Tänään haluamme muistella menneitä: aikaa, jolloin eurooppalaiset organisaatiot löysivät itsensä tietosuojalakien viidakosta aina yrittäessään toteuttaa ilmiantojärjestelmää. Mielestämme tämä liittyy EU:n ilmiantajadirektiivin (EU 2019/1937) toimeenpanoon. Tämä ei ole varsinaisesti hyvä asia.
Olemme puhuneet tästä aiemminkin blogissamme: sen lisäksi, että jokaisen organisaation tulisi noudattaa ilmiantajadirektiiviä, niillä on myös toinen, erittäin tärkeä tavoite. Tämä tavoite liittyy etupainotteisen läpinäkyvyyden luomiseen ilmiantamisen keinoilla, jotta eettiset väärinkäytökset voidaan havaita mahdollisimman aikaisin. Vaikka tavoitteet vaikuttavat samankaltaisilta, ne ovat usein käytännössä ristiriidassa. Tämä johtuu pääasiassa siitä, että organisaatio käsittää ilmiantajalakien tiukan noudattamisen keinoksi luoda aikaista läpinäkyvyyttä ilmiantamisen kautta. Tämä johtaa lainopilliseen terminologiaan, monimutkaisiin virallisiin prosesseihin, poikkeuksiin ja monimutkaisiin soveltamisalan rajoituksiin. On sanomattakin selvää, että asia muuttuu entistä monimutkaisemmaksi kansainvälisessä toimintaympäristössä.
Tietosuojalait, vaatimustenmukaisuus ja ilmiantaminen ovat historiallisesti olleet häilyviä ja vaikeasti ymmärrettäviä käsitteitä. Yksi suurimmista syistä on se, että niissä on monia paikallisia poikkeuksia. Kun eurooppalaiset tietosuojalait edellyttävät jotakin, paikalliset ilmiantolait edellyttävät usein jotakin aivan muuta. Yritykset yrittävät noudattaa näitä lakeja parhaansa mukaan ja luoda samalla turvallisen ympäristön työntekijöilleen. Tämän blogikirjoituksen tarkoitus on painottaa jälkimmäistä: että emme unohtaisi sitä, keitä näiden lakien tarkoitus suojata, eli ihmisiä. Ihmisten tulisi olla aina etusijalla, kun suunnitellaan käytäntöjä ja noudatetaan lakien vaatimuksia.
Emme voi vähätellä sitä, että ennen EU:n yleisen tietosuoja-asetuksen (GDPR) voimaantuloa kansainvälisten yritysten oli miltei mahdotonta noudattaa tietosuojasäännöksiä täysimääräisesti ja toteuttaa samalla kansainvälistä ilmiantamisen ohjelmaa. Euroopan eri mailla oli eriäviä sääntöjä, mielipiteitä ja tulkintoja, eikä ollut yhtä kaikenkattavaa kehystä, joka olisi voinut toimia lähtökohtana. Vaikka GDPR:ssä ei mainita suoraan mitään ilmiantajajärjestelmään liittyvää, sen täytäntöönpano muutti asioita: yritykset voivat nyt nojautua enemmän GRPR:n ja sen periaatteiden varaan. Tämän myötä kansainvälisillä yrityksillä ei ollut enää niin pakottavaa tarvetta noudattaa kaikkia paikallisia poikkeuksia. Sen sijaan ne saivat paremmat valmiudet noudattaa tietosuojalakeja, ja ne pystyivät keskittyä terveen ja avoimen organisaatiokulttuurin luomiseen.
Tämä oli hyvä asia.
Siirrytään ajassa eteenpäin vuoteen 2019: EU:n ilmiantajadirektiivin säätämiseen. Sen myötä GDPR:n jälkeen syntynyt periaatteisiin nojaavaa asenne on joutunut ottamaan askeleen taaksepäin. Yksi direktiivin päätavoitteista on luoda toinen kaikenkattava lakikehys (joka liittyy tällä kertaa nimensä mukaisesti ilmiantamiseen), jota kaikkien kansainvälisten yritysten täytyy noudattaa. Teoriassa tämän pitäisi helpottaa vaatimusten noudattamista. Olemme kuitenkin huomanneet paljon paikallisen tason keskusteluita, jotka johtavat paikallisiin tulkintoihin ja poikkeuksiin (lue aiheesta lisää tästä artikkelista). Olemme nähneet merkkejä siitä, että kansainväliset organisaatiot ovat valmiita tinkimään siitä vakaasta, sisäisestä SpeakUp-turvaverkosta, jonka rakentamiseen ne käyttivät vuosia. Historia näyttää toistavan itseään.
Kummallisinta on, että kun ennen yritettiin löytää tasapaino tietosuojan ja läpinäkyvyyden välillä, tällä hetkellä ristiriita vaikuttaa olevan EU:n ilmiantajadirektiivin ja sisäisen SpeakUp-turvaverkon välillä. Näillä kahdella asialla on käytännössä sama tarkoitus: luoda etupainotteista läpinäkyvyyttä ilmiantamisen kautta, jolloin eettiset väärinkäytökset voidaan havaita mahdollisimman nopeasti. Meidän ei tule myöskään unohtaa kaikkein parasta tapaa suojella ilmiantajia: ilmiantamisen tarpeen ehkäiseminen alusta lähtien!
Teknisten seikkojen lisäksi haluamme käyttää tämän tilaisuuden ja painottaa sitä, minkä pitäisi mielestämme olla yritysten tärkein prioriteetti: ihmiset. Uskomme, että kaikkein tärkein osa terveen yrityskulttuurin luomista on turvallinen työympäristö, jossa kuka tahansa uskaltaa tehdä ilmiantoja. Lakien ja säännösten noudattaminen on tärkeää, mutta kannustamme nostamaan ihmiset käytännön asioiden yläpuolelle. On aivan liian helppoa unohtaa, mikä on tärkeää, kun yritetään noudattaa kaikkia paikallisten tietosuoja- ja ilmiantajalakien poikkeuksia. Tämä saattaa tarkoittaa, että unohdetaan ihmiset, joita varten nämä lait ovat laadittu. Työntekijöiden oikeuksien suojeleminen on loppujen lopuksi näiden lakien perimmäinen tarkoitus. On aina varmistettava, että työntekijät ovat etusijalla, kun suunnitellaan heitä suojelevia käytäntöjä. Yrityksen sisäinen läpinäkyvyys ja avoimuus ovat ensisijaisia, kun halutaan lopettaa väärinkäytökset ja luoda terve SpeakUp-toimintakulttuuri.
Kannustamme ottamaan kantaa! Lue aiheesta lisää tästä artikkelista.
Kiitos, että luit artikkelimme! Kerro meille, mitä ajatuksia se herätti.
Keskustele asiantuntijoidemme kanssa
Haluatko oppia lisää, keskustella ideoista tai jakaa näkemyksiä?