Tilitoimisto Lemon Tree Oy (2599105-8)
Siltasaarenkatu 8-10
00530 Helsinki
Veera Lietkari tietosuoja@lemontree.fi
Lakisääteinen velvoite
Tietojen käsittely perustuu ilmoittajansuojalakiin sekä ns. ”whistleblowdirektiiviin” ja niitä käsitellään väärinkäytösten, rikosten ja vastaavien ehkäisemiseksi sekä tutkimiseksi. Tämän lisäksi tietoja käsitellään Tilitoimisto Lemon Treen arvojen vastaista toimintaa koskevien epäilyjen selvittämiseksi.
Oikeusperusteena on ilmoituksen sisällön perusteella joko: - lakisääteinen velvoite (direktiivin alainen ilmoitettu tieto) tai - oikeutettu etu (direktiivin ulkopuolinen ilmoitettu tieto). Oikeutetun edun perusteena on rekisterinpitäjän ja rekisteröidyn merkityksellinen suhde: ilmoittaja on joko omaa henkilöstöä tai muuten WB -direktiivin mukainen sidosryhmäläinen suhteessa rekisterinpitäjään.
Ilmoitettavan perustiedot sekä muuta ilmoitettavan toimintaan liittyvää tietoa sekä ilmoittajan nimi, mikäli ilmoitusta ei ole tehty nimettömänä. Käsittelyyn voi liittyä riski korkea riski annettavasta tiedosta johtuen. Riskejä on arvioitu tarkemmin ilmoituskanavarekisterin vaikutusten arvioinnissa, joka löytyy ”vaikutusten arvioinnit” osiosta Easy GDPR- palvelussa.
Rekisterinpitäjän oma henkilöstö sekä syvempää tutkintaa vaadittaessa siihen dedikoitu ulkoistuskumppani, jonka GDPR- valmiudet on tarkastettu ja jonka kanssa on tehty artikla 28 -mukaiset muut toimenpiteet. Tietoja voidaan myös luovuttaa poliisille tai muulle viranomaiselle tilanteessa, joissa on tapahtunut tai epäillään tapahtuneen rikos.
Käsittely perustuu oikeutettuun etuun sekä lakisääteiseen velvoitteeseen, suostumusta ei tarvita.
Rekisteri sisältää seuraavia tietoja: - Ilmoittajan nimi - Ilmoituksen kohteen nimi - Ilmoituksen aiheena olevaa ilmoittajan antamaa tietoa. Ilmoittajasta ei kerätä tietoja. Henkilötiedot, joilla selvästi ei ole merkitystä tietyn ilmoituksen käsittelyn kannalta, ei kerätä, tai jos niitä kerätään vahingossa, ne poistetaan ilman aiheetonta viivytystä.
Rekisteröidyltä itseltään, eli ilmoittajalta.
Henkilörekisterin tietoja säilytetään niin kauan, kuin se on rekisterinpitäjän mahdollisen syyttömyystodistuksen kannalta välttämätöntä tai minkä laki määritelee säilytysajaksi. Tämän jälkeen tiedot tuhotaan tietoturvallisesti.
Rekisterin tietoja ei pääsääntöisesti luovuteta kolmansille osapuolille muuta kuin syvemmissä tutkintatilanteissa valikoiduille, GDPR- kelpoisille toimijoille, kuten viranomaisille, ja joiden kanssa on toteutettu artikla 28 mukaiset toimenpiteet. Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.
Henkilötietojen siirrot toteutetaan aina EU tietosuoja-asetuksen (GDPR) asettamien vaatimusten mukaisesti. Rekisterin tietoja ei pääsääntöisesti luovuteta EU tai ETA ulkopuolelle. Joissakin tapauksissa palveluntarjoajat tai heidän käyttämänsä pilvipalvelut voivat kuitenkin sijaita EU/ETA-alueen ulkopuolisissa maissa. Pääsääntöisesti tietoja siirretään vain maihin, jotka Euroopan komissio on hyväksynyt riittävän tietosuojan tason tarjoaviksi. Mikäli henkilötietojen käsittelyssä käytetään Yhdysvaltoihin sijoittunutta palveluntarjoajaa, joka on sitoutunut EU-USA tietosuojakehykseen (Data Privacy Framework, DPF), käytetään siirron perustana tätä kehystä sen voimassaoloajan. Jos tietoja siirretään maahan, jota Euroopan komissio ei ole arvioinut riittävän tietosuojatason maaksi, siirrot perustuvat EU hyväksymiin SCC-vakiolausekkeisiin (Standard Contractual Clauses, SCC). Tällaisissa tapauksissa toteutamme teknisiä, organisatorisia tai sopimuksellisia lisätoimia tarvittavassa laajuudessa varmistaaksemme henkilötietojen suojaamisen vastaavasti kuin ETA-alueen sisällä.
Ilmoituskanavarekisteriin liittyvä aineisto on pääasiassa vain sähköisessä muodossa ja tietoja käsitellään vain sähköisesti. Manuaalista aineistoa voi kuitenkin syntyä esimerkiksi suullisten tapaamisten yhteydessä kirjoitetuista muistioista tai vastaavista. Mikäli tapaamisissa kerätään manuaalisesti käsiteltäviä yhteystietoja tai muita asiakastietoja sisältäviä asiakirjoja, säilytetään niitä alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Pääsy rekisterin tietoihin on vain niillä ja siinä laajuudessa kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Pääsy rekisterin tietoihin on vain niillä henkilöillä ja siinä laajuudessa kuin kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Kullakin määritellyllä käyttäjällä on oma henkilökohtainen käyttäjätunnus sekä salasana, ja jokainen käyttäjä on allekirjoittanut salassapitositoumuksen. Käsittelemme henkilötietojasi riittävin ja ajan tasalla olevin teknisin ja organisatorisin suojaustoimin. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.
Verkkosivut, joiden kautta ilmoituksia jätetään, voivat käyttää evästeitä. Sivuillamme vierailevalla käyttäjällä on mahdollisuus koska tahansa estää evästeiden käyttö muuttamalla niiden asetuksia evästebannerista. Myös jotkut selainohjelmat mahdollistavat eväste-toiminnon poiskytkemisen ja jo tallennettujen evästeiden poistamisen. Evästeiden käytön estäminen saattaa vaikuttaa sivuston toiminnallisuuteen.
Automattista päätöksentekoa tai muutakaan arviointia henkilöistä ei ilmoituskanavatoiminnalla suoriteta, eikä rekisteröidylle aiheudu käsittelystä haittaa tai seurauksia.
Ilmoituksen kohteena olevalla rekisteröidyllä ei ole tarkastusoikeutta tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä tai ilmoittajansuojan vaaraantumisen. Jos ilmoittamiseen käytetään puhelinlinjaa tai muuta ääniviestijärjestelmää, joka ei nauhoita keskustelua, on rekisterinpitäjällä oikeus dokumentoida suullinen ilmoitus ilmoituksen käsittelystä vastaavan henkilöstön jäsenen keskustelusta kirjoittaman tarkan pöytäkirjan muodossa. Ilmoittavalla henkilöllä on tällöin mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan keskustelusta laadittu pöytäkirja.
Rekisteröidyillä ei ole oikeutta siirtää tietoja, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä, käsittelyn oikeusperusteena on oikeutettu etu tai se saattaisi vaarantaa ilmoittajansuojan.
Ilmoittajalla on mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan esimerkiksi keskustelusta laadittu selostus. Korjauspyyntö voidaan myös evätä. Korjauspyynnön epäämisestä rekisterin vastuuhenkilö antaa kirjallisen todistuksen, jossa mainitaan syyt, joiden vuoksi korjauspyyntö on evätty. Asianomainen voi saattaa epäämisen tietosuojavaltuutetun ratkaistavaksi.
Rekisteröidyllä on oikeus pyytää tietojenkäsittelyn rajoittamista esim. jos rekisterissä olevat henkilötiedot ovat virheelliset, kunhan se ei haittaa epäiltyjen rikkomusten selvittämistä tai vaaranna ilmoittajansuojaa. Tällöin käsittelyä rajoitetaan, kunnes rekisterinpitäjä on varmistanut tietojen paikkansapitävyyden
Rekisteröidyillä ei ole oikeutta vastustaa käsittelyä, jos se voisi haitata epäiltyjen rikkomisten selvittämistä tai se mahdollisesti vaarantaisi ilmoittajansuojan.
Mikäli rekisteröity katsoo, että häntä koskevassa henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta, niin rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle. Kantelun voi tehdä myös siinä jäsenvaltiossa, jossa rekisteröidyllä on vakinainen asuinpaikka tai työpaikka. Kansallisen valvontaviranomaisen yhteystiedot ovat: Tietosuojavaltuutetun toimisto Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki Puhelinvaihde: 029 566 6700 Kirjaamo: 029 566 6768 tietosuoja@om.fi www.tietosuoja.fi
Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramainontaa ja muuta markkinointia varten, vaatia tietojen anonymisointia soveltuvin osin sekä oikeus tulla kokonaan unohdetuksi työsuhteen päätyttyä, ellei tämä voisi haitata epäiltyjen rikkomisten selvittämistä tai mahdollisesti vaarantaa ilmoittajansuojan.