Whistleblowing ilmoitusmenettelyiden rekisteri
TIETOSUOJASELOSTE WHISTLEBLOWING-ILMOITUSMENETTELY
Tässä tietosuojaselosteessa kuvataan, kuinka Mipro kerää, käsittelee ja suojaa whistleblowing-ilmoituksen tehneen henkilön (”ilmoittaja”) henkilötietoja sekä whistleblowing-yhteydenoton kohteena olevan henkilön henkilötietoja. Jos ilmoitus on tehty nimettömänä, Mipro ei käsittele ilmoittajan henkilötietoja.
REKISTERINPITÄJÄ
Tämä tietosuojaseloste koskee Mipro Group Ltd. Oy:n ja sen konserniyhtiöiden whistleblowing-ilmoitusmenettelyä. Näistä Mipro Oy vastaa siitä, että henkilötietojasi käsitellään tätä selostetta ja soveltuvia tietosuojalakeja noudattaen.
Mipro Oy, Kunnanmäki 9, 50600 Mikkeli
Tietosuojan yhteyshenkilö: Kati Häkkinen, privacy@mipro.fi
REKISTERIN NIMI
Mipro-konsernin whistleblowing-ilmoitusmenettelyt
KÄSITTELYN TARKOITUS JA OIKEUSPERUSTEET
Käyttöönotetut ilmoitusmenettelyt ovat tapa valvoa Mipron eettisten periaatteiden toteutumista. Ilmoituskanava toimii samalla niin kutsuttuna whistleblowing-ilmoituskanavana. Prosessi perustuu Euroopan unionin ilmoittajansuojelu- eli ns. whistleblowing-direktiiviin. Tätä koskeva kansallinen ilmoittajansuojelulaki (laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022) on astunut voimaan 1.1.2023.
Henkilötietojen käsittely on tarpeen ensisijaisesti rekisterinpitäjän lakisääteisten velvoitteiden täyttämiseksi. Mipro voi käsitellä tietojasi myös oikeutettuun etuun perustuen esimerkiksi silloin, kun kyse on Miproon ja sen toimintaan liittyvistä väärinkäytöksistä ja niihin puuttumisesta tai oikeusvasteen laatimisen, esittämisen tai puolustamisen yhteydessä suoritettavasta tietojen käsittelystä. Mikäli henkilötietoja käsitellään oikeutetun edun perusteella, Mipro suorittaa aina ennen henkilötietojen käsittelyä niin kutsutun tasapainotestin, ja käsittelee henkilötietoja oikeutetun edun perusteella vain, mikäli tasapainotestin perusteella rekisteröidyn oikeudet ja vapaudet eivät syrjäytä Mipron oikeutettua etua.
Ilmoituskanavan kautta on mahdollista saada tietoa mahdollisista väärinkäyttöepäilyistä ja rikkomuksista sekä reagoida niihin ajoissa. Epäilyt ja havainnot voivat koskea esimerkiksi eettisten periaatteiden ja lainsäädännön vastaista toimintaa, taloudellisia väärinkäytöksiä, epäilyä korruptiosta tai rahanpesusta, epäasiallista kohtelua, syrjintää, ympäristöasioita tai tietoturva ja tietosuoja-asioita. Ilmoituskanavan olemassaolo tukee avointa ja läpinäkyvää yrityskulttuuria. Ilmoituksia epäilyistä ja havainnoista voivat tehdä Mipron nykyiset ja entiset työntekijät sekä sidosryhmät. Mipro ei voi pyytää erikseen suostumusta ilmoituksen kohteeksi joutuneilta.
Tietoja käytetään väärinkäytösten seuraamiseen ja selvittämiseen. Tietoja käytetään myös valvonnan kehittämiseen, analysointiin ja tilastointiin kuitenkin niin, ettei yksittäisen henkilön tietosuoja vaarannu.
SINUSTA KERÄTTÄVÄT TIEDOT
Ilmoitus on mahdollista tehdä anonyyminä tai omalla nimellä. Ilmoitus käsitellään aina luottamuksellisesti ja ilmoittajan henkilöllisyys on vain ilmoituksen käsittelyyn nimettyjen henkilöiden sekä asiaa asiantuntijoina tutkimaan kutsuttujen henkilöiden tiedossa.
Rekisteri sisältää henkilötietoja ilmoittajasta ja ilmoituksen kohteena olevasta sekä muista asiaan liittyvistä henkilöistä, kuten todistajista riippuen siitä, millaisia tietoja ilmoittaja on ilmoituksessaan antanut.
Jos ilmoittaja on antanut henkilötietonsa, rekisteri sisältää seuraavat tiedot:
- Ilmoittajan nimi, haluttu yhteydenottokanava sekä sähköpostiosoite, puhelinnumero tai muu yhteystieto
- Aihepiiri, jota ilmoitus koskee
- Ilmoittajan suhde organisaatioon
- Ilmoituksen tiedot, kuten kuvaus tapahtumasta ja mahdolliset lisä- ja liitetiedot. Nämä tiedot voivat sisältää kolmansien osapuolten henkilötietoja.
Mikäli ilmoitus tehdään anonyymisti, ilmoituskanavalla kerätään seuraavat tiedot:
- Aihepiiri, jota ilmoitus koskee
- Ilmoittajan suhde organisaatioon
- Ilmoituksen tiedot, kuten kuvaus tapahtumasta ja mahdolliset lisä- ja liitetiedot. Nämä tiedot voivat sisältää kolmansien osapuolten henkilötietoja.
Lisäksi tietoja tallentuu kanavan kautta tulevien ilmoitusten käsittelijöistä. Heistä tallentuu nimi, sähköpostiosoite, järjestelmän käyttäjätunnus ja lokitiedot järjestelmän käytöstä.
NÄIN KERÄÄMME TIETOSI
Rekisteriin tallennettavien tietojen ensisijainen tietolähde on ilmoituksen tekijä itse. Lisäksi tietoja tallentuu järjestelmään ilmoitusten käsittelyprosessissa. Tällaisia tietoja saadaan mahdollisesti asiaan liittyviltä henkilöiltä ja IT-järjestelmien tietoja hyödyntäen. Muita tietolähteitä käytetään lainsäädännön mahdollistamissa rajoissa.
KENELLÄ ON PÄÄSY TIETOIHIN JA LUOVUTETAANKO NIITÄ KOLMANSILLE OSAPUOLILLE
Ilmoitusten käsittelyyn on Miprolla erikseen nimetty riippumaton tiimi, joka vastaanottaa ja käsittelee ilmoitukset. Tapauskohtaisesti ilmoituksen luonteesta riippuen käsittelijöiden määrää lisätään, jos se on tapauksen kannalta välttämätöntä. Ilmoituskanavan väärinkäyttäminen voi johtaa oikeudellisiin toimenpiteisiin.
Henkilötietoihin pääsevät ja niitä käsittelevät Miprolla ne työntekijät, jotka toteuttavat ilmoituksiin liittyvät tutkimukset ja valvovat niitä. Pääsy järjestelmään on vain henkilöillä, jotka tarvitsevat tietoja edellä mainittuihin tarkoituksiin. Ilmoittajan henkilöllisyyttä, silloin kun se on tiedossa, ei luovuteta henkilöille, joihin väitteet kohdistuvat. Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja antaa siihen erikseen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tarkoituksenaan aiheuttaa haittaa. Henkilötiedot luovutetaan kolmansille osapuolille, kuten viranomaisille tai ulkopuolisille tarkastajille, silloin kun se on välttämätöntä ilmoituksen käsittelemisen kannalta.
TIETOJEN LUOVUTUKSET JA TIETOJEN SIIRTO
Ilmoittajan henkilöllisyys luovutetaan vain, jos ilmoittaja itse antaa siihen luvan tai jos sitä vaaditaan rikosoikeudellisissa menettelyissä tai jos ilmoittaja tekee väärän ilmoituksen tahallaan haitanteko mielessään. Henkilötietoja luovutetaan kolmansille osapuolille, kuten viranomaisille tai ulkopuolisille tarkastajille silloin, kun tietojen luovutus perustuu lakiin tai on välttämätöntä ilmoituksen edellyttämien toimenpiteiden suorittamiseksi.
HENKILÖTIETOJEN SIIRTO EU:N TAI EUROOPAN TALOUSALUEEN ULKOPUOLELLE
Henkilötietoja ei siirretä kolmansiin maihin Euroopan unionin tai Euroopan talousalueen ulkopuolelle tai kansainvälisille järjestöille.
AUTOMAATTINEN PÄÄTÖKSENTEKO TAI PROFILOINTI
Rekisterissä oleviin henkilötietoihin ei kohdistu automaattista päätöksentekoa eikä henkilötietojen perusteella tehdä profilointia.
KUINKA KAUAN TIETOJASI SÄILYTETÄÄN
Ilmoituskanavassa henkilötietoja säilytetään enimmillään yksi (1) vuosi ilmoituksen jättämisestä. Sekä ilmoituskanavan kautta tulleet tiedot että tutkimuksen aikana kerätyt tiedot poistetaan viimeistään viiden vuoden kuluttua käsittelyn aloittamisesta, jollei tietojen säilyttäminen ole välttämätöntä ilmoittajansuojelulaissa tai muussa laissa säädettyjen oikeuksien tai velvoitteiden toteuttamista varten taikka oikeudellisen vasteen laatimiseksi, esittämiseksi tai puolustamiseksi. Mikäli asia etenee tuomioistuimeen ja käsittely tuomioistuimessa edellyttää pidempää säilytysaikaa, säilytetään tietoja oikeuskäsittelyn edellyttämän ajan. Keskeisintä säilytysaikojen osalta on vastatoimiin liittyvä käänteinen todistustaakka: jos ilmoittaja kokee joutuneensa vastatoimien kohteeksi, Mipron velvollisuutena on näyttää toteen, että näin ei ole tapahtunut.
Henkilötiedot, jotka on liitetty ilmoitukseen ja joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta, poistetaan ilman aiheetonta viivytystä. Tietojen tuhoamisessa ja poistamisessa noudatetaan tietoturvallisia käytäntöjä.
NÄIN TIETOSI ON SUOJATTU
Rekisterissä olevat henkilötiedot on suojattu toteuttamalla asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta hävittämiseltä, luovuttamiselta, väärinkäytöltä, muuttumiselta, tuhoamiselta ja luvattomalta pääsyltä. Tietoa suojataan palomuurein ja erilaisten salaustekniikoiden avulla, minkä ohella käyttöön valitut laitetilat ovat turvallisia ja kulunvalvonta niissä on asianmukainen. Järjestelmissä olevat tiedot varmuuskopioidaan säännöllisesti.
Henkilötietojen käsittelyyn osallistuva henkilöstö on allekirjoittanut salassapitositoumuksen ja saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen. Rekisteriin pääsy on käyttöoikeuksien avulla rajattu siten, että järjestelmään tallennettuihin tietoihin pääsevät käsiksi ja niitä ovat oikeutettuja käyttämään vain ne työntekijät, joilla on työtehtäviensä puolesta siihen oikeus ja jotka tarvitsevat tietoja tehtävissään. Käyttöoikeudet ovat eritasoisia ja niiden myöntämistä ja käyttöä valvotaan.
Käytössä oleva ilmoituskanava on suojattu teknisin keinoin, eikä ilmoituskanavan ylläpitäjällä ole pääsyä ilmoituksiin tai ilmoituksen tekijän tietoihin. Ilmoituskanava ei tallenna IP-osoitteita tai muita sellaisia tietoja, joilla voisi tunnistaa ilmoituksen lähettäjän. Ilmoituskanavan tietoturva on varmistettu ulkopuolisen auditoijan toimesta ja se täyttää sille asetetut lakisääteiset vaatimukset.
Ilmoituksen tekijästä ei tallennu järjestelmään mitään tietoja, mitä hän ei sinne itse ilmoita. Ilmoittaja saa ilmoituksen tekovaiheessa numerokoodin, jonka avulla hän pystyy kirjautumaan ja seuraamaan ilmoituksen käsittelyä ilmoituksen tekemisen jälkeen. Tämä ilmoituksen tekemisessä annettava numerokoodi on ainoa tapa päästä ilmoitukseen jälkikäteen. Tämän vuoksi henkilön tulee tallentaa numerokoodi itselleen talteen, koska tämä koodi on ilmoittajan ainoa tapa seurata ilmoituksen käsittelyä tai antaa ilmoituksessa lisätietoja. Jos koodi unohtuu, joutuu ilmoittaja tekemään uuden ilmoituksen.
Vain Mipron erikseen nimeämät henkilöt ovat oikeutettuja käsittelemään ilmoituskanavaan tulleita ilmoituksia. Jokaisella ilmoituksen käsittelijällä on järjestelmään henkilökohtaiset tunnukset. Jokainen henkilötietoja käsittelevä henkilö on allekirjoittanut salassapitositoumuksen, sekä saanut henkilötietojen käsittelyyn tarvittavan ohjeistuksen ja koulutuksen.
SINUN OIKEUTESI
Rekisteröitynä sinulla on erityyppisiä mahdollisuuksia vaikuttaa henkilötietojesi käsittelyyn. Seuraavassa saat tietoa tietosuoja-asetuksen mukaisista oikeuksistasi sekä siitä, miten niitä on rajoitettu ilmoittajansuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta. Jos haluat käyttää oikeuksiasi, pyynnöt arvioidaan aina tilanne- ja tapauskohtaisesti.
Rekisteröidyllä henkilöllä on seuraava rekisterin henkilötietoihin liittyen seuraavat oikeudet:
- Oikeus saada pääsy tietoihin
- Oikeus tietojen oikaisemiseen
- Oikeus tietojen poistamiseen
- Oikeus käsittelyn rajoittamiseen
- Oikeus käsittelyn vastustamiseen
- Oikeus saada ilmoitus henkilötietojen tietoturvaloukkauksesta.
Edellä kerrottuja rekisteröityjen oikeuksiasi on ilmoittajasuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta rajoitettu siten, että sinulla ei ole tarkastusoikeutta kaikkiin rekisterissä oleviin tietoihin silloin, kun tietojen antaminen saattaisi haitata rikoksen ehkäisemistä tai selvittämistä, tai jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa jonkun muun oikeuksille. Jos vain osa sinua koskevista tiedoista on sellaisia, että ne jäävät tarkastusoikeuden ulkopuolelle, sinulla on oikeus saada tietää muut sinusta talletetut tiedot. Oikeus vaatia rekisterissä olevan käsittelyn tarkoituksen kannalta virheellisen, puutteellisen, tarpeettoman taikka vanhentuneen tiedon oikaisemista tai poistamista rekisteristä koskee tietoja, joiden tarkastusoikeutta ei ole rajoitettu. Lisäksi oikeuttasi rajoittaa henkilötietojen käsittelyä ei sovelleta ilmoittajansuojelulaissa tarkoitettuun henkilötietojen käsittelyyn.
Voit olla meihin yhteydessä milloin vain, jos sinulla on kysyttävää tietosuojastasi ja henkilötietojesi käsittelystä, tai jos haluat käyttää henkilötietoihisi liittyviä oikeuksia. Voit käyttää oikeuksiasi lähettämällä meille kirjallisen pyynnön osoitteella
Mipro Oy, Kunnanmäki 9, 50600 Mikkeli.
Kuoreen merkintä: ilmoitusrekisteri / tarkastuspyyntö
Tarkastuspyynnössä sinun tulee ilmoittaa nimesi lisäksi riittävät yksilöintitiedot, joiden perusteella rekisteristä voidaan tarkistaa, oikaista tai poistaa juuri sinua koskevat tiedot. Tarvittaessa voimme pyytää sinulta lisätietoja etenkin, jos emme voi riittävällä tasolla tunnistaa sinua pyynnöstäsi ja sen yhteydessä antamiesi tietojen perustella.
Voit esittää tarkastuspyynnön myös henkilökohtaisesti rekisterinpitäjän luona osoitteessa Kunnanmäki 9, 50600 Mikkeli. Rekisteröidyllä on oltava tällöin mukanaan henkilöllisyystodistus.
Tietojen tarkastaminen on maksutonta, kun edellisestä tietopyynnöstä on kulunut enemmän kuin yksi vuosi. Jos tietopyyntö on ilmeisen perusteeton ja kohtuuton, erityisesti jos tietopyyntöjä esitetään toistuvasti, Mipro voi kuitenkin periä tietojen toimittamisesta aiheutuneet hallinnolliset kustannukset. Mahdollisista kustannuksista kerromme aina etukäteen perusteluineen
Toteutamme pyyntösi mahdollisimman pian ilman aiheetonta viivytystä. Määräaika tietojen toimittamiseksi tai tietopyyntöön liittyvien lisätietojen antamiseksi on kuukausi pyynnön vastaanottamisesta. Mikäli tietopyyntö on poikkeuksellisen monimutkainen ja laaja, määräaikaa voidaan jatkaa kahdella kuukaudella. Pääsääntöisesti tiedot toimitetaan sinulle samalla tavoin kuin miten tietopyyntö sinulta on vastaanotettu.
Sinulla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei mielestäsi ole toiminnassaan noudattanut soveltuvaa tietosuojasääntelyä.
Lisätietoja saat tarvittaessa sähköpostilla osoitteesta privacy@mipro.fi.
Muutokset tietosuojaselosteessa
Mipro pidättää oikeuden tehdä muutoksia tietosuojaselosteeseen. Muutokset tietosuojaselosteessa voivat perustua myös lainsäädännön muuttumiseen.
Tämä tietosuojaseloste on päivitetty viimeksi 08.11.2023.