Folkhälsans visselblåsningskanal
I denna dataskyddsbeskrivning beskrivs hur vi behandlar dina personuppgifter vid hantering av rapporter i Folkhälsans visselblåsarkanal och vid utredning av misstänkta överträdelser och missbruk.
1. Personuppgiftsansvarig
Samfundet Folkhälsan i svenska Finland rf
Topeliusgatan 20
00250 Helsingfors
Kontaktperson:
Niklas Talling
Förvaltningsdirektör, Samfundet Folkhälsan i svenska Finland rf
niklas.talling(at)folkhalsan.fi
2. Dataskyddsombud
Johan Huldén,
Chefsjurist, Samfundet Folkhälsan i svenska Finland rf
dataskydd(at)folkhalsan.fi
3. Ändamål och rättslig grund för personuppgiftsbehandlingen
Folkhälsan har tagit i bruk en centraliserad visselblåsarkanal för hela Folkhälsan-rörelsen, vilken möjliggör att personer som i eller i anslutning till sitt arbete förvärvat information om misstänkta överträdelser eller missbruk kan rapportera om dessa på ett tryggt sätt. Visselblåsarklanalen kan utnyttjas av Folkhälsans personal samt av andra intressenter som i eller i anslutning till sitt arbete förvärvat information om överträdelser inom Folkhälsan-rörelsen. Personuppgifter behandlas vid utredning av rapporter som inkommit till visselblåsarkanalen samt vid bedömning och verkställande av eventuella påföljder.
Alla rapporter behandlas konfidentiellt av en formellt utsedd visselblåsarenhet. Vid behandling av personuppgifter följer vi kraven i dataskyddsförordningen (EU) 2016/679, lagen om integritetsskydd i arbetslivet (759/2004) och dataskyddslagen (1050/2018).
Personuppgifter som inkommit i visselblåsarkanalen behandlas enbart i den utsträckning och omfattning som är nödvändigt för att trygga en korrekt och tillräcklig utredning av det rapporterade ärendet.
Den rättsliga grunden för personuppgiftsbehandlingen är uppfyllande av de lagstadgade kraven i visselblåsarlagstiftningen (lag om skydd för personer som rapporterar om överträdelser av Europeiska unionens lagstiftning och den nationella lagstiftningen). Dessutom har Folkhälsan som arbetsgivare en lagstadgad skyldighet att ingripa i och behandla trakasserier eller annat osakligt bemötande av arbetstagare som medför olägenheter eller risker för arbetstagarnas hälsa och ska, sedan man fått information om saken, med till buds stående medel vidta åtgärder för att avlägsna missförhållandet.
I de situationer där det inte finns en direkt lagstadgad skyldighet att behandla personuppgifter, baserar sig behandlingen på den personuppgiftsansvariges berättigade intresse att främja arbetarskydd, arbetsvälmående och etiska värderingar.
Särskilda kategorier av personuppgifter, så som hälsouppgifter, och andra känsliga personuppgifter så som uppgifter om brottmålsdomar eller överträdelser, kan behandlas med stöd av den rättsliga förpliktelse som åläggs den personuppgiftsansvarige i visselblåsarlagstiftningen.
Behandling av särskilda kategorier av personuppgifter kan också vara nödvändig för att fullgöra skyldigheter eller utöva särskilda rättigheter inom arbetsrättens område eller för att fastställa, göra gällande eller försvara rättsliga anspråk.
4. Personuppgifter som behandlas
Grupp av registrerade |
Exempel på uppgiftsinnehåll |
Den rapporterande personen |
Rapporter kan göras anonymt eller med namn. Visselblåsarkanalen är utformad så att inga elektroniska identifikationsuppgifter samlas in om den rapporterande personen.
Den rapporterande personen kan frivilligt själv infoga egna personuppgifter till rapporten, så som
- Namn - Lokaliseringsuppgifter - Kontaktuppgifter - Ekonomiska uppgifter - Beteendeuppgifter - Bilder eller video - Hälsouppgifter
Därutöver behandlas - Meddelandeinnehåll och övrig kommunikation
Trots att rapporten kan göras anonymt kan den rapporterande personen vara identifierbar indirekt på basen av innehållet i rapporten. Inga försök görs dock att identifiera den rapporterande personen.
Enligt visselblåsarlagstiftningen får inte den rapporterande personens identitet röjas, trots att denna skulle vara känd. |
Personen som är föremål för rapporten eller tredje personer som nämns i rapporten |
Rapporten kan innehålla uppgifter om en persons beteende eller förhållanden eller andra personliga uppgifter så som
- Namn - Lokaliseringsuppgift - Ekonomiska uppgifter - Beteendeuppgifter - Bilder eller video - Hälsouppgifter
|
Personer som behandlar rapporten |
Följande uppgifter samlas in om de personer som behandlar rapporten (visselblåsarenheten) - Namn - E-postadress - Logguppgifter - Meddelanden och notifikationer
|
5. Mottagare av personuppgifter
Leverantören av visselblåsarkanalen
Leverantören av visselblåsarkanalen Efecte Oy behandlar dina personuppgifter endast inom de ramar som avtalats med oss. Vi ser till att behandlingen sker i enlighet med dataskyddslagstiftningens krav.
Myndigheter
För utredning av missbruks- och brottsmisstankar överlåter vi nödvändiga personuppgifter till myndigheter.
6. Behandlingstid
Personuppgifter sparas enligt huvudregeln maximalt fem (5) år från att rapporten kom in.
Personuppgifter kan sparas även längre än fem (5) år om det är nödvändigt på grund av brottsutredning, anhängig rättegång, myndighetsutredning eller för att trygga den rapporterande personens, personen som är föremål för rapportens eller Folkhälsans rättigheter.
Personuppgifter som uppenbart inte har någon betydelse för handläggningen av en rapport (t.ex. personuppgifter som uppgetts i misstag) raderas utan obefogat dröjsmål.
Förvaringstiderna baserar sig på den nationella visselblåsarlagstiftningen och på processtiderna i brottmåls-, skadestånds- och arbetslagstiftningen samt på vårt berättigade intresse att utreda misstänkta överträdelser och missbruk.
7. Skydd av personuppgifterna
Åtkomsten till de uppgifter som sparas i visselblåsarkanalen är begränsad till namngivna personer med sekretessplikt och är lösenordskyddad.
Folkhälsan har utsett namngivna personer som tar emot och ansvarar för behandlingen av de rapporter som görs i Folkhälsans centraliserade visselblåsarkanal. Personer som i samband med behandlingen av en rapport fått reda på den rapporterande personens identitet eller föremålet för rapportens identitet har en lagstadgad sekretessplikt.
Den rapporterande personens uppgifter pseudonymiseras av tjänsteleverantören (genom ett tillfälligt användarnamn och lösenord) och den personuppgiftsansvarige kan inte identifiera den rapporterande personen ifall denne inte självmant väljer att i rapporten uppge sin identitet eller att uppge information som möjliggör identifiering.
Tjänsteleverantörens rapporteringskanal är ISO 27001 certifierad.
8. Överföring av uppgifter utanför EU/EES
Personuppgifter överförs inte utanför EU/EES.
9. Automatiskt beslutsfattande
Uppgifterna används inte för automatiskt beslutsfattande.
10. Den registrerades rättigheter
Dataskyddslagstiftningen garanterar dig vissa typer av rättigheter vid behandling av dina personuppgifter. Ifall du vill utnyttja någon av de rättigheter som nämns nedan ber vi dig rikta en specificerad förfrågan till kontaktpersonen i punkt 1 ovan.
Vi ber dig dock uppmärksamma att de rättigheter som lagen ger den registrerade inte är obegränsade eller absoluta. Vi kan t.ex. inte radera dina uppgifter i en situation där lagstiftning som tillämpas på oss förutsätter att vi sparar uppgifterna. Vi kan inte heller uppfylla en begäran att granska personuppgifter i en situation där verkställande av denna rätt kränker någon annan persons rätt eller äventyrar utredningen av en rapport.
Rätt att få tillgång till dina personuppgifter
Du har rätt att få bekräftelse på huruvida vi behandlar dina personuppgifter. Ifall vi behandlar dina personuppgifter har du rätt att få tillgång till och en kopia av de personuppgifter som är under behandling. Vi kan inte verkställa denna rättighet i situationer där rätten till tillgång kränker någon annan persons rätt eller äventyrar utredningen av en rapport eller vidare åtgärder som ska vidtas på basen av en rapport
Rätt till rättelse av personuppgifter
Ifall du anser att de personuppgifter vi behandlar är felaktiga, bristfälliga eller föråldrade kan du be oss korrigera uppgifterna.
Rätt till radering av personuppgifter
I vissa fall kan du be oss radera dina personuppgifter. Vänligen observera att vi inte kan radera uppgifter som vi ännu har en motiverad orsak att behålla. En motiverad orsak kan vara en lagstadgad skyldighet eller ett annat vägande skäl, t.ex. en pågående utredning eller dokumentation av utredning.
Rätt att göra invändningar och att begränsa personuppgiftsbehandlingen
Du har rätt att göra invändningar mot behandling av dina personuppgifter. Det här innebär dock inte en allmän rätt att invända mot all personuppgiftsbehandling utan begränsas t.ex. till situationer där behandlingen sker på basen av ett berättigat intresse. Vi har rätt att fortsätta behandlingen oberoende av invändningen ifall vi har ett särskilt vägande skäl för detta. Ett sådant skäl kan t.ex. vara utredning av missbruksmisstankar.
Du har även rätt att begära begränsning av behandlingen t.ex. ifall du bestrider uppgifternas korrekthet.
Rätt att framföra klagomål till en tillsynsmyndighet
Du har rätt att framföra klagomål till en tillsynsmyndighet om du anser att dina personuppgifter behandlats på ett sätt som strider mot dataskyddslagstiftningen. I Finland övervakas personuppgiftsbehandlingen av Dataombudsmannens byrå. Du hittar kontaktuppgifter här: https://tietosuoja.fi/sv/framsida.