Tapaus Avarn Security herättelee rajulla tavalla tehokkaiden sisäisten ilmoituskanavien välttämättömyyteen

Ilmoittajansuojelulaki on tullut voimaan 1.1.2023. Samoihin aikoihin on ollut julkisuudessa kaikkien seurattavana, miten hankalaa on, kun yrityksen toimintaan liittyviä väärinkäytöksiä päätyy julkisuuteen ja yritysjohto joutuu viestinnässään suoraan tapahtuneiden tosiasioiden eteen. Ilmoittajansuojelulaki koskee vain osaa väärinkäytöksistä, mutta organisaatiolle on aina eduksi, jos se pystyy käsittelemään toteutuneita rikkomisia ensin itse. Silti sisäiset ilmoituskanavat eivät tehokkaimmillaankaan estä sitä, että vakavat väärinkäytökset voivat päätyä myös viranomaisten tutkittavaksi ja ehkä julkisuuteenkin.

Huonoin skenaario organisaation johdolle on tulla väärinkäytöksistä tietoiseksi uutisoinnin kautta

Organisaation johto ei tule läheskään kaikissa tapauksissa tietoiseksi organisaatiossa tapahtuneista väärinkäytöksistä. Organisaation alemmilla tasoilla saatetaan rikkoa lakia systemaattisemminkin, mutta siitä ei raportoida eteenpäin. Osa rivitason työntekijöistä ja ehkä myös suuri joukko ulkopuolisia voi olla perillä väärinkäytöksistä, mutta johto olettaa kaiken olevan kunnossa tai ei ole ainakaan riittävästi valvonut toimintaa.

Jos organisaation toimintaan on pääsyt leviämään enemmänkin lainvastaisuutta ja asia tulee johdolle ensimmäistä kertaa esille vasta toimittajan soiton tai uutisoinnin kautta, tilanne on haastava, ellei jopa ylivoimainen: muut tietävät tapahtuneista väärinkäytöksistä enemmän, ja johto joutuu kommentoimaan asioita julkisuudessa vajavaisin tiedoin. Tilanne poikkeaa täysin siitä, jos asioita olisi voitu selvittää ensin sisäisesti.

Ilmoittajansuojelulaki velvoittaa perustamaan ilmoituskanavan – mutta vain osan väärinkäytöksistä ilmoittamista varten

Laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022, ilmoittajansuojelulaki) on tullut voimaan 1.1.2023. Se velvoittaa vähintään 50 henkeä työllistävät yksityisen ja julkisen sektorin organisaatiot perustamaan sisäisen ilmoituskanavan. Laissa on yleinen kolmen kuukauden siirtymäaika; pieniin organisaatioihin sovelletaan pidempää, vajaan vuoden siirtymäaikaa.

Mahdollisuus ilmoittaa rikkomisesta on järjestettävä kaikille organisaatioon työ- tai virkasuhteissa oleville. Lisäksi ilmoittamisen mahdollisuuden voi järjestää sellaisille ulkopuolisille, jotka työssään tai sen yhteydessä saavat tietoonsa rikkomisia ja jotka organisaation oman henkilöstön tavoin kuuluvat ilmoittajansuojelulain 5 §:ssä määriteltyyn lain henkilölliseen soveltamisalaan.

Lain 2 §:ssä on lueteltu lainsäädännön alat, joihin liittyvät rikkomiset kuuluvat lain aineelliseen soveltamisalaan. Luettelossa on 11 kohtaa, ja niistä esimerkkeinä voidaan mainita ympäristönsuojelu sekä yksityisyyden ja henkilötietojen suoja sekä verkko- ja tietojärjestelmien turvallisuus. Lisäksi on mainittu viisi muuta lainsäädännön alaa, jotka myös kuuluvat aineelliseen soveltamisalaan mutta joissa ilmoituskynnys on asetettu muita rikkomisia matalammaksi.

Ilmoittajansuojelulaki ei kata läheskään kaikkia väärinkäytöksiä, joita organisaatioissa voi tapahtua. Ilmoituskanavaa ei ole velvollisuutta perustaa esimerkiksi sitä varten, että oma henkilöstö tai ulkopuoliset voivat ilmoittaa asiakkaisiin tai näiden asiakkaisiin kohdistuvista pahoinpitelyistä. Aineellisen soveltamisalan ulkopuolella ovat myös esimerkiksi työpaikkakiusaaminen ja muu epäasiallinen kohtelu työsuhteissa.

Aineellinen soveltamisala ei ole valikoitunut sillä perusteella, mitkä väärinkäytökset lainsäätäjä on yleisesti katsonut vakavammiksi. Ilmoittajansuojelulaki perustuu Euroopan unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta annettuun direktiiviin (EU 2019/1937), jonka tavoitteena on tehostaa EU-oikeuden täytäntöönpanon valvontaa. Direktiivi sallii kansallisesti laajemmankin aineellisen soveltamisalan, mutta Suomessa ei ole nähty sitä vielä tarpeelliseksi (ks. HE 147/2022 vp, s. 127–128).

Organisaation ei kannata tyytyä ilmoituskanavassaan vain vähimmäisvaatimusten täyttämiseen

Usealla organisaatiolla on ollut jo entuudestaan ilmoituskanava ainakin tietynlaisista väärinkäytöksistä ilmoittamista varten. Jotkin organisaatiot, kuten finanssialan yritykset, ovat olleet siihen myös suoraan velvollisia erityislainsäädännön nojalla. Monet organisaatiot ovat perustaneet ilmoituskanavan myös oma-aloitteisesti, edistääkseen arvojensa ja tavoiteltujen käytänteiden tehokasta toteutumista.

Sama lähestymistapa on suositeltava jatkossakin. Väärinkäytöksistä ilmoittamisen mahdollisuutta ei ole tarkoituksenmukaista rajoittaa vain ilmoittajansuojelulain aineellisen soveltamisalan piiriin kuuluviin rikkomisiin, vaan organisaation kannattaa luoda ja vahvistaa edellytyksiä sille, että se saa itse ensin tietoonsa kaikenlaiset sen toiminnassa ilmenneet väärinkäytökset.

Ilmoittajansuojelulaissa ei ole säädetty tämän lain mukaisen ilmoituskanavan suhteesta oma-aloitteisesti perustettuun muuhun ilmoituskanavaan. Lain perusteluissa (HE 147/2022 vp, s. 133) on käsitelty asiaa, mutta oikeastaan vain tuomalla sitä koskeva kysymyksenasettelu esille. Perusteluissa ei ole otettu suoraan kantaa siihen, voiko ilmoituskanava olla yhteinen ilmoittajansuojelulaissa tarkoitetuille ja organisaation oma-aloitteisesti keräämille muunlaisille ilmoituksille.

Laki ei kuitenkaan sisällä kieltoa, ettei samassa kanavassa voisi ottaa vastaan muitakin ilmoituksia (välillisestä tuesta sallivalle tulkinnalle ks. HE:n 147/2022 vp, s. 90 maininta ilmoittajansuojelulakiin ja erityislakiin perustuvan kanavan keskinäisestä suhteesta). Jos käytetään yhteistä kanavaa, se on tarpeen suunnitella niin, että ilmoittaja tulee aina tietoiseksi, kuuluko hänen asiansa ilmoittajansuojelulain soveltamisalan piiriin vai ei. Muunlaisen ilmoituksen käsittelyyn sovelletaan joko erityislakia tai yleistä työ- ja tietosuojalainsäädäntöä.

Erilaisista väärinkäytöksistä ovat yleensä parhaiten perillä omat työntekijät. Silti organisaation on tarkoituksenmukaista tehdä ilmoittaminen teknisesti mahdolliseksi ja vaivattomaksi myös ainakin sille henkilöjoukolle, joka kuuluu ilmoittajansuojelulain 5 §:ssä määriteltyyn lain henkilölliseen soveltamisalaan. Esimerkkinä voidaan mainita yhteistyökumppaneiden palveluksessa olevat henkilöt.

Jos näin toimitaan, verkkosivuilta löytyvään ilmoituskanavaan on tekniseltä kannalta avattava pääsy kenelle tahansa. Kanavan ylläpitäjällä ei voi olla etukäteen tiedossa, keitä henkilöitä on esimerkiksi yhteistyökumppaneiden palveluksessa. Ilmoittamismahdollisuuden tekninen rajaaminen etukäteen olisikin jo yksin tästä syystä mahdotonta. Samalla voi olla tarkoituksenmukaista, että ilmoituksia pyritään ottamaan vastaan myös muilta kuin ilmoittajansuojelulain henkilölliseen soveltamisalaan kuuluvilta.

Ilmoituskanavan on perusteltua olla suunniteltu sillä tavoin, että organisaatio saa ainakin henkilön oman ilmoituksen perusteella tiedon siitä, missä yleisessä asemassa tämä ilmoituksensa tekee. Jos ilmoitus kuuluu asiasisältönsä puolesta ilmoittajansuojelulain 2 §:ssä määriteltyyn lain aineelliseen soveltamisalaan, organisaation on tarpeen olla selvillä myös siitä, kuuluuko ilmoittaja yleisen asemansa puolesta lain 5 §:ssä määriteltyyn henkilölliseen soveltamisalaan.

Tehokaskaan sisäinen ilmoituskanava ei aina estä väärinkäytösten selvittämisen päätymistä viranomaiselle

Ilmoittajansuojelulailla pyritään siihen, että ilmoitukset rikkomisista voitaisiin käsitellä ja niihin liittyvät korjaavat toimenpiteet tehdä ensisijaisesti organisaation sisäisesti. Tämä ei kuitenkaan tarkoita, ettei asia voisi milloinkaan päätyä toimivaltaisen viranomaisen tutkittavaksi – näin siis, vaikka organisaatio sisäisesti toteuttaisi asianmukaisesti kaikki toimenpiteet, jotka siltä rikkomiseen puuttumiseksi tarvitaan.

Jos rikkominen liittyy esimerkiksi henkilötietojen suojaa koskevaan lainsäädäntöön ja esille tullut asia on sellainen, josta olisi tehtävä EU:n yleisen tietosuoja-asetuksen (EU 2016/679) 33 artiklan mukainen henkilötietojen tietoturvaloukkausta koskeva ilmoitus tietosuojavaltuutetulle, organisaatiossa ei voida tyytyä vain omien menettelytapojen tarkentamiseen jatkossa.

Sama koskee useita muitakin rikkomistyyppejä. Jos organisaatiossa on hankittu perusteettomasti verohyötyä tai julkisia avustuksia, asian sisäistä selvittämistä ja korjaamista ei voida rajoittaa siihen, että perusteetonta taloudellista etua ei hankita enää jatkossa. Organisaatio voi siten joutua olemaan yhteydessä viranomaiseen, jotta saadaan järjestetyksi perusteettoman hyödyn maksaminen takaisin.

Organisaatiolle on joka tapauksessa aina eduksi, jos se kykenee itse saattamaan toiminnassaan tapahtuneita väärinkäytöksiä tarvittaessa myös viranomaisten selvitettäväksi – vaihtoehtona esimerkiksi sille, että väärinkäytös päätyisi viranomaisten tutkittavaksi sitä kautta, että asia on ollut ensin esillä julkisuudessa.

Ilmoituskanavan käytännön tehokkuus riippuu ensisijaisesti asenteista

Ilmoittajansuojelulain voimaantulo johtanee siihen, että yhä useampi organisaatio valpastuu yleisten compliance-vaatimusten noudattamisessa. Jos organisaatiossa sen sijaan säilyy vallalla toimintakulttuuria, jossa suhtaudutaan hyväksyvästi tai salaten erilaisiin väärinkäytöksiin, pelkkä ilmoittajansuojelulain mukaisen ilmoituskanavan perustaminen ei tilannetta juuri korjaa.

Useassa organisaatiossa on jo meneillään projekti, jossa huolehditaan ilmoittajansuojelulain mukaisista velvollisuuksista viimeistään siihen mennessä, kun organisaatioon sovellettava lain 40 §:stä ilmenevä siirtymäaika umpeutuu. Uuden lain vaatimusten toteuttamisen ohella on tärkeää vahvistaa compliance-ajattelua niin, että lain ja eettisten sääntöjen mukaisen toiminnan tärkeys sisäistetään organisaation kaikilla tasoilla.

Kirjoitus on julkaistu 3.1. Edilexin Vierashuoneessa.

Klaus Nyblin on erikoistunut lääke- ja terveydenhuolto-oikeuteen sekä riidanratkaisuun. Klausin erityisosaamista ovat myös liikesalaisuuksien suojaan, henkilötietojen käsittelyyn ja sähköiseen viestintään liittyvät oikeudelliset kysymykset. Klaus on tunnustettu osaaja erityissäänneltyjen toimialojen riidanratkaisijana.

Jaa sisältö verkossa

Lue myös

Ota yhteyttä