Lausunto arvopaperimarkkinalain muuttamisesta

Dnro 483/03/2016

7.3.2016

Viite

Valtiovarainministeriön lausuntopyyntö 15.02.2016

Lausunto

Valtiovarainministeriö pyysi lausuntoa 15.02.2016 esitysluonnoksesta koskien arvopaperimarkkinalain muuttamista. Esitän lausuntonani seuraavan:

1. Rikkomusten ilmoitusjärjestelmät henkilötietojen käsittelynä

Luonnoksessa esitetään arvopaperimarkkinalakiin (uusi 12 luvun 4 §) ja vakuutusyhtiölakiin (uusi 6 luvun 17 a §) sekä vakuutusedustuksesta annettuun lakiin (uusi 36 §) säännöksiä rikkomusten ilmoittamisesta. Perustelujen mukaan säännökset perustuvat markkinoiden väärinkäytösasetuksen (MAR) 32 artiklan 3 kohtaan. Säännösten mukaan työnantajilla, jotka harjoittavat kyseisissä laeissa tarkoitettua toimintaa, on oltava työntekijöilleen käytössä asianmukaiset sisäiset menettelyt, joilla he voivat ilmoittaa riippumattoman kanavan kautta finanssimarkkinoita koskevien säännösten ja määräysten vastaisesta epäillyistään. Tämän tyyppisestä järjestelystä on viime aikoina annettu säännöksiä luottolaitoslaissa (610/2014) 7 luku 6 § ja finanssivalvonnasta annetun laissa 71 a § (611/2014) tai niistä on annettu eduskunnalle esitys (HE 3/2016 vp) tai ollaan ehdottamassa tämän tyyppistä säännöstä (Rahanpesulain kokonaisuudistus).

Näitä järjestelyjä voidaan kutsua ns. whistle blowing -järjestelyiksi, joissa on ensisijaisesti pyritty säännöstasolla huolehtimaan riittävän suojatun jopa nimettömän viestintäkanavan ylläpitämisestä mahdollisia ilmoituksia varten. Suomessa ei näyttäisi olevan kansallisia erityissäännöksiä nimenomaan tällaisista whistle blowing -järjestelyistä vaan ilmiönä kyse on kantelun tai ilmiannon tyyppisistä vapaamuotoisista menettelytavoista sekä esitutkintalain tarkoittamasta rikosilmoituksesta. Tietosuojavaltuutetun toimiston oppaassa on pyritty soveltamaan henkilötietolakia ottaen huomioon artikla 29 työryhmän raportti wp 117 tilanteissa, joissa yhdysvaltalaista ns. Sarbanes-Oxley Actia on sovellettu myös Suomessa toimiviin yrityksiin.

Kun näitä järjestelmiä toteutetaan kansallisesti, on kyseessä ilmoittajan henkilötietojen suojasta, mutta mahdollisesti myös yksittäiseen ilmoitukseen sisältyvän henkilön tietosuojallisista oikeuksista. Mikäli ilmoitus koskee saman työnantajan palveluksessa olevaa työntekijää, on kysymys myös työelämän tietosuojalain (759/2014) alaan kuuluvasta henkilötietojen käsittelystä. Tämän perusteella henkilötietojen käsittelyyn ja suojaan liittyviä kysymyksiä on syytä tarkastella ilmoittajan ja ilmoituksen kohteen osalta erikseen.

Ensin kuitenkin tulisi selventää mikä on tällaisten tunnistettavia henkilöitä koskevien tietojen käsittelyn tarkoitus. Viime kätisenä tarkoituksena voidaan pitää HE 39/2014 s. 31 todetun mukaisesti sitä, että se lisäisi säännöksiä rikkovien kiinnijäämisriskiä, tehostaisi säännösten noudattamista ja niiden valvontaa sekä myös sisäistä riskienhallintaa.

2. Ilmoittajan asianmukainen ja riittävä suojaaminen

Työntekijöiden kannustaminen ilmoittamaan rikkomuksista on katsottu edellyttävän takeita siitä, että ilmoittajia suojataan asianmukaisesti kostotoimilta, syrjinnältä ja muun tyyppiseltä epäoikeudenmukaiselta kohtelulta. Lisäksi ilmoitusten luottamuksellisuus tulisi taata kaikissa tapauksissa, jollei ilmaisemista edellytetä kansallisessa lainsäädännössä myöhempien tutkimusten tai oikeuskäsittelyjen yhteydessä (HE 39/2014 s.56). Näiltä osin perustelut viittaisivat oikeudenmukaisen oikeudenkäynnin periaatteisiin ja todistajaoikeudellisiin vaatimuksiin, jossa lähtökohtana on todistajan kuuleminen tunnistettuna, jollei nykyisin voimassa olevia anonyymiä todistajaan koskevia säännöksiä (OK 17:33 §) voida soveltaa. Lisäksi voimassa on myös laki todistajansuojeluohjelmasta (88/2015), mikäli ilmoittajaan kohdistuu vakava henkeen tai terveyteen kohdistuva uhka.

Säännösehdotuksissa päähuomio kiinnittyy ilmoitusmenettelyyn. Säännösteksteissä keskeinen ilmoitusmenettelylle asetettava vaatimus on tällaisen käytännössä jonkinlaisen viestintäkanavan riippumattomuus. Kun ehdotus ei sisällä vaatimusta siitä, että ilmoituksia voisi tehdä nimettömästi, ei järjestely edellytä anonyymin viestinnän järjestelyjä kuten anonyymipalvelimien käyttöä. Kun oikein muutakaan merkitystä ei riippumattomalla kanavalla näyttäisi olevan, jää sen keskeiseksi vaatimukseksi viestin vastaanottajan sisäinen riippumattomuus. Perustelut antavat ymmärtää, että vastaanottaja voi olla oikeastaan kuka tahansa yrityksen sisällä ja riippumattoman tutkinnan ja järjestelmän joustavuuden varmistamiseksi vaihtoehtoisia vastaanottajia olisikin hyvä olla. Tämän perusteella järjestely voisi olla ohje tällaisten sähköpostiviestien sisäisestä jakelusta tai sisäisen abuse -osoitteen perustamista, jolloin tietysti joudutaan kysymään, miksi tällaisesta joudutaan säätämään erikseen. Eikö sisäinen tai ulkoinen riskinhallinta jo edellytä jonkinlaisen abuse -osoitteen ylläpitoa ?

Kun tarkoituksena on säännösten rikkomisen kiinnijäämisriskin lisääminen ei kyse ole vain kyseessä olevan yrityksen riskinhallinnasta vaan yleisestä yhteiskunnallisesta intressistä puuttua säännöksien vastaiseen ja mahdolliseen yleisesti vahingolliseen toimintaan. Yksittäinen työntekijä yrityksen sisällä ottaa riskin ilmoittaessaan väärinkäytöksistä, jotka ilmenevät yrityksessä vallitsevina käytäntöjä. Mikäli tällaiset käytännöt eivät ole yrityksen tai sen johdon tiedossa tai hyväksymiä, voi ilmoitus myös yhtiön sisäisesti tulla riippumattomasti selvitettyä. Muissa tapauksissa yksittäisellä ilmoittajalla tulisi olla sisäisen ilmoituskanavan lisäksi muita kanavia käytettävissä (esimerkiksi finanssivalvontaan tai poliisille) siten, että hän voisi arvioida omalta osaltaan vaihtoehdon, jonka ehdoilla hän on valmis tekemään ilmoituksen.

Se, miten eri vaihtoehdoissa kyetään tai pyritään ilmoittajaan suojaamaan direktiivin tarkoittamalta epäoikeudenmukaisilta kohtelulta, tulisi olla ilmoittajalla etukäteen selvillä. Henkilöllisyyden paljastumista ei aina voida välttää eikä se olisi useinkaan oikeudenmukaisen oikeudenkäynnin periaatteiden mukaan mahdollista.

3. Ilmoituksen kohteen tietosuojalliset oikeudet

Rikkomukset, joita tässä tarkoitetaan, eivät perustelujen mukaan rajaudu vain tässä väärinkäytösasetuksessa tarkoitettuihin rikkomuksiin vaan ilmoituskanavan välityksellä voisi epäillyistä rikkomuksista ilmoittaa laajemmaltikin. Tuntematta tarkemmin kyseessä olevien rikkomusten tunnusmerkkejä näyttää kuitenkin ilmeiseltä, että kyseessä voi olla myös rikoslaissa rangaistavaksi säädetyt teot tai kun rikkomusepäilyä ryhdytään selvittämään se voi laajentua törkeämpiin lainvastaisiin tekoihin.

Kun ilmoitukset voivat sisältää tiettyyn henkilöön kohdistuvia epäilyjä rikkomuksista tai rikoksista, ei kyse ole pelkästään tällaisten ilmoitusten vastaanottojärjestelmästä ja ilmoittajan suojaamisesta vaan mahdollisen ilmoituksen kohteen tietosuojallisista oikeuksista. Henkilötietolaista on ehdotukseen otettu säännökset, joiden perusteella nimenomaan ilmoituksen kohteena olevan henkilö henkilötietolain 26 §:ssä tarkoitettua tarkastusoikeutta on ehdotettu rajoitettavaksi siten, että hänellä olisi vain ns. välillinen tarkastusoikeus. Ehdotuksessa ei kuitenkaan ole otettu huomioon muita henkilötietolain vaatimuksia, joista tässä tapauksessa keskeisenä voidaan pitää tiedon virheettömyysvaatimusta, joka ilmenee henkilötietolain 9 §:n 2 momentista. Kyse on siitä, että rekisterinpitäjällä on näissä tilanteissa velvollisuus ryhtyä selvittämään ilmoituksissa väitettyjä epäilyjä eikä vain säilyttää näitä ilmoituksia. Perusteet tällaiselle vaatimukselle tulevat henkilötietolain em. virheettömyysvaatimuksesta, tällaisen säännöksen erityisestä tarkoituksesta (kiinnijäämisriskin lisääminen) ja viime kädessä oikeusvaltiollisesta syyttömyysolettamasta, jonka mukaan henkilöä on pidettävä syyttömänä, jollei hänen syyllisyytensä ole laillisesti näytetty toteen. Rekisterinpitäjän on mahdollisuuksiensa mukaan selvitettävä rikkomusepäilyjen perusteita ja ryhdyttävä ilmoitetun asian johdosta omiin lainvastaisia käytäntöjä korjaaviin toimenpiteisiin ja mahdollisiin työoikeudellisiin seuraamuksiin tai siirrettävä asia viranomaiselle, joka parhaiten kykenisi tällaiset epäilyt selvittämään ja tutkimaan.

Näissä sisäisissä selvitystoimissa on kuultava epäiltyä häneen kohdistuvista epäilyistä, jolloin hän tulee tietoiseksi näistä epäilyistä ja mahdollisesti niiden esittäjästä. Julkishallinnon puolella tähän menettelyyn, joka ei siis vielä ole esitutkintaa, voidaan soveltaa hallintolakia ja sen periaatteita ja tiedonsaantiin voidaan soveltaa julkisuuslain 11 §:ää poikkeuksineen. Elinkeinotoiminnassa tämän tyyppisiä sisäisen tutkinnan menettelysäännöksiä on lähinnä työturvallisuuslaissa, kun työntekijä tekee ilmoituksen häirinnästä tai muusta epäasiallista kohtelusta työpaikalla. Kyseisen kanavan kautta saapuneiden ilmoituksiin ja niiden selvittämissä hankittuihin henkilötietoihin voitaneen soveltaa henkilötietolain 26 §:n tarkastusoikeutta ottaen huomioon 27 §:n tapauskohtaiset rajoitukset.

Ilmoituksen kohteena olevan henkilön tietosuojallisten oikeuksien kannalta olennaista on siis se, että tällaiset ilmoitukset johtavat niiden selvittelyprosessiin, joka voi päätyä yrityksen sisäiseen tutkintaan, finanssivalvonnan tutkintaan tai esitutkintaa. Tällöin ei pitäisi jäädä mitään ilmoituksista muodostuvaa rekisteriä sellaisenaan vaan epäilyt olisivat tulleet joko vahvistettua tai kumottua.

Kyseessä ei mielestäni voi olla sellaisesta epäiltyjen tietojärjestelmästä, mistä on säädetty henkilötietojen käsittelystä poliisitoiminnassa annetun lain (761/2003) 4 §:ssä, johon rekisteröidyllä on ehdotuksessa mainittu välillinen tarkastusoikeus.

4. Ilmoitusten käsittelyn luottamuksellisuus

Direktiivissä edellytetään, että luottamuksellisuus suhteessa ilmoittajaan taataan kaikissa tapauksissa. Tämä mielestäni yhdessä mahdollisen ilmoituksen kohteen henkilötietojen suoja edellyttää, että ilmoitukset päätyvät sisäisesti käsiteltäväksi vain sellaiselle henkilölle tai yksikölle, joka olisivat riittävän itsenäinen asema ja tarpeelliset resurssit (esim. tiedonsaanti) suhteessa ilmoitetun asian luonteeseen tai taloudelliseen merkittävyyteen. Tämä voisi olla mielestäni mahdollista suuremmissa yrityksissä, mutta pienimmissä yrityksissä tällainen riippumaton sisäinen toiminto voi olla vaikeasti toteutettavissa, jolloin kyseessä voisi olla tällaisen toiminnon (sisäinen väärinkäytöstutkinta) ulkoistamisesta tilitarkastustoiminnan kaltaisesti tai ilmoituksen tekemisestä valvontaviranomaiselle (Finanssivalvonta) tai poliisille. Tällaisen sisäisen toiminnan luottamuksellisuutta voisi tukea vaitiolo- ja salassapitovelvollisuudella. Jotta salassapitovelvollisuus olisi tehokas, olisi se kohdistettava henkilöihin, jotka ovat vaitiolovelvollisia ja täsmentää yrityksen sisäistä salassapitoa siten, että sivullisia olisivat myös muut yrityksen työntekijät ja edustajat paitsi ne, joiden tehtäviin kuuluu näiden ilmoitusten vastaanotto ja niiden käsittely (ks. esim. työelämän tietosuojalain 759/2004 5 §:n 2 momentti).

Tietosuojavaltuutettu Reijo Aarnio

Ylitarkastaja Heikki Partanen

 
Julkaistu 12.4.2016