Whistleblower-direktiivi Whistleblower-direktiivi

Whistleblowing on noussut maailmanpolitiikan valokeilaan viime viikkoina, mutta yritysmaailmassa siitä on puhuttu enenevässä määrin jo ainakin Edward Snowdenista lähtien. EU:n ministerineuvosto hyväksyi 7. lokakuuta 2019 whistleblower-direktiivin.

Kaikkien vähintään 50 henkilöä työllistävien tai 10 miljoonan euron liikevaihdon yritysten on järjestettävä vaatimukset täyttävä ilmoituslinja ja hallinto 17. joulukuuta 2021 mennessä. Jos järjestelmä, hallinto ja tutkinta täyttävät direktiivin vaatimukset, työntekijät ovat velvollisia raportoimaan epäilyksensä ensisijaisesti yrityksen omassa kanavassa. Tällöin yritys saa vähintään kolmen kuukauden ajan selvittää ja korjata mahdollisia puutteita ja virheitä.

Ilmoittajaa suojataan anonymiteetin mahdollisuudella, sillä moni pelkää seurauksia eikä uskaltaisi muuten ilmoittaa väärinkäytöksistä. Direktiiviin sisältyy laajennettu vahingonkorvausoikeus - esimerkiksi uudelleenkoulutus ja tuleva tulonmenetys korvataan.

Työnantajalla on myös todistustaakka siitä, että ilmoittajaan kohdistuvat toimet eivät perustu ilmoituksen tekemiseen. Suojan saadakseen ilmoittajan on käytettävä ensisijaisesti yrityksen omaa ilmoituskanavaa.

Direktiivi kattaa sekä julkisen sektorin että yritystoiminnan. Väärinkäytökset voivat koskea esimerkiksi tuote- tai elintarviketurvallisuutta, julkista terveydenhuoltoa, julkisia hankintoja, liikenneturvaa tai kuluttajansuojaa. 

Yritysten on päätettävä ajoissa muun muassa siitä, miten ilmi tulleisiin epäkohtiin reagoidaan. Asianmukainen ilmiantomenettely on siis jatkossa pakollista, mutta jo nyt se ylläpitää sidosryhmien luottamusta organisaatiota kohtaan.

Tietosuoja ja tietoturva ovat ensiarvoisen tärkeitä, kun väärinkäytöksiä halutaan paljastaa. Tietosuojavaatimukset on otettava huomioon henkilötietojen käsittelyn kaikissa vaiheissa tietojen keräämisestä niiden elinkaaren päättymiseen saakka. 

Jos organisaatiolla on jo tällä hetkellä oma ilmiantojärjestelmänsä, on arvioitava, vastaako nykyinen toiminta direktiivin vaatimuksia. Lisäksi organisaation on tehtävä henkilötietojen vaikutustenarviointi, toteutettava tarvittavat tekniset järjestelmämuutokset sekä kehitettävä hallinnollisia prosesseja ja dokumentaatiota. Lisäksi ulkopuoliselta palveluntuottajalta ostetut palvelusopimukset ja niiden vaatimusmäärittelyt on tarkistettava ja päivitettävä.

Uutta kohti ei tarvitse lähteä uimaan yksin. KPMG:n ammattilaiset voivat avustaa kehitysprojektin kaikissa vaiheissa. Tiesitkö, että tarjoamme palveluna ulkoistettua whistleblower-kanavaa?