Yleinen tietosuoja-asetus (GDPR) ja ilmiannot: miksi et voi luottaa pelkkään suostumukseen

Henkilöt, jotka tekevät ilmoituksen väärinkäytöksestä whistleblowing-alustan kautta, saattavat paljastaa viestissään henkilötietoja. Organisaatioiden, jotka haluavat ottaa käyttöön ilmiantojärjestelmän työntekijöilleen, alihankkijoilleen tai muille osapuolille, tulee pohtia asiaan liittyviä tietosuojaseikkoja. Kuinka ilmiannot ja yleinen tietosuoja-asetus (GDPR) voidaan yhdistää pragmaattisesti?

Asetuksen (EU) 2016/679 (Yleinen tietosuoja-asetus tai GDPR) 6 artikla edellyttää ”käsittelyn lainmukaisuutta”. Suostumus vaikuttaa hyvältä vaihtoehdolta. Mutta se ei ole sitä. Ei väärinkäytösten paljastamisen kohdalla.

Miksi ei?

Suostumus on annettava ”vapaasta tahdosta”, mutta työnantajan ja työntekijän välillä on riippuvuussuhde. Jos esimies pyytää suostumusta, useimmat työntekijät antavat sen mukisematta. Lausunnossaan 2/2017 (WP 249) 29 artiklan mukainen tietosuojatyöryhmä ilmaisee asian seuraavasti: ”Poikkeuksellisia tilanteita lukuun ottamatta työnantajien on vedottava muuhun oikeudelliseen perusteeseen kuin suostumukseen”.

Käytännöllisemmästä näkökulmasta suostumus ei ole vankka perusta. Se voidaan perua milloin tahansa. Jos olet tekemässä vakavaa tutkintaa ja työntekijä päättää yllättäen perua suostumuksensa, miten toimit?

Unohda hetkeksi juridiset ja käytännölliset seikat ja kuvittele tilanne, jossa työntekijä on joutunut seksuaalisen häirinnän kohteeksi. Organisaatiosi ilmiantojärjestelmässä on suostumuksen ilmaisua varten valintaruutu, joka on valittava, ennen kuin ilmoituksen voi tehdä. Työntekijäsi on viimeinkin kerännyt rohkeutensa ilmoittaa nimettömästi väärinkäytöksestä, ja ensimmäinen kysymys, jonka hän näkee on ”suostutko henkilötietojesi käsittelyyn”? On olemassa suuri vaara, että kysymys pelästyttää ilmiantajat ja saa heidät jopa päättämään ilmoittaa asiasta mieluummin julkisesti kuin organisaation sisällä. Et todellakaan halua, että merkittävistä tapauksista jätetään ilmoittamatta!

Et siis voi pyytää suostumusta. Kuinka yleistä tietosuoja-asetusta (GDPR) voidaan sitten noudattaa ilmiantotapauksissa?

Pohjaa käsittelysi siihen oikeutettuun etuun, että sinun on havaittava väärinkäytös, jota ei välttämättä muutoin havaittaisi näin varhaisessa vaiheessa. Muista, että oikeus tietosuojaan ja yksityisyyteen on erittäin tärkeä, mutta pääasiallisena tavoitteena on ottaa käyttöön tehokas ilmiantomekanismi. Henkilöstön tulee tuntea voivansa ilmoittaa asioista huoletta, jotta organisaatiosi voi havaita ja käsitellä vakavia väärinkäytöksiä.

Keskustele asiantuntijoidemme kanssa

Haluatko oppia lisää, keskustella ideoista tai jakaa näkemyksiä?

Ota yhteyttä

Share this page