Tietosuojaseloste
Whistleblowing-ilmoitusmenettely
Administer Oyj ja sen konserniyhtiöt (yhdessä ”Administer”) ovat sitoutuneet suojaamaan yksityisyyttä ja käsittelemään henkilötietoja sovellettavan tietosuojalainsäädännön ja hyvien tietosuojakäytäntöjen mukaisesti. Tässä tietosuojaselosteessa kuvataan, kuinka Administer kerää, käsittelee ja suojaa whistleblowing-ilmoituksen tehneen henkilön (”ilmoittaja”) henkilötietoja sekä whistleblowing-yhteydenoton kohteena olevan henkilön henkilötietoja. Jos ilmoitus on tehty nimettömänä, Administer ei käsittele ilmoittajan henkilötietoja.
Administer ja sen kanssa samaan konserniin kuuluvat yhtiöt toimivat yhteisrekisterinpitäjinä. Tämä tietosuojaseloste kuvaa, miten henkilötietoja kerätään ja käsitellään yhteisiä tarkoituksia varten.
1. Yhteisrekisterinpitäjät yhteystietoineen
Tämä tietosuojaseloste koskee Administer Oyj:n ja sen konserniyhtiöiden (yhdessä ”Administer”) whistleblowing-ilmoitusmenettelyjä.
Administer Oyj vastaa tässä kuvatun henkilörekisterin ylläpidosta ja toimii myös keskitettynä yhteyspisteenä tietosuojakysymyksiin liittyen.
Administer Oyj
Konepajankuja 3 B
00510 Helsinki
Y-tunnus: 0593027-4
Puhelin: 020 703 2000
Kaikki rekisteriä koskevat yhteisrekisterinpitäjät on kerrottu konsernin www-sivuilla osoitteessa: https://administergroup.com/administer-konsernin-yhtiolistaus/
2. Rekisterin yhteyshenkilöt
Administer Oyj:n asiakaspalvelu palvelee rekisteriasioissa arkipäivisin klo 9-16 välisenä aikana numerossa 020 703 2010. Rekisteriä koskevat kysymyksenne voitte laittaa meille myös sähköpostiosoitteeseen tiedotus@Administer.fi tai kirjeitse osoitteeseen Administer, Konepajankuja 3 B, 00510 Helsinki.
Tietosuojaa koskevissa kysymyksissä voitte kääntyä konsernin tietosuojavastaavan puoleen: Anja Hänninen, puh. 040 5220 621. Tietosuojaa koskevissa kysymyksissä voitte ottaa yhteyttä myös joko sähköpostilla tietosuoja@administer.fi tai kirjeitse osoitteeseen Administer, tietosuoja, Konepajankuja 3 B, 00510 Helsinki.
3. Rekisterin nimi
Administer-konsernin whistleblowing-ilmoitusmenettelyt.
4. Käsittelyn tarkoitus ja oikeusperusteet
Käyttöön otetut ilmoitusmenettelyt ovat tapa valvoa Administerin eettisten periaatteiden toteutumista. Ilmoituskanava toimii samalla nk. whistleblowing-ilmoituskanavana. Prosessi perustuu Euroopan unionin ilmoittajansuojeludirektiiviin eli ns. whistleblowing-direktiiviin. Tätä koskeva kansallinen ilmoittajansuojelulaki (laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta) on astunut voimaan 1.1.2023.
Henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi sekä rekisterinpitäjän oikeutetun edun perusteella. Administerilla on oikeutettu etu saada tietoa yhtiöön ja sen toimintaan liittyvistä väärinkäytöksistä niihin puuttumiseksi ja Administerin työntekijöiden ja yhteistyökumppanien eettisen ja lainmukaisen toiminnan varmistamiseksi. Ilmoituskanava on lainsäädännön tunnistama tapa valvoa Administerin toimintatapojen lainmukaisuutta sekä eettisten periaatteiden toteutumista. Ilmoituskanavan kautta on mahdollista saada tietoa mahdollisista väärinkäytösepäilyistä ja rikkomuksista sekä reagoida niihin ajoissa. Epäilyt ja havainnot voivat koskea esimerkiksi eettisten periaatteiden ja lainsäädännön vastaista toimintaa, finanssimarkkinoita ja arvopaperimarkkinoita koskevia rikkomusepäilyjä, taloudellisia väärinkäytöksiä tai mahdollisia rahanpesuun taikka terrorismin rahoittamiseen liittyviä epäilyjä. Ilmoituskanavan olemassaolo tukee avointa ja läpinäkyvää yrityskulttuuria. Ilmoituksia epäilyistä ja havainnoista voivat tehdä Administerin nykyiset ja entiset työntekijät sekä sidosryhmät. Administer ei voi pyytää erikseen suostumusta ilmoituksen kohteeksi joutuneilta.
Tietoja käytetään väärinkäytösten seuraamiseen ja selvittämiseen. Tietoja voidaan käyttää myös valvonnan kehittämiseen, analysointiin sekä tilastointiin.
5. Millaisia tietoa kerätään
Ilmoitus on mahdollista tehdä anonyyminä tai omalla nimellä. Ilmoitus käsitellään aina luottamuksellisesti ja ilmoittajan henkilöllisyys on vain ilmoituksen käsittelyyn nimettyjen henkilöiden sekä asiaa asiantuntijoina tutkimaan kutsuttujen henkilöiden tiedossa.
Rekisteri voi sisältää seuraavanlaisia henkilötietoja ilmoittajasta ja ilmoituksen kohteena olevasta sekä muista asiaan liittyvistä henkilöistä, kuten todistajista:
- Ilmoittajan nimi, sähköpostiosoite, puhelinnumero. Ilmoitus voidaan tehdä myös anonyymisti.
- Ilmoituksen tiedot, kuten kohteen nimi, tiedot lain vastaiseen toimintaan liittyen (ml. paikka ja aika), todistajan tiedot Ilmoituksen tekemiseen ja käsittelyyn sekä viesteihin liittyvät tiedot (ml. ilmoituksen koodi ja status)
- Mahdolliset ilmoittajan itsensä antamat muut tiedot.
Lisäksi tietoja tallentuu kanavan kautta tulevien ilmoitusten käsittelijöistä, kuten nimi, tehtävänimike, sähköpostiosoite, käyttäjätunnukset järjestelmään, lokitiedot järjestelmän käytöstä
6. Säännönmukaiset tietolähteet
Rekisteriin tallennettavien tietojen ensisijainen tietolähde on ilmoituksentekijä itse. Lisäksi tiedot koostuvat väärinkäytösilmoitusten käsittelyprosessissa tallennetuista tiedoista, kuten tiedoista mitä on saatu asiaan mahdollisesti liittyviltä henkilöiltä ja IT-järjestelmien tietoja hyödyntäen. Muita tietolähteitä käytetään laissa säädetyissä rajoissa.
7. Kenellä on pääsy henkilötietoihin ja luovutetaanko niitä kolmansille osapuolille
Administerillä on ilmoitusten käsittelyyn erikseen nimetty riippumaton tiimi, joka vastaanottaa ja käsittelee ilmoitukset. Tapauskohtaisesti ilmoituksen luonteesta riippuen voidaan käsittelijöiden määrää lisätä. Ilmoituskanavan väärinkäyttäminen voi johtaa oikeudellisiin toimenpiteisiin.
Henkilötietoihin pääsevät ja niitä käsittelevät ne Administerin työntekijät, jotka toteuttavat tutkimukset ja valvovat niitä. Pääsy on vain henkilöillä, jotka tarvitsevat tietoja edellä mainittuihin tarkoituksiin. Ilmoittajan henkilöllisyyttä, silloin kun se on tiedossa, ei luovuteta henkilöille, joihin väitteet kohdistuvat. Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja antaa siihen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tarkoituksenaan aiheuttaa haittaa. Henkilötiedot luovutetaan kolmansille osapuolille, esimerkiksi viranomaisille tai ulkopuolisille tarkastajille, silloin kun se on välttämätöntä.
8. Tietojen luovutukset ja tietojen siirto
Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja itse antaa siihen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tahallaan haitanteko mielessä. Henkilötietoja voidaan luovuttaa kolmansille osapuolille, esimerkiksi viranomaisille tai ulkopuolisille tarkastajille, silloin kun se perustuu lakiin tai on välttämätöntä ilmoituksen edellyttäminen toimenpiteiden suorittamiseksi.
9. Henkilötietojen siirto Euroopan Unionin / Euroopan talousalueen ulkopuolelle
Henkilötietoja ei siirretä kolmansiin maihin Euroopan unionin tai Euroopan talousalueen ulkopuolelle tai kansainvälisille järjestöille.
10. Automaattinen päätöksenteko tai profilointi
Henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia
11. Kuinka kauan tietoja säilytetään
Ilmoituskanavassa henkilötietoja säilytetään enintään yksi (1) vuosi Administerin ja rekisteröidyn välisestä viimeisestä aktiivisesta tapahtumasta lukien. Sekä ilmoituskanavan kautta tulleet tiedot että tutkimuksen aikana kerätyt tiedot poistetaan viiden vuoden kuluttua ilmoituksen käsittelyn aloittamisesta, jollei tietojen säilyttäminen ole välttämätöntä ilmoittajansuojelulaissa tai muussa laissa säädettyjen oikeuksien tai velvoitteiden toteuttamista varten taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Mikäli asia etenee tuomioistuimeen ja käsittely tuomioistuimessa edellyttää pidempää säilytysaikaa, säilytetään tietoja oikeuskäsittelyn edellyttämän ajan. Keskeisintä säilytysaikojen osalta on vastatoimien kieltoon liittyvä käänteinen todistustaakka. Jos ilmoittaja kokee joutuneensa vastatoimien kohteeksi, Administerin velvollisuutena on näyttää toteen, että näin ei ole tapahtunut.
Henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta, poistetaan ilman aiheetonta viivytystä. Myös tiedot mitkä liittyvät perusteettomaksi todettuun väitteeseen, hävitetään viipymättä. Tietojen tuhoamisessa ja poistamisessa noudatetaan tietoturvallisia käytäntöjä.
12. Henkilötietojen suojaus
Rekisterissä olevat henkilötiedot on suojattu lainsäädännössä edellytetyllä tavalla tietoturvallisuudesta huolehtien. Administer on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta häviämiseltä, luovuttamiselta, väärinkäytöltä, muuttamiselta, tuhoamiselta tai luvattomalta pääsyltä.
Administer mukauttaa turvatoimenpiteensä vastaamaan teknologian jatkuvaa kehittymistä. Tietoa suojataan palomuurien ja erilaisten salaustekniikoiden avulla, minkä ohella käyttöön valitut laitetilat ovat turvallisia ja kulunvalvonta niissä asianmukainen. Järjestelmissä olevat tiedot varmuuskopioidaan säännöllisesti.
Henkilötietojen käsittelyyn osallistuva henkilöstö on allekirjoittanut tietoturva- ja tietosuojasitoumuksen sekä saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen. Rekisteriin pääsy on käyttöoikeuksin avulla rajattu siten, että järjestelmään tallennettuihin tietoihin pääsevät käsiksi ja niitä ovat oikeutettuja käyttämään vain ne työntekijät, joilla on työtehtäviensä puolesta siihen oikeus ja jotka tarvitsevat tietoja tehtävässään. Käyttöoikeudet henkilötietoihin ovat eritasoisia ja niiden myöntämistä ja käyttöä valvotaan Administerissa.
Ilmoituskanava
Käytössä oleva ilmoituskanava on suojattu teknisin keinoin, eikä ilmoituskanavan ylläpitäjällä ole pääsyä ilmoituksiin tai ilmoituksen tekijän tietoihin. Ilmoituskanava ei tallenna IP-osoitteita tai muita sellaisia tietoja, joilla voisi tunnistaa ilmoituksen lähettäjän. Ilmoituskanavan tietoturvallisuus on varmistettu ulkopuolisen auditoijan toimesta ja se täyttää sille asetetut lakisääteiset vaatimukset.
Ilmoituksen tekijästä ei tallennu järjestelmään mitään tietoja, mitä hän ei itse sinne ilmoita. Ilmoittaja saa ilmoituksen tekovaiheessa numerokoodin, jonka avulla hän pystyy kirjautumaan ja seuraamaan ilmoituksen käsittelyä ilmoituksen tekemisen jälkeen. Tämä ilmoituksen tekemisen yhteydessä annettava numerokoodi on ainoa tapa päästä ilmoitukseen jälkikäteen. Tämän vuoksi henkilön tulee tallentaa numerokoodi itselleen talteen, koska tämä yksilöity numerokoodi on ainoa tapa seurata ilmoituksen käsittelyä tai antaa ilmoitukseen lisätietoja. Jos numerokoodi unohtuu, joutuu ilmoittaja tekemään uuden ilmoituksen.
Ainoastaan Administerin erikseen nimeämät riippumattomat henkilöt ovat oikeutettuja käsittelemään ilmoituskanavaan tulleita ilmoituksia. Jokaisella ilmoituksen käsittelijällä on henkilökohtaiset tunnukset ja tunnistautumisessa käytetään kaksivaiheista tunnistautumista. Jokainen henkilötietoja käsittelevä henkilö on allekirjoittanut tietoturva- ja tietosuojasitoumuksen, sekä saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen.
13. Miten voit käyttää henkilötietoihisi liittyviä oikeuksia?
Rekisteröitynä sinulla on erityyppisiä mahdollisuuksia vaikuttaa henkilötietojesi käsittelyyn. Alla kerromme sinulle tietosuoja-asetuksen mukaisista oikeuksistasi sekä siitä, miten niitä on rajoitettu ilmoittajansuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta. Jos haluat käyttää oikeuksiasi, pyynnöt arvioidaan aina tilanne- ja tapauskohtaisesti.
Voit olla meihin vapaamuotoisesti yhteydessä milloin vain, jos sinulla kysyttävää tietosuojastasi ja henkilötietojesi käsittelystä, tai jos haluat käyttää henkilötietoihisi liittyviä oikeuksiasi. Tarkemmat yhteystietomme on tältä osin annettu tämän tietosuojaselosteen kohdassa rekisterin yhteyshenkilöt. Jotta voimme vastata pyyntöösi, voimme tarvittaessa pyytää sinulta lisätietoja. Tällainen tilanne on kyseessä esimerkiksi silloin, kun emme voi riittävällä tasolla tunnistaa sinua pyyntösi ja sen yhteydessä meille antamiesi tietojen perusteella.
Toteutamme pyyntösi mahdollisimman pian ilman aiheetonta viivytystä. Määräaika tietojen toimittamiseksi tai tietopyyntöön liittyvien lisätietojen antamiseksi on kuukausi pyynnön vastaanottamisesta. Mikäli tietopyyntö on poikkeuksellisen monimutkainen ja laaja, määräaikaa voidaan jatkaa kahdella kuukaudella. Pääsääntöisesti tiedot toimitetaan sinulle samalla tavoin kuin miten tietopyyntö on sinulta vastaanotettu. Tietojen toteutustavasta sovimme tarkemmin yhdessä sinun kanssasi.
Tiedot toimitetaan lähtökohtaisesti maksutta. Jos tietopyyntö on ilmeisen perusteeton ja kohtuuton, erityisesti jos tietopyyntöjä esitetään toistuvasti, Administer voi kuitenkin periä tietojen toimittamisesta aiheutuneet hallinnolliset kustannukset. Mahdollisista kustannuksista kerromme aina etukäteen perusteluineen.
Rekisteröidyllä henkilöllä on seuraavat oikeudet:
- Oikeus saada pääsy henkilötietoihin
- Oikeus tietojen oikaisemiseen
- Oikeus tietojen poistamiseen
- Oikeus käsittelyn rajoittamiseen
- Oikeus käsittelyn vastustamiseen
- Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta
Edellä kerrottuja rekisteröidyn oikeuksiasi on ilmoittajansuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta rajoitettu siten, että sinulla ei ole tarkastusoikeutta kaikkiin rekisterissä oleviin tietoihin silloin, kun tietojen antaminen saattaisi haitata rikosten ehkäisemistä tai selvittämistä, tai jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa jonkun muun oikeuksille. Jos vain osa sinua koskevista tiedoista on sellaisia, että ne jäävät tarkastusoikeuden ulkopuolelle, sinulla on oikeus saada tietää muut sinusta talletetut tiedot. Oikeus vaatia rekisterissä olevan käsittelyn tarkoituksen kannalta virheellisen, puutteellisen, tarpeettoman taikka vanhentuneen tiedon oikaisemista tai poistamista rekisteristä koskee tietoja, joiden tarkastusoikeutta ei ole rajoitettu. Lisäksi oikeuttasi rajoittaa henkilötietojen käsittelyä ei sovelleta ilmoittajansuojelulaissa tarkoitettuun henkilötietojen käsittelyyn.
Jos olet tyytymätön tapaan, jolla käsittelemme henkilötietojasi, eikä mahdollista henkilötietojesi käsittelyyn liittyvää erimielisyyttä saada sovinnollisesti ratkaistua sinun ja Administerin välillä, on sinulla oikeus viedä asia tietosuojaviranomaisen ratkaistavaksi. Suomessa tietosuojaviranomaisena toimii tietosuojavaltuutetun toimisto. Ilmoituksen epäkohdasta henkilötietojen käsittelyssä voi tehdä tietosuojatoimiston internetsivuilla: https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa.
14. Muutokset tietosuojaselosteessa
Administer pidättää oikeuden tehdä muutoksia tietosuojaselosteeseen. Muutokset tietosuojaselosteeseen voivat perustua myös lainsäädännön muuttumiseen.
Tämä tietosuojaseloste on päivitetty viimeksi 18.8.2023.