GDPR ja ilmoittajakanava — mitä dataa saa kerätä, mitä ei
Ilmoittajansuojelulaki vaatii säilyttämään dataa 5 vuotta, GDPR vaatii minimoimaan sen. Nämä eivät ole ristiriidassa kun tiedät mikä on ilmoitusdatan minimisisältö ja mikä on ylimääräistä riskiä.
Kaksi lakia törmää yhdessä pöydässä:
- Ilmoittajansuojelulaki 1171/2022 sanoo: säilytä ilmoitusdata vähintään 5 vuotta
- GDPR artikla 5(1)(e) sanoo: säilytä henkilötietoa vain niin kauan kuin käyttötarkoitus vaatii
Näyttää ristiriidalta. Ei ole, kun ymmärrät mitä ilmoitusdatan pitää sisältää ja mitä se ei saa sisältää.
Lähtökohta: ilmoitusdata on arkaluonteista
Whistleblowing-ilmoitukset kuuluvat usein GDPR artikla 9 erityiskategorioihin:
- Terveystietoja (jos ilmoitus koskee työterveyttä tai päihdeongelmaa)
- Ammattiliittojäsenyyttä (jos ilmoitus koskee syrjintää liiton takia)
- Rikostuomioihin liittyviä tietoja (art. 10) — ilmoitus voi olla väite rikoksesta
Tämä tarkoittaa että käsittely vaatii vahvemman oikeusperusteen kuin tavallinen henkilötieto. Käytännössä peruste on lakisääteinen velvoite (art. 6.1.c + art. 9.2.b/g).
Mitä pitää tallentaa
Ilmoittajansuojelulain täyttäminen vaatii:
- Ilmoituksen sisältö — väitteen kuvaus
- Ilmoituksen aika — milloin ilmoitus tehty (start kello 7 pv + 3 kk -muistutuksille)
- Käsittelyn tila — vastaanotettu / tutkinnassa / päätetty / ei aihetta
- Käsittelijän tunniste — kuka organisaatiossa käsitteli (vastuullisuus)
- Ilmoittajan referenssi — tapa jolla hän voi palata ilmoitukseensa (avain, ID)
- Kommunikaatio — vastaukset ilmoittajalle + hänen vastauksensa
- Lopputulos — mikä tutkinnan tulos oli
Tämä on kaikki. 5 vuotta.
Mitä ei saa tallentaa
Vaikka tekninen järjestelmä pystyisi, lain ja GDPR:n pitäisi estää sinua tallentamasta:
- IP-osoitetta ilmoituksen tekijältä — ei tarvita ilmoituksen käsittelyyn, vaan kostotoimien vektori
- Selain-tunnistetta (fingerprint) — sama riski
- Sähköpostiosoitetta jos ilmoittaja on jättänyt anonymisoimatta (poista ennen tallennusta)
- Henkilönnimiä jos ilmoittaja on vahingossa sisällyttänyt — muista jättää [tyhjäksi] tai käsitellä pseudonyymina
- Geolocation — ei koskaan, ei tarvita
- Puhelinnumeroa ilmoittajalta — hänen omaa tai mainittuja
- Kirjautumistietoja ilmoitusjärjestelmään — jos järjestelmä pyytää kirjautumista, se on jo virhe
Tarkistuskohta: Jos palveluntarjoajasi oletuskentät sisältävät jotain ylläolevista "valinnaisina", vaadi niiden poisto.
Rekisterinpitäjä vs. käsittelijä
Kun käytät SaaS-ilmoituskanavaa, roolit ovat:
- Rekisterinpitäjä: teidän yrityksenne (päätätte käsittelyn tarkoituksista ja keinoista)
- Käsittelijä: palveluntarjoaja (käsittelee dataa teidän puolestanne)
Tämä vaatii:
- Tietojenkäsittelysopimus (DPA) GDPR art. 28 mukainen
- Toimittajaluettelo teidän tietosuojaselosteeseen (jos siirrätte alihankkijalle)
- Schrems II -arviointi jos palveluntarjoaja on EU:n ulkopuolella tai käyttää EU:n ulkopuolisia alihankkijoita
Käytännön vinkki: Vaadi DPA ennen kuin allekirjoitat. Useimmat kelvolliset palveluntarjoajat julkaisevat oman DPA-pohjansa verkkosivuillaan.
Onko DPIA pakollinen?
Tietosuojavaltuutetun toimisto on listannut whistleblowing-kanavan käsittelyjen joukkoon, jotka todennäköisesti vaativat DPIA:n (Data Protection Impact Assessment).
Käytä DPIA-lomaketta kun:
- Yritys työllistää > 250 henkilöä
- Ilmoituskanava on ulkoistettu (käytetään käsittelijää)
- Käsitellään art. 9 erityiskategorioita (käytännössä aina whistleblowing:ssa)
DPIA:n runko:
- Käsittelytoiminnan kuvaus: ilmoittajansuojelulaissa säädetty ilmoituskanava
- Oikeusperuste: lakisääteinen velvoite + yleinen etu (art. 6.1.c + 9.2.g)
- Tarpeellisuusarviointi: käsiteltävä data on minimaalinen suhteessa tarkoitukseen
- Riskit rekisteröidylle: ilmoittajan paljastuminen → kostotoimet → työsuhteen tms. menetys
- Riskien lieventäminen: anonymiteetti by design, tekninen roolirajoitus, IP:n tallentamatta jättäminen, EU-datasijainti
- Jäljellä oleva riski: matala, kun edellä mainittu toteutettu
Tallenna DPIA dokumentiksi. Viranomaisen auditoidessa tämä osoittaa että olet arvioinut riskit.
5 vuotta retention vs GDPR minimointi — ratkaisu
Ristiriita purkautuu näin:
- Ilmoitusdata säilytetään 5 vuotta ilmoituksen käsittelyn päätymisestä (laki pakottaa tämän)
- Ei-tarpeellinen data ei tallennu ollenkaan (IP, fingerprint, jne. — ylläoleva kieltolista)
- 5v jälkeen automaattinen purge (GDPR vaatii tämän — "toistaiseksi säilytys" ei käy)
- Yksittäiset poistot aiemmin mahdolliset jos tutkinta päättyi ja käsittelyn aiheellisuus on poistunut
Näin molemmat lait toteutuvat: säilytys 5v koskee lain vaatimaa minimisisältöä, ei kaikkea mahdollista.
Rekisteröidyn oikeudet — mitä sovelletaan
Ilmoittaja on rekisteröity ja hänellä on GDPR-oikeudet:
- Art. 15 pääsy omaan dataan — täytyy tarjota (käytännössä: palautusavain + export)
- Art. 16 oikaisu — täytyy tarjota (ilmoittaja voi tarkentaa ilmoitusta)
- Art. 17 poisto — rajoitettu (5v retention-vaatimus estää, paitsi jos käsittely on päättynyt ja aiheellisuus poistunut)
- Art. 18 käsittelyn rajoittaminen — täytyy tarjota
- Art. 20 dataportabiliteetti — jos mahdollista annetussa muodossa
Ilmoituksen kohteena olevalla henkilöllä on myös oikeudet, mutta ilmoittajansuojelulaki rajoittaa niitä tutkinnan ajan (art. 14). Ei saa paljastaa ilmoittajaa oikeuden pääsyn kautta.
Tiivistys — kymmenen kohdan GDPR-checklist
| # | Tarkistus | Status |
|---|---|---|
| 1 | Oikeusperuste dokumentoitu (art. 6.1.c + 9.2.g) | ☐ |
| 2 | DPIA tehty ja tallennettu | ☐ |
| 3 | DPA palveluntarjoajan kanssa | ☐ |
| 4 | Toimittajaluettelo ajan tasalla | ☐ |
| 5 | IP + fingerprint ei tallennu | ☐ |
| 6 | Data EU-alueella | ☐ |
| 7 | 5v automaattinen purge toimii | ☐ |
| 8 | Ilmoittajalla pääsy omaan dataan | ☐ |
| 9 | Ilmoituksen kohteen oikeudet rajoitettu tutkinnan aikana | ☐ |
| 10 | Tietosuojaseloste päivitetty (mainitsee ilmoituskanavan) | ☐ |
Velton lähtökohta
Velto on rakennettu niin että tämä checklist on täytetty arkkitehtuurin tasolla — ei operatiivisesti. IP:tä ei ole koskaan tallennettu, data on eu-north-1-alueella, 5v retention-cron ajetaan joka viikko, ilmoittaja palautuu anonyymilla avaimella omiin tietoihinsa ja voi tehdä art. 15 -pyynnön itsenäisesti.
DPIA-pohja ja DPA ovat saatavilla pyynnöstä: veltotuki@gmail.com.
Aloita: velto.fi/ilmoittaja.
Saa uudet kirjoitukset sähköpostiin
Lyhyt viesti kun uusi blogi ilmestyy. Ei muuta — ei myyntiä, ei tarjouksia.
Voit perua tilauksen milloin tahansa yhdellä klikkauksella.
Lisää luettavaa
18. huhtikuuta 2026
Miten valita whistleblower-kanava — 8 tarkistuskohtaa ennen allekirjoitusta
Markkinoilla on kymmeniä ilmoituskanavia hintahaitarilla 0 €/kk → 800 €/kk. Ero ei ole hinnassa vaan arkkitehtuurissa. Näin tunnistat pintaratkaisut ja valitset kanavan joka oikeasti täyttää direktiivin vaatimukset.
18. huhtikuuta 2026
Ilmoitus saapui — mitä tehdä ensimmäisten 72 tunnin aikana
Whistleblowing-ilmoituksen käsittely alkaa ennen kuin luet sisältöä. Väärät ensi askeleet vuotaavat tutkinnan tai paljastavat ilmoittajan. Tässä 72 tunnin playbook ilmoituksen tullessa.
17. huhtikuuta 2026
Puhelinmyyjä soittaa kesken työpäivän — nopea vastaus ilman epäkohteliaisuutta
Olet palaverissä, työn alla keskittymistä vaativa tehtävä, tai ajat autoa. Myyjä ei tiedä mitään siitä. Yhden lauseen vastaus hoitaa tilanteen.