Sitras rapporteringskanal för anmälan om missbruk som avses i visselblåsarlagen -registrets dataskyddsbeskrivning

1 Personuppgiftsansvarig

Personuppgiftsansvarig för registret är:
Jubileumsfonden för Finlands självständighet (”Sitra”) (FO-nummer 0202132-3).

Kontaktperson i registerärenden:
Ruija Rantala-Saajo
Chefsjurist
Jubileumsfonden för Finlands självständighet (”Sitra”)
Adress: Östersjögatan 11 – 13, PB 160, 00181 Helsingfors
Telefon: +358 294 618 991
E-post: kirjaamo@sitra.fi

Dataskyddsombud:
Janika Skaffari
kirjaamo@sitra.fi

2 Registrets namn

Sitras rapporteringskanal för rapportering om missbruk som avses i visselblåsarlagen -registret.

3 Syfte med behandlingen av personuppgifter

Den så kallad visselblåsarlagen (”Lag om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen, 1171/2022) förutsätter att Sitra ska driva en rapporteringskanal där personer kan rapportera misstänkta överträdelser och missbruk som de observerar i samband med sitt arbete, sin anställning eller sin uppgift. Sitra behandlar personuppgifter i syften som avses i visselblåsarlagen bland annat då den genomför intern utredning och undersökning på grund av rapportering och fattar beslut om fortsatta åtgärder.

Efter att ha mottagit anmälningar behandlas personuppgifter i en elektronisk rapporteringskanaltjänst som Sitra har infört och som tillhandahålls av en underleverantör. Sitras juridikfunktion svarar för behandlingen av anmälningar som görs via Sitras rapporteringskanal. Dessutom kan man enligt visselblåsarlagen fallspecifikt utse experter och andra handläggare i anknytning till utredning av ärendet.
Personuppgifter som ingår i anmälningar behandlas med beaktande av sekretessbestämmelserna i visselblåsarlagen.

4 Rättslig grund för behandlingen

Sitra behandlar personuppgifter som specificeras i 5 punkten i dataskyddsbeskrivningen på grundval av den personuppgiftsansvariges lagstadgade förpliktelse.

5 Datainnehållet i registret (personuppgiftsgrupper som behandlas)

Registret innehåller bland annat personuppgifter om den person som rapporterar om överträdelser och som specificeras i anmälan. Bland annat följande personuppgifter kan vara sådana:
(a) grundläggande uppgifter om den rapporterande personen (den registrerade) såsom namn, kontaktuppgifter dvs. telefonnummer, e-postadress,
(b) grundläggande uppgifter om den person som är föremål för rapporteringen (den registrerade) såsom namn, kontaktuppgifter dvs. telefonnummer, e-postadress,
(c) grundläggande uppgifter om tredje parter som specificeras i anmälan (de registrerade) såsom grundläggande uppgifter om vittnen, såsom namn, kontaktuppgifter dvs. telefonnummer, e-postadress,
(d) andra personuppgifter som den som rapporterar ger om sig själv, föremålet för anmälan och tredje part i anknytning till anmälan, såsom vittne eller den rapporterande personens biträde,
(e) andra personuppgifter som insamlas av parterna hos Sitra under dialog som förs med parterna under behandlingen av anmälan och i samband med eventuellt hörande av parter.

6 Regelmässiga informationskällor

Personuppgifter insamlas av den rapporterande personen, den person som är föremål för anmälan och tredje parter i anknytning till anmälan, såsom vittnen, i samband med anmälan och behandlingen av den.

7 Förvaringstid för personuppgifter

Utgångspunkten är att Sitra förvarar anmälningar och personuppgifter som ingår i dem i rapporteringskanaltjänsten i tre (3) år efter att behandlingen av anmälan har upphört, om det exceptionellt enligt bestämmelserna i visselblåsarlagen inte finns grunder till att förvara personuppgifter under en längre tid. Enligt visselblåsarlagen personuppgifter raderas fem (5) år efter att anmälan har kommit in, om det inte är nödvändigt att förvara dem under en längre tid i undantagsfall som föreskrivs i visselblåsarlagen. Personuppgifter, som uppenbarligen inte har någon betydelse för behandling av anmälan, raderas utan onödigt dröjsmål.

Sitra bedömer regelbundet nödvändigheten av att förvara uppgifter enligt sin interna uppförandekod och sådan lagstiftning som är tillämplig för fallet. Dessutom vidtar Sitra alla skäliga åtgärder som är möjliga för att säkerställa att personuppgifter som med tanke på syftet med behandlingen är ofullständiga, felaktiga eller föråldrade raderas eller korrigeras omedelbart, om inget annat föranleds av lagen om skydd för personer som rapporterar om överträdelser.

8 Mottagare av personuppgifter (kategorier av mottagare) samt regelbunden utlämning av uppgifter

Personuppgifterna i registret lämnas inte ut till tredje part, om inget annat föreskrivs i lagstiftningen.

9 Överföring av uppgifter till länder utanför EU eller EES

Uppgifterna i registret överförs inte till länder utanför EU eller EES.

10 Principer för registerskyddet

Databaser som innehåller personuppgifter förvaras på serviceproducentens servrar i en serverhall med hög informationssäkerhetsnivå. Databasen är krypterad. Trafiken mellan serviceproducentens servrar och tjänsteanvändarnas servrar är krypterad med krypteringsalgoritmer.

Tillgång till tjänsten för rapporteringskanalen sker endast med personliga användarnamn och lösenord som beviljas separat dem som enligt visselblåsarlagen utses till att behandla ärendet och de instanser som anges ovan i 3 punkten. Sitra har begränsat användarrättigheterna och -behörigheterna i fråga om datasystem och andra lagringsplattformar så att uppgifterna kan granskas och behandlas endast av de personer som måste göra det med tanke på den lagstadgade behandlingen.

Sitras anställda och övriga personer som handlar för Sitras räkning har förbundit sig att iaktta tystnadsplikt och sekretess i fråga om information de har erhållit genom behandling av personuppgifter.

11 Den registrerades rättigheter

Den registrerade har i princip följande rättigheter enligt EU:s allmänna dataskyddsförordning, om inget annat föreskrivs i visselblåsarlagen:

(a) rätt att av registeransvarig få en bekräftelse om att uppgifter om personen behandlas eller inte behandlas, och att om de behandlas rätt att bekanta sig med personuppgifterna och få följande uppgifter:

(i) syftet med behandlingen;
(ii) de kategorier av personuppgifter som behandlingen gäller;
(iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut;
(iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att förvaras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period;
(v) den registrerades rätt att av den personuppgiftsansvarige begära tillgång till och rättelse eller radering av personuppgifter som gäller honom eller henne eller begränsning av behandling som rör den registrerade eller att invända mot behandling;
(vi) rätten att inge klagomål till en tillsynsmyndighet;
(vii) om personuppgifter inte samlas in av den registrerade, alla tillgängliga uppgifter om uppgifternas ursprung; och
(viii) förekomsten av automatiserat beslutsfattande, samt meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade;

(b) rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade samt rätt att komplettera ofullständiga personuppgifter;

(c) rätt att begära att den personuppgiftsansvarige raderar personuppgifter om den registrerade utan oskäligt dröjsmål i situationer som fastställs i EU:s allmänna dataskyddsförordning;

(d) rätt att lämna in klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser honom eller henne strider mot EU:s allmänna dataskyddsförordning.
Begäranden som gäller tillgodoseendet av den registrerades rättigheter riktas till Sitras registratorskontor.

12 Ändring av dataskyddsbeskrivningen

Vi förbehåller oss rätten att ändra denna dataskyddsbeskrivning. Ändringarna kan utgå till exempel från ändringar i lagstiftningen. Vi rekommenderar att ni bekantar er regelbundet med innehållet i dataskyddsbeskrivningen.