Tietosuojaseloste
Whistleblowing-ilmoitusmenettely

Administer Oy ja sen konserniyhtiöt (yhdessä ”Administer”) ovat sitoutuneet suojaamaan yksityisyyttä ja käsittelemään henkilötietoja sovellettavan tietosuojalainsäädännön ja hyvien tietosuojakäytäntöjen mukaisesti. Tässä tietosuojaselosteessa kuvataan, kuinka Administer kerää, käsittelee ja suojaa whistleblowing-ilmoituksen tehneen henkilön (”ilmoittaja”) henkilötietoja sekä whistleblowing-yhteydenoton kohteena olevan henkilön henkilötietoja. Jos ilmoitus on tehty nimettömänä, Administer ei käsittele ilmoittajan henkilötietoja.

Administer ja sen kanssa samaan konserniin kuuluvat yhtiöt toimivat yhteisrekisterinpitäjinä. Tämä tietosuojaseloste kuvaa, miten henkilötietoja kerätään ja käsitellään yhteisiä tarkoituksia varten.  

1. Yhteisrekisterinpitäjät yhteystietoineen

Tämä tietosuojaseloste koskee Administer Oyj:n ja sen konserniyhtiöiden (yhdessä ”Administer”) whistleblowing-ilmoitusmenettelyjä.

Administer Oyj vastaa tässä kuvatun henkilörekisterin ylläpidosta ja toimii myös keskitettynä yhteyspisteenä tietosuojakysymyksiin liittyen.

Administer Oyj
Itämerenkatu 5
00180 Helsinki
Y-tunnus: 0593027-4
Puhelin: 020 703 2000

Kaikki rekisteriä koskevat yhteisrekisterinpitäjät on kerrottu konsernin www-sivuilla osoitteessa: https://administergroup.com/administer-konsernin-yhtiolistaus/

2. Rekisterin yhteyshenkilöt

Administer Oyj:n asiakaspalvelu palvelee rekisteriasioissa arkipäivisin klo 9-16 välisenä aikana numerossa 020 703 2010. Rekisteriä koskevat kysymyksenne voitte laittaa meille myös sähköpostiosoitteeseen tiedotus@Administer.fi tai kirjeitse osoitteeseen Administer, Itämerenkatu 5, 00180 Helsinki.

Tietosuojaa koskevissa kysymyksissä voitte kääntyä konsernin tietosuojavastaavan puoleen: Anja Hänninen, puh. 040 5220 621.  Tietosuojaa koskevissa kysymyksissä voitte ottaa yhteyttä myös joko sähköpostilla tietosuoja@administer.fi tai kirjeitse osoitteeseen Administer, tietosuoja, Itämerenkatu 5, 00180 Helsinki.

3. Rekisterin nimi

Administer-konsernin whistleblowing-ilmoitusmenettelyt.

4. Millä perusteella henkilötietoja käsitellään ja mihin tarkoitukseen

Henkilötietojen käsittely perustuu kolmansien henkilöiden tietojen osalta rekisterinpitäjän lakisääteiseen velvoitteeseen, sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, ja ilmoittavan henkilön tietojen osalta suostumukseen sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun.

Käyttöön otetut ilmoitusmenettelyt ovat tapa valvoa Administerin eettisten periaatteiden toteutumista. Ilmoituskanavan kautta on mahdollista saada tärkeää ja systemaattista tietoa mahdollisista väärinkäytösepäilyistä ja -rikkomuksista sekä reagoida niihin ajoissa. Ilmoitusmenettelyjen olemassaolo tukee hyvää yrityskulttuuria mahdollistamalla työntekijöille kanavan tuoda esiin epäkohtia ja epäilyksiä. Ilmoituksen voi tehdä myös anonyymisti. Administer ei voi pyytää ilmoituksen kohteeksi joutuneilta erikseen suostumusta. Ilmoituksia voivat tehdä konsernin henkilöstö tai muut mahdolliset sidosryhmät, kuten esimerkiksi Administerin asiakkaat ja liikekumppanit.

Administer käsittelee vain sellaisia henkilötietoja, jotka ovat käsittelyn kannalta välttämättömiä, kun saadun ilmoituksen pohjalta selvitetään toiminnassa mahdollisesti tapahtuneita väärinkäytöksiä tai muuta ilmoituksella ilmoitettua toimintaa. Silloin kun väärinkäytöstä koskeva epäily on todeksi vahvistettu, henkilötietoja käytetään myös kurinpito- ja korjaavien toimenpiteiden toimeenpanossa. Whistleblowing-ilmoituskäytäntöjen väärinkäyttö (esimerkiksi pahantahtoisesti tehty väärä ilmoitus) johtaa seuraamuksiin, esimerkiksi kurinpitotoimenpiteisiin.

5. Millaisia tietoa kerätään

Administer kerää vain sellaisia henkilötietoja, mitkä ovat välttämättömiä ilmoituksen tutkimista varten. Tällaisia tietoja ovat:

  • perustiedot, kuten nimi, puhelinnumero, sähköpostiosoite, tehtävänimike ja asema
  • ilmoituksella olevat tiedot, joita ovat kaikki ilmoittajan antamat tiedot, kuten esimerkiksi väitetyn väärintekijän henkilöllisyys, väitetyn väärinkäytöksen kuvaus perusteluineen sekä kaikki muut asiaan kuuluvat tiedot
  • väitettyä väärinkäytöstä koskevan selvitystyön yhteydessä kerättävät tutkimuksessa tarvittavat tiedot, kuten työsuhteeseen liittyvät tiedot, taloustiedot, kolmannen osapuolen raporteista ja arvioinneista ilmenevät tiedot sekä käytös- ja kirjautumistiedot.

Ilmoittaja voi tehdä ilmoituksen myös anonyymisti, jolloin ilmoitusta ei ole tällöin mahdollista yhdistää kenenkään henkilöön.  

Sellaiset henkilötiedot, joiden katsotaan olevan tutkimuksen kohteena olevan asian kannalta merkityksettömiä tai ylimääräisiä, poistetaan. Erityisiä henkilötietoryhmiä ei yleisesti ottaen käsitellä whistleblowing-prosessissa, mutta mikäli joitain tällaisia henkilötietoja kuitenkin käsitellään esimerkiksi oikeudellisen vaatimuksen laatimiseksi, esittämiseksi tai puolustamiseksi, käsittely tapahtuu voimassa olevan tietosuojalainsäädännön mukaisesti.

6. Mistä tietoja kerätään

Administer kerää ilmoittajan antamia henkilötietoja whistleblowing-järjestelmän (Ilmoituskanava) tai muiden kanavien kautta. Lisäksi tutkimusten aikana henkilötietoja kerätään tarvittaessa Administerin sisäisistä järjestelmistä sekä kolmansilta osapuolilta.

Rekisteröityä koskevia henkilötietoja kerätään rekisteröidyltä itseltään, silloin kun henkilö on jättänyt ilmoituksen omalla nimellään. Rekisteröityä koskevaa tietoa voidaan kerätä myös muista lähteistä kuin rekisteröidyltä itseltään esimerkiksi silloin, kun toisen rekisteröidyn jättämä ilmoitus sisältää henkilötietoja toisesta henkilöstä. Ilmoituksen käsittelyn aikana voi tulla rekisterinpitäjän tietoon myös muita rekisteröityjä koskevia tietoja, jotka ilmoittaja itse vapaaehtoisesti antaa tai jotka saadaan muista lähteistä voimassa olevan lainsäädännön sallimalla tai edellyttämällä tavalla.

7. Kenellä on pääsy henkilötietoihin ja luovutetaanko niitä kolmansille osapuolille

Administerillä on ilmoitusten käsittelyyn erikseen nimetty riippumaton tiimi, joka vastaanottaa ja käsittelee ilmoitukset. Tapauskohtaisesti ilmoituksen luonteesta riippuen voidaan käsittelijöiden määrää lisätä. Ilmoituskanavan väärinkäyttäminen voi johtaa oikeudellisiin toimenpiteisiin.

Henkilötietoihin pääsevät ja niitä käsittelevät ne Administerin työntekijät, jotka toteuttavat tutkimukset ja valvovat niitä. Pääsy on vain henkilöillä, jotka tarvitsevat tietoja edellä mainittuihin tarkoituksiin. Ilmoittajan henkilöllisyyttä, silloin kun se on tiedossa, ei luovuteta henkilöille, joihin väitteet kohdistuvat. Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja antaa siihen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tarkoituksenaan aiheuttaa haittaa. Henkilötiedot luovutetaan kolmansille osapuolille, esimerkiksi viranomaisille tai ulkopuolisille tarkastajille, silloin kun se on välttämätöntä.

8. Tietojen luovutukset ja tietojen siirto

Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja itse antaa siihen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tahallaan haitanteko mielessä.  Henkilötietoja voidaan luovuttaa kolmansille osapuolille, esimerkiksi viranomaisille tai ulkopuolisille tarkastajille, silloin kun se perustuu lakiin tai on välttämätöntä ilmoituksen edellyttäminen toimenpiteiden suorittamiseksi.

9. Henkilötietojen siirto Euroopan Unionin / Euroopan talousalueen ulkopuolelle

EU:ssa tai ETA-alueella ilmoitettuja henkilötietoja ei siirretä EU:n tai ETA-alueen rajojen ulkopuolelle.

10. Automaattinen päätöksenteko tai profilointi     

Henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia

11. Kuinka kauan tietoja säilytetään

Administer säilyttää rekisteriin kerättyjä henkilötietoja ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista ja lainsäädännön mukaisesti sallittua suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Kun tutkimus on saatettu päätökseen, tapaus on loppuun käsitelty. Ilmoituskanavassa henkilötietoja säilytetään enintään yksi (1) vuosi Administerin ja rekisteröidyn välisestä viimeisestä aktiivisesta tapahtumasta lukien. Tutkimusten aikana kerättyä materiaalia säilytetään turvallisesti vaateen esittämiselle annetun ajan umpeutumiseen asti, minkä jälkeen materiaali hävitetään.

Säilytysaika voi vaihdella pakottavien oikeudellisten vaatimusten mukaisesti. Tällaisia ovat esimerkiksi työturvallisuutta, korruptiota, eettisyyttä ja kirjanpitoa koskevat lait. Mikäli asia etenee tuomioistuimeen ja käsittely tuomioistuimessa edellyttää pidempää säilytysaikaa, säilytetään tietoja oikeuskäsittelyn edellyttämän ajan. Mikäli väite on perusteettomaksi todettu, tiedot hävitetään viipymättä.

Keskeisintä säilytysaikojen osalta on vastatoimien kieltoon liittyvä käänteinen todistustaakka. Jos ilmoittaja kokee joutuneensa vastatoimien kohteeksi, yrityksen velvollisuutena on näyttää toteen, että näin ei ole tapahtunut. Koska vanhentumissääntöä ei ole vielä kansallisella tasolla määritelty vastatoimien väitteille, ilmoitusten käsittelyyn liittyvän aineiston säilytysaikaa ei vielä toistaiseksi voida rajata. Administer tulee noudattamaan säilytysaikojen osalta kansallista lainsäädäntöä.

Tietojen tuhoamisessa ja poistamisessa noudatetaan turvallisia käytäntöjä Administerin noudattamien poistoprosessien mukaisesti.

12. Henkilötietojen suojaus

Käytössä oleva ilmoituskanava on suojattu teknisin keinoin, eikä ilmoituskanavan ylläpitäjällä ole pääsyä ilmoituksiin tai ilmoituksen tekijän tietoihin. Ilmoituskanava ei tallenna IP-osoitteita tai muita sellaisia tietoja, joilla voisi tunnistaa ilmoituksen lähettäjän. Ilmoituskanavan tietoturvallisuus on varmistettu ulkopuolisen auditoijan toimesta ja se täyttää sille asetetut lakisääteiset vaatimukset.

Ilmoituksen tekijästä ei tallennu järjestelmään mitään tietoja, mitä hän ei itse sinne ilmoita. Ilmoittaja saa ilmoituksen tekovaiheessa numerokoodin, jonka avulla hän pystyy kirjautumaan ja seuraamaan ilmoituksen käsittelyä ilmoituksen tekemisen jälkeen. Tämä ilmoituksen tekemisen yhteydessä annettava numerokoodi on ainoa tapa päästä ilmoitukseen jälkikäteen. Tämän vuoksi henkilön tulee tallentaa numerokoodi itselleen talteen, koska tämä yksilöity numerokoodi on ainoa tapa seurata ilmoituksen käsittelyä tai antaa ilmoitukseen lisätietoja. Jos numerokoodi unohtuu, joutuu ilmoittaja tekemään uuden ilmoituksen.

Henkilötiedot on suojattu oikeudettomalta käsittelyltä. Ainoastaan Administerin erikseen nimeämät riippumattomat henkilöt ovat oikeutettuja käsittelemään ilmoitusten käsittelyn yhteydessä käsiteltäviä tietoja. Jokaisella ilmoituksen käsittelijällä on henkilökohtaiset tunnukset ja tunnistautumisessa käytetään kaksivaiheista tunnistautumista. Jokainen henkilötietoja käsittelevä henkilö on allekirjoittanut tietoturva- ja tietosuojasitoumuksen, sekä saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen.

13. Kuinka rekisteröity voi vaikuttaa omien henkilötietojensa käsittelyyn

Jokaisella rekisteröidyllä on EU:n yleisen tietosuoja-asetuksen mukaan seuraavat oikeudet:

  • Oikeus saada pääsy henkilötietoihinsa
  • Oikeus omien henkilötietojensa oikaisemiseen ja täydentämiseen, jos tiedoissa on virheitä, epätarkkuuksia tai puutteita
  • Oikeus pyytää omien henkilötietojensa poistamista
  • Oikeus henkilötietojen käsittelyn rajoittamiseen
  • Oikeus henkilötietojen käsittelyn vastustamiseen
  • oikeus pyytää henkilötietojansa koneellisesti luettavassa muodossa, jotta hän voi siirtää tiedot toiselle rekisterinpitäjälle

Administerilla voi olla oikeus hylätä rekisteröidyn oikeuksiin liittyvä pyyntö. Mikäli pyyntö hylätään, hylkäämiseen johtaneet syyt annetaan aina rekisteröidylle tiedoksi. Rekisteröity voi lähettää oikeuksiaan koskevan pyynnön sähköpostitse osoitteeseen tietosuoja@administer.fi. Yhteyshenkilö rekisteröidyn oikeuksiin liittyvissä asioissa on tietosuojavastaava ja häntä koskevat yhteystiedot löytyvät tämän selosteen kohdasta 2, rekisterin yhteyshenkilöt.

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuoja-asetusta. Valituksen voi tehdä esimerkiksi silloin, jos Administer ei toteuta tietosuoja-asetuksessa olevia rekisteröidyn oikeuksia asianmukaisesti.  Ilmoituksen epäkohdasta henkilötietojen käsittelyssä voi tehdä tietosuojatoimiston internetsivuilla: https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa.

14. Muutokset tietosuojaselosteessa

Administer pidättää oikeuden tehdä muutoksia tietosuojaselosteeseen. Muutokset tietosuojaselosteeseen voivat perustua myös lainsäädännön muuttumiseen. Tämä tietosuojaseloste on päivitetty viimeksi 22.11.2021.