Väärinkäytösten ilmoitusjärjestelmä tulee pakolliseksi EU-maissa

Epäiltyjen väärinkäytösten ilmoitus- eli whistleblowing-menettely on pakollinen koko EU:ssa vuodesta 2021 lähtien. Lokakuun alussa hyväksytty direktiivi pyrkii varmistamaan sen, että ilmoittaja ei joudu kärsimään paljastuksensa takia. Yrityksen on huolehdittava ilmiantokanavien vastuullisuudesta, tietosuojasta ja tietoturvallisuudesta direktiivissä edellytetyllä tasolla.

Whistleblowing on noussut maailmanpolitiikan valokeilaan viime viikkoina, mutta yritysmaailmassa siitä on puhuttu enenevässä määrin jo ainakin Edward Snowdenista lähtien. EU on tuoreella päätöksellään aivan ajan hermolla: EU:n ministerineuvosto hyväksyi 7. lokakuuta whistleblower-direktiivin, joka tulee voimaan vuonna 2021.

Kaikkien vähintään 50 henkilöä työllistävien tai 10 miljoonan euron liikevaihdon yritysten on järjestettävä vaatimukset täyttävä ilmoituslinja ja hallinto 7. lokakuuta 2021 mennessä. Jos järjestelmä, hallinto ja tutkinta täyttävät direktiivin vaatimukset, työntekijät ovat velvollisia raportoimaan epäilyksensä ensisijaisesti yrityksen omassa kanavassa. Tällöin yritys saa vähintään kolmen kuukauden ajan selvittää ja korjata mahdollisia puutteita ja virheitä.

Ilmoittajaa suojataan anonymiteetin mahdollisuudella, sillä moni pelkää seurauksia eikä uskaltaisi muuten ilmoittaa väärinkäytöksistä. Direktiiviin sisältyy laajennettu vahingonkorvausoikeus – esimerkiksi uudelleenkoulutus ja tuleva tulonmenetys korvataan.

Työnantajalla on myös todistustaakka siitä, että ilmoittajaan kohdistuvat toimet eivät perustu ilmoituksen tekemiseen. Suojan saadakseen ilmoittajan on käytettävä ensisijaisesti yrityksen omaa ilmoituskanavaa.

Koskee julkista ja yksityistä sektoria

Direktiivi kattaa sekä julkisen sektorin että yritystoiminnan. Väärinkäytökset voivat koskea esimerkiksi tuote- tai elintarviketurvallisuutta, julkista terveydenhuoltoa, finanssipalveluita, julkisia hankintoja, liikenneturvaa, tietojärjestelmien turvallisuutta tai kuluttajansuojaa.

Yritysten on päätettävä ajoissa muun muassa siitä, miten ilmi tulleisiin epäkohtiin reagoidaan. Asianmukainen ilmiantomenettely on siis jatkossa pakollista, mutta jo nyt se ylläpitää sidosryhmien luottamusta organisaatiota kohtaan.

Tietosuoja ja tietoturva ovat ensiarvoisen tärkeitä, kun väärinkäytöksiä halutaan paljastaa. Tietosuojavaatimukset on otettava huomioon henkilötietojen käsittelyn kaikissa vaiheissa tietojen keräämisestä niiden elinkaaren päättymiseen saakka.

Älä ui uutta kohti yksin

Jos organisaatiolla on jo tällä hetkellä oma ilmiantojärjestelmänsä, on arvioitava, vastaako nykyinen toiminta direktiivin vaatimuksia. Lisäksi organisaation on tehtävä henkilötietojen vaikutustenarviointi, toteutettava tarvittavat tekniset järjestelmämuutokset sekä kehitettävä hallinnollisia prosesseja ja dokumentaatiota. Lisäksi ulkopuoliselta palveluntuottajalta ostetut palvelusopimukset ja niiden vaatimusmäärittelyt on tarkistettava ja päivitettävä.

Uutta kohti ei tarvitse lähteä uimaan yksin. KPMG:n teknologia-, compliance– ja tietosuoja-ammattilaiset voivat avustaa kehitysprojektin kaikissa vaiheissa. Tiesitkö, että tarjoamme palveluna ulkoistettua whistleblower-kanavaa ja forensic-palveluita?

Seuraa myös uutispalveluamme Tax&Legal View’ta – tarjoamme sitä kautta myöhemmin lisää tietoa whistleblower-direktiivistä.

Antti Aalto

Charlotta Henriksson

Päivi Indola