Ilmoituskanavarekisteri

Tietosuojaseloste
Viimeksi päivitetty
11.11.2024

Rekisterinpitäjä

Tilitoimisto Lemon Tree Oy (2599105-8)
Siltasaarenkatu 8-10
00530 Helsinki

Yhteyshenkilö rekisteriä koskevissa asioissa

Veera Lietkari tietosuoja@lemontree.fi

Käsittelyn oikeusperuste

Lakisääteinen velvoite

Henkilötietojen käsittelyn tarkoitus

Tietojen käsittely perustuu ilmoittajansuojalakiin sekä ns. ”whistleblowdirektiiviin” ja niitä käsitellään väärinkäytösten, rikosten ja vastaavien ehkäisemiseksi sekä tutkimiseksi. Tämän lisäksi tietoja käsitellään Tilitoimisto Lemon Treen arvojen vastaista toimintaa koskevien epäilyjen selvittämiseksi.

Oikeutetun edun peruste

Oikeusperusteena on ilmoituksen sisällön perusteella joko: - lakisääteinen velvoite (direktiivin alainen ilmoitettu tieto) tai - oikeutettu etu (direktiivin ulkopuolinen ilmoitettu tieto). Oikeutetun edun perusteena on rekisterinpitäjän ja rekisteröidyn merkityksellinen suhde: ilmoittaja on joko omaa henkilöstöä tai muuten WB -direktiivin mukainen sidosryhmäläinen suhteessa rekisterinpitäjään.

Kyseessä olevat henkilötietoryhmät

Ilmoitettavan perustiedot sekä muuta ilmoitettavan toimintaan liittyvää tietoa sekä ilmoittajan nimi, mikäli ilmoitusta ei ole tehty nimettömänä. Käsittelyyn voi liittyä riski korkea riski annettavasta tiedosta johtuen. Riskejä on arvioitu tarkemmin ilmoituskanavarekisterin vaikutusten arvioinnissa, joka löytyy ”vaikutusten arvioinnit” osiosta Easy GDPR- palvelussa.

Vastaanottajat ja vastaanottajaryhmät

Rekisterinpitäjän oma henkilöstö sekä syvempää tutkintaa vaadittaessa siihen dedikoitu ulkoistuskumppani, jonka GDPR- valmiudet on tarkastettu ja jonka kanssa on tehty artikla 28 -mukaiset muut toimenpiteet. Tietoja voidaan myös luovuttaa poliisille tai muulle viranomaiselle tilanteessa, joissa on tapahtunut tai epäillään tapahtuneen rikos.

Suostumus

Käsittely perustuu oikeutettuun etuun sekä lakisääteiseen velvoitteeseen, suostumusta ei tarvita.

Rekisterin tietosisältö

Rekisteri sisältää seuraavia tietoja: - Ilmoittajan nimi - Ilmoituksen kohteen nimi - Ilmoituksen aiheena olevaa ilmoittajan antamaa tietoa. Ilmoittajasta ei kerätä tietoja. Henkilötiedot, joilla selvästi ei ole merkitystä tietyn ilmoituksen käsittelyn kannalta, ei kerätä, tai jos niitä kerätään vahingossa, ne poistetaan ilman aiheetonta viivytystä.

Säännönmukaiset tietolähteet

Rekisteröidyltä itseltään, eli ilmoittajalta.

Henkilötietojen säilyttämisaika

Henkilörekisterin tietoja säilytetään niin kauan, kuin se on rekisterinpitäjän mahdollisen syyttömyystodistuksen kannalta välttämätöntä tai minkä laki määritelee säilytysajaksi. Tämän jälkeen tiedot tuhotaan tietoturvallisesti.

Tietojen säännönmukaiset luovutukset

Rekisterin tietoja ei pääsääntöisesti luovuteta kolmansille osapuolille muuta kuin syvemmissä tutkintatilanteissa valikoiduille, GDPR- kelpoisille toimijoille, kuten viranomaisille, ja joiden kanssa on toteutettu artikla 28 mukaiset toimenpiteet. Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietojen siirrot toteutetaan aina EU tietosuoja-asetuksen (GDPR) asettamien vaatimusten mukaisesti. Rekisterin tietoja ei pääsääntöisesti luovuteta EU tai ETA ulkopuolelle. Joissakin tapauksissa palveluntarjoajat tai heidän käyttämänsä pilvipalvelut voivat kuitenkin sijaita EU/ETA-alueen ulkopuolisissa maissa. Pääsääntöisesti tietoja siirretään vain maihin, jotka Euroopan komissio on hyväksynyt riittävän tietosuojan tason tarjoaviksi. Mikäli henkilötietojen käsittelyssä käytetään Yhdysvaltoihin sijoittunutta palveluntarjoajaa, joka on sitoutunut EU-USA tietosuojakehykseen (Data Privacy Framework, DPF), käytetään siirron perustana tätä kehystä sen voimassaoloajan. Jos tietoja siirretään maahan, jota Euroopan komissio ei ole arvioinut riittävän tietosuojatason maaksi, siirrot perustuvat EU hyväksymiin SCC-vakiolausekkeisiin (Standard Contractual Clauses, SCC). Tällaisissa tapauksissa toteutamme teknisiä, organisatorisia tai sopimuksellisia lisätoimia tarvittavassa laajuudessa varmistaaksemme henkilötietojen suojaamisen vastaavasti kuin ETA-alueen sisällä.

Rekisterin suojauksen periaatteet A: Manuaalinen aineisto

Ilmoituskanavarekisteriin liittyvä aineisto on pääasiassa vain sähköisessä muodossa ja tietoja käsitellään vain sähköisesti. Manuaalista aineistoa voi kuitenkin syntyä esimerkiksi suullisten tapaamisten yhteydessä kirjoitetuista muistioista tai vastaavista. Mikäli tapaamisissa kerätään manuaalisesti käsiteltäviä yhteystietoja tai muita asiakastietoja sisältäviä asiakirjoja, säilytetään niitä alkukäsittelyn jälkeen lukituissa ja paloturvallisissa säilytystiloissa. Pääsy rekisterin tietoihin on vain niillä ja siinä laajuudessa kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.

Rekisterin suojauksen periaatteet B: Sähköinen aineisto

Pääsy rekisterin tietoihin on vain niillä henkilöillä ja siinä laajuudessa kuin kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Kullakin määritellyllä käyttäjällä on oma henkilökohtainen käyttäjätunnus sekä salasana, ja jokainen käyttäjä on allekirjoittanut salassapitositoumuksen. Käsittelemme henkilötietojasi riittävin ja ajan tasalla olevin teknisin ja organisatorisin suojaustoimin. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.

Evästeet

Verkkosivut, joiden kautta ilmoituksia jätetään, voivat käyttää evästeitä. Sivuillamme vierailevalla käyttäjällä on mahdollisuus koska tahansa estää evästeiden käyttö muuttamalla niiden asetuksia evästebannerista. Myös jotkut selainohjelmat mahdollistavat eväste-toiminnon poiskytkemisen ja jo tallennettujen evästeiden poistamisen. Evästeiden käytön estäminen saattaa vaikuttaa sivuston toiminnallisuuteen.

Automaattinen käsittely ja profilointi

Automattista päätöksentekoa tai muutakaan arviointia henkilöistä ei ilmoituskanavatoiminnalla suoriteta, eikä rekisteröidylle aiheudu käsittelystä haittaa tai seurauksia.

Tarkastusoikeus, eli oikeus saada pääsy henkilötietoihin.

Ilmoituksen kohteena olevalla rekisteröidyllä ei ole tarkastusoikeutta tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä tai ilmoittajansuojan vaaraantumisen. Jos ilmoittamiseen käytetään puhelinlinjaa tai muuta ääniviestijärjestelmää, joka ei nauhoita keskustelua, on rekisterinpitäjällä oikeus dokumentoida suullinen ilmoitus ilmoituksen käsittelystä vastaavan henkilöstön jäsenen keskustelusta kirjoittaman tarkan pöytäkirjan muodossa. Ilmoittavalla henkilöllä on tällöin mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan keskustelusta laadittu pöytäkirja.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyillä ei ole oikeutta siirtää tietoja, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä, käsittelyn oikeusperusteena on oikeutettu etu tai se saattaisi vaarantaa ilmoittajansuojan.

Oikeus vaatia tiedon korjaamista

Ilmoittajalla on mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan esimerkiksi keskustelusta laadittu selostus. Korjauspyyntö voidaan myös evätä. Korjauspyynnön epäämisestä rekisterin vastuuhenkilö antaa kirjallisen todistuksen, jossa mainitaan syyt, joiden vuoksi korjauspyyntö on evätty. Asianomainen voi saattaa epäämisen tietosuojavaltuutetun ratkaistavaksi.

Rajoittamisoikeus

Rekisteröidyllä on oikeus pyytää tietojenkäsittelyn rajoittamista esim. jos rekisterissä olevat henkilötiedot ovat virheelliset, kunhan se ei haittaa epäiltyjen rikkomusten selvittämistä tai vaaranna ilmoittajansuojaa. Tällöin käsittelyä rajoitetaan, kunnes rekisterinpitäjä on varmistanut tietojen paikkansapitävyyden

Vastustamisoikeus

Rekisteröidyillä ei ole oikeutta vastustaa käsittelyä, jos se voisi haitata epäiltyjen rikkomisten selvittämistä tai se mahdollisesti vaarantaisi ilmoittajansuojan.

Oikeus tehdä valitus valvontaviranomaiselle

Mikäli rekisteröity katsoo, että häntä koskevassa henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta, niin rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle. Kantelun voi tehdä myös siinä jäsenvaltiossa, jossa rekisteröidyllä on vakinainen asuinpaikka tai työpaikka. Kansallisen valvontaviranomaisen yhteystiedot ovat: Tietosuojavaltuutetun toimisto Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki Puhelinvaihde: 029 566 6700 Kirjaamo: 029 566 6768 tietosuoja@om.fi www.tietosuoja.fi

Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramainontaa ja muuta markkinointia varten, vaatia tietojen anonymisointia soveltuvin osin sekä oikeus tulla kokonaan unohdetuksi työsuhteen päätyttyä, ellei tämä voisi haitata epäiltyjen rikkomisten selvittämistä tai mahdollisesti vaarantaa ilmoittajansuojan.