Tietosuojaseloste / Väärinkäytösepäilyjen (Whistleblowing) ilmoituskanava

Rekisterinpitäjä

Sipoon kunta, Kunnanhallitus
Lukkarinmäentie 2, PL 7, 04131 Sipoo
Vaihde +358 9 23531
kirjaamo@sipoo.fi

Rekisterin vastuuhenkilö

Ethel Eriksson
Chief Digital Officer, Sipoon kunta

Rekisterin yhteyshenkilö

Ethel Eriksson
Chief Digital Officer, Sipoon kunta

Kaikki rekisteröidyn oikeuden käyttämistä koskevat pyynnöt, kysymykset tästä tietosuojaselosteesta ja muut yhteydenotot kannattaa ensisijaisesti osoittaa kyseiselle toiminnalle. Yhteydenottoja toivotaan ensisijaisesti sähköpostilla osoitteeseen ilmoituskanava@sipoo.fi. Voit ottaa yhteyttä henkilökohtaisesti toimipisteissämme sekä verkkosivuston kautta tai kirjallisesti yllä olevaan postiosoitteeseen.

Miten henkilötietojasi käsitellään ja mikä on tietojen käsittelyperuste?

Henkilötietojen käsittelyn tarkoituksena on laissa Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022) (”Ilmoittajansuojelulaki”) tarkoitetun sekä muun toimintaamme koskevan lainsäädännön tai toimintaohjeidemme vastaisen menettelyn sekä väärinkäytösten havaitseminen, selvittäminen ja niihin puuttuminen ilmoituskanavan kautta tehtyjen ilmoitusten perusteella.

Henkilötietojen käsittelyperuste:

Tämän tietosuojaselosteen mukaisen henkilötietojen käsittelyn oikeusperusteena on Ilmoittajansuojelulaissa tarkoitettujen ilmoitusten osalta lakisääteinen velvoite.

  • EU:n yleisen tietosuoja-asetuksen 6 artiklan 1 c-kohta: käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi

Toimintaa ohjaava lainsäädäntö:

  • Tietosuojalaki (1050/2018)
  • EU:n yleinen tietosuoja-asetus (2016/679)
  • Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022)
  • Laki viranomaisten toiminnan julkisuudesta (621/1999)
  • Arkistolaki (831/1994)

Mitä henkilötietojasi käsitellään?

Tämän tietosuojaselosteen tarkoitettuja rekisteröityjä ovat ilmoituksia tekevät, ilmoituksen kohteena olevat sekä ilmoitetuista tapahtumista mahdollisesti muuten tietävät henkilöt sekä lisäksi ilmoitusten käsittelyyn osallistuvat henkilöt.

Henkilöistä merkitään vain asioiden hoitamisen kannalta tarpeelliset tiedot.

Henkilöistä kerättävät tiedot ovat:

  • Ilmoittajan nimi, asema/titteli, yhteystiedot (sähköpostiosoite, puhelinnumero, postiosoite) sekä ilmoittajan antamat muut tiedot. Ilmoitus voidaan tehdä myös nimettömästi, jolloin kyseisiä henkilötietoja ei käsitellä;
  • Ilmoituksen kohteen nimi, asema/titteli, yhteystiedot (sähköpostiosoite, puhelinnumero, postiosoite);
  • Mahdollisten todistajien nimet asema/titteli, yhteystiedot (sähköpostiosoite, puhelinnumero, postiosoite);
  • Tiedot epäillystä väärinkäytöksestä, kuvatallenteet;
  • Ilmoituksen paikkansapitävyyden selvittämisen ja tarpeellisten toimenpiteiden edellyttämät tiedot;
  • Ilmoitusten tutkinnan yhteydessä koostettavat ja syntyvät tiedot;
  • Ilmoitusta käsittelevistä henkilöistä tallennettavat välttämättömät tiedot, kuten lokitiedot.

Lisäksi kerätään:

Ilmoituskanavan kautta tehdyt ilmoitukset saattavat ilmoitetun tapahtuman luonteesta riippuen sisältää myös erityisiin henkilötietoryhmiin kuuluvia tietoja. Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja käsitellään vain silloin, kun käsittely on välttämätöntä oikeudellisen vaatimuksen laatimiseksi, esittämiseksi tai puolustamiseksi, ja sovellettavan tietosuojalainsäädännön mukaisesti.

Kuka voi käsitellä henkilötietojasi?

Sipoon puolesta ilmoituskanavasta huolehtii BDO Oy. BDO on riippumaton ulkopuolinen taho, joka vastaa ilmoitusten esikäsittelystä ja raportoi niistä ainoastaan Sipoon nimetyille vastuuhenkilöille. Tietojasi käsittelevät ainoastaan henkilöt, joiden toimenkuvaan rekisterin käyttö kuuluu ja vain työtehtävien edellyttämässä laajuudessa. Sähköisesti tallennetut tiedot säilytetään järjestelmissä, jotka on suojattu asianmukaisilla suojausmekanismeilla. Pääsy henkilötietoihin on vain rekisterinpitäjän valtuuttamilla henkilöillä.

Mistä käsittelyssä tarvittavat henkilötiedot saadaan?

Keräämme henkilötietoja:

  • rekisteröidyiltä itseltään, kun rekisteröity tekee ilmoituksen omalla nimellään sekä ilmoituksen käsittelyn yhteydessä siihen liittyvien henkilöiden antaessa itseään koskevia henkilötietoja;
  • muilta henkilöiltä kuin rekisteröidyltä itseltään, muun muassa ilmoituksen sisältäessä muiden henkilöiden kuin ilmoittajan henkilötietoja tai, kun henkilötietoja saadaan ilmoituksen käsittelyn aikana muulta henkilöltä kuin häneltä itseltään;
  • muista lähteistä ilmoituksen käsittelyn yhteydessä, kuten yhtiön asiakirjamateriaaleista ja valvontakameratallenteista tietosuojalainsäädännön sallimissa rajoissa.

Luovuttaako kunta henkilötietojasi eteenpäin?

Henkilötietoja ei luovuteta kolmansille osapuolille, paitsi EU:n tai kansallisen lainsäädännön niin edellyttäessä, luovutamme ilmoituksiin sisältyviä henkilötietoja viranomaisille niiden lakisääteisten tehtävien hoitamiseksi, kuten rikosten tutkintaa tai oikeuskäsittelyä varten, sekä tarvittaessa neuvonantajillemme mahdollisten oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. Rekisteröityjen henkilötietoja voidaan lisäksi EU:n tai kansallisen lainsäädännön niin edellyttäessä luovuttaa asianomaisille viranomaisille sekä rekisterinpitäjän oikeutetun edun perusteella sen neuvonantajille oikeusvaateiden esittämisen ja puolustamisen yhteydessä.

Alihankkijat:

Ilmoituskanavan teknisen alustan tarjoaa meille alihankkijamme EasyWhistle, jolla on palvelun teknisenä toteuttajana pääsy palvelussa käsittelemiimme henkilötietoihin ja toimii siten käsittelijänämme ilmoituskanavan tietojen osalta. Lisäksi muiden IT-järjestelmiemme toimittajilla ja järjestelmien ylläpitämiseen käyttämillämme palveluntarjoajilla ja heidän alihankkijoilla saattaa palvelusopimustensa mukaisia tehtäviä suorittaessaan olla pääsy ilmoituskanavassa käsiteltäviin henkilötietoihin. Edellytämme kaikilta alihankkijoiltamme, että he noudattavat toiminnassaan sovellettavaa tietosuojalainsäädäntöä ja solmimme kaikkien alihankkijoiden kanssa asianmukaiset tietojenkäsittelysopimukset, jotka edellyttävät heitä käsittelemään henkilötietoja ainoastaan meidän lukuumme ja antamiemme ohjeiden sekä tietosuojalainsäädännön mukaisesti.

Siirretäänkö tietojasi EU:n tai ETA-maiden ulkopuolelle?

Henkilötietoja ei siirretä EU:n tai ETA-alueen ulkopuolelle, ellei EU:n tai kansallinen lainsäädäntö siihen velvoita.

Kuuluuko käsittelyyn automaattista päätöksentekoa tai profilointia?

Käsittelyyn ei kuulu automaattista päätöksentekoa tai profilointia.

Kuinka kauan henkilötietojasi säilytetään?

Säilytys toteutetaan lainsäädännön ja kunnan tiedonohjaussuunnitelmien mukaisesti.

Ilmoituskanavan kautta tulleet tiedot poistetaan viiden (5) vuoden kuluttua ilmoituksen saapumisesta, jollei niiden säilyttäminen ole välttämätöntä laissa säädettyjen oikeuksien tai velvoitteiden toteuttamista varten taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Henkilötiedot, joilla ei selvästi ole merkitystä ilmoituksen käsittelyn kannalta, poistetaan ilman aiheetonta viivytystä.

Millä tavalla henkilötietojasi suojataan?

Henkilötietojasi saa käyttää vain siihen tarkoitukseen, mihin ne on kerätty. Rekisterin tietoja suojataan ulkopuolisilta erilaisin keinoin. Suojaus tarkoittaa, että:

  • tilat ja tietojärjestelmät ovat turvallisia
  • henkilötietojen käsittely suunnitellaan etukäteen
  • tietoja käsittelevän henkilöstön osaaminen varmistetaan ja sopimukselliset keinot käydään läpi henkilötietojen käsittelijöiden kanssa
  • tietojasi käsitellään aina suojatuissa ympäristöissä
  • kaikki Sipoon kunnan laitteistot ja ohjelmistot on suojattu kunnan oman ja palvelutoimittajien tietoturvasäännösten mukaisesti
  • työntekijöillä on vain työtehtävien mukainen käyttöoikeus sekä henkilökohtaiset käyttäjätunnukset ja salasanat eri järjestelmiin
  • Sipoon kunta valvoo käyttöoikeuksia ja salasanat vaihdetaan säännöllisesti
  • työsuhteen päättyessä henkilön käyttöoikeudet poistetaan
  • kunnan paperiaineistot säilytetään lukituissa tiloissa ja arkistoidaan arkistolain ja -asetuksen mukaisesti niille varattuihin kansioihin
  • tietoja säilytetään vain laissa määrätyn ajan ja ne hävitetään, kun ne eivät ole enää tarpeellisia.

Rekisteröidyn oikeudet

Rekisteröidyllä on EU:n yleisen tietosuoja-asetuksen mukaiset rekisteröidyn oikeudet liittyen käsiteltäviin henkilötietoihin. Huomaa kuitenkin, että rekisteröidyn oikeuksien toteuttaminen saattaa joltain osin olla rajoitettu tietosuoja-asetuksen tai muun lainsäädännön säännösten noudattamiseksi, kuten tapahtuman tutkinnan turvaamiseksi tai ilmoittajan suojelemiseksi.

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos hän katsoo, että hänen tietosuojalainsäädännön mukaisia oikeuksiaan on rikottu. Tietosuojavaltuutetun yhteystiedot löytyvät osoitteesta: www.tietosuoja.fi.

Lisätietoa henkilötietojen käsittelystä Sipoon kunnassa

Rekisteröidyn oikeudet | Tietosuojavaltuutetun toimisto