettävissä, ja tiedota kanavasta myös organisaation ulkopuolisille sidosryhmille.

Virhe 8 — Puuttuva DPIA. Ilmoituskanavan käyttöönotto ilman yleisen tietosuoja-asetuksen (EU 2016/679) 35 artiklan mukaista tietosuojan vaikutustenarviointia on rikkomus, koska käsittely voi sisältää arkaluonteisia tietoja. Ratkaisu: laadi DPIA ennen ilmoituskanavan käyttöönottoa ja dokumentoi arviointi asianmukaisesti tietosuojavaltuutetun toimiston tarkastuksia varten.