Mikä on ilmoittajansuojelu?

Ilmoittajansuojelu on EU:n lainsäädäntöön perustuva järjestelmä, joka suojaa väärinkäytöksistä ilmoittavia henkilöitä vastatoimilta. Suomessa ilmoittajansuojelulaki (1171/2022) tuli voimaan 1.1.2023.

Onko ilmoituskanava pakollinen?

Kyllä, jos organisaatiossa on vähintään 50 työntekijää, kunnassa yli 10 000 asukasta, tai organisaatio on julkisen sektorin toimija tai rahoitusalalla.

Paljonko ilmoituskanava maksaa?

Ilmoittajansuojelu.fi maksaa 29 €/kk + alv vuositilauksella. Ensimmäinen vuosi on ilmainen kaikille. Alle 50 hengen organisaatioille palvelu on pysyvästi maksuton.

Mitkä ovat lakisääteiset määräajat?

Ilmoituksen vastaanotto on kuitattava 7 päivän kuluessa ja palaute toimenpiteistä annettava 3 kuukauden kuluessa.

Onko ilmoittaminen anonyymiä?

Kyllä. Ilmoittajansuojelu.fi ei tallenna IP-osoitteita, laitetietoja tai muita tunnistetietoja. Kaikki ilmoitukset salataan AES-256-salauksella.

Tietojenkäsittelysopimus (DPA)

EU:n yleisen tietosuoja-asetuksen (2016/679) 28 artiklan mukainen sopimus rekisterinpitäjän ja käsittelijän välillä.

Voimassa: 26.4.2026 alkaen · Versio 1.0

Tietoa tästä sopimuksesta

Tämä on Nordweb Oy:n vakiopohja tietojenkäsittelysopimukselle, joka tulee automaattisesti voimaan jokaisen palvelun tilaajan ja Nordwebin välillä käyttöehtojen hyväksymisen yhteydessä. Asiakas voi pyytää erillistä allekirjoitettua versiota osoitteesta info@ilmoittajansuojelu.fi.

1. Sopijapuolet

Käsittelijä:Nordweb Oy (Y-tunnus: 2412683-9), Turku, Suomi ("Nordweb", "käsittelijä").

Rekisterinpitäjä:Asiakas, joka on tilannut Ilmoittajansuojelu.fi-palvelun Nordwebiltä ja hyväksynyt nämä ehdot rekisteröitymisen yhteydessä ("asiakas", "rekisterinpitäjä").

2. Sopimuksen tarkoitus

Tämä tietojenkäsittelysopimus sääntelee Nordwebin asiakkaan lukuun tapahtuvaa henkilötietojen käsittelyä, kun asiakas käyttää Ilmoittajansuojelu.fi-palvelua sisäisenä ilmoituskanavanaan.

Sopimus täydentää käyttöehtoja ja noudattaa EU:n yleisen tietosuoja-asetuksen (GDPR) 28 artiklan vaatimuksia.

3. Käsittelyn kuvaus

Käsittelyn kohde: Asiakkaan sisäisen ilmoituskanavan kautta tehdyt ilmoitukset, niiden viestit ja liitteet sekä asiakkaan käyttäjätiedot.

Käsittelyn kesto: Sopimussuhteen voimassaoloaika sekä lain edellyttämä säilytysaika.

Käsittelyn luonne: Sähköinen tallennus, näyttö, salaus, varmuuskopiointi, automaattinen poisto säilytysajan päättyessä.

Käsittelyn tarkoitus: Ilmoittajansuojelulain (1171/2022) ja EU-direktiivin 2019/1937 mukaisen sisäisen ilmoituskanavan tarjoaminen.

Henkilötietojen tyypit:

Käsittelijöiden ja ylläpitäjien yksilöintitiedot (nimi, sähköposti, rooli, kieli)
Ilmoitusten sisältö, joka voi sisältää henkilötietoja kolmansista osapuolista
Ilmoituksiin liitetyt tiedostot
Käsittelijöiden ja ilmoittajien välinen viestintä
Audit-lokitiedot käsittelytapahtumista

Rekisteröidyt: Asiakkaan käsittelijät ja ylläpitäjät, ilmoittajat ja ilmoituksissa mainitut henkilöt.

4. Käsittelijän velvollisuudet

4.1 Ohjeiden mukainen käsittely

Nordweb käsittelee henkilötietoja vain asiakkaan dokumentoitujen ohjeiden mukaisesti. Käyttöehdot, palvelun käyttöliittymä sekä tämä sopimus muodostavat asiakkaan ohjeistuksen. Mahdollisista lakisääteisistä siirtovelvollisuuksista Nordweb ilmoittaa asiakkaalle ennen siirtoa, ellei laki sitä kiellä.

4.2 Salassapito

Nordweb varmistaa, että henkilötietoja käsittelevät vain henkilöstön jäsenet, jotka ovat sitoutuneet salassapitoon tai joita koskee asianmukainen lakisääteinen salassapitovelvoite. Pääsy on rajattu vain niihin, joille se on välttämätöntä tehtäviensä hoitamiseksi.

4.3 Tekniset ja organisatoriset suojatoimet

Nordweb toteuttaa tietosuoja-asetuksen 32 artiklan mukaiset asianmukaiset turvatoimet, joihin sisältyvät:

Ilmoitusten sisällön (otsikko, kuvaus, viestit, liitteet) salaus levyllä AES-256-CBC -algoritmilla
Tiedonsiirron salaus TLS-yhteydellä ja HSTS-pakotteella
Salasanojen tallennus bcrypt-tiivisteenä (cost 12)
Pääsynhallinta rooliperustaisesti ja organisaatiokohtaisella eristyksellä
Liitetiedostojen metatietojen automaattinen poisto (EXIF, PDF/Office)
Ilmoittajan IP-osoitteen ja päätelaiteinformaation poisto sovellustasolla sekä palvelinlokeista
Hash-ketjulla varmistettu muuttumaton audit-loki kaikista käsittelytapahtumista
Säännöllinen turvallisuuspäivitysten asennus
Eriytetty tuotanto- ja ylläpitoympäristö
Pääsynhallinta- ja kirjautumislokitus

4.4 Alikäsittelijät

Asiakas antaa yleisen suostumuksen seuraavien alikäsittelijöiden käytölle:

Hosting-palveluntarjoaja (Suomi/EU): palvelimen ylläpito ja datacentter-palvelut
Sähköpostipalvelun tarjoaja (Suomi/EU): ilmoitusviestien lähetys
Tilitoimisto ja kirjanpitokumppani (Suomi): laskutuksen tekninen tukitoiminto

Nordweb varmistaa, että jokainen alikäsittelijä on sitoutunut vastaaviin tietosuojavelvoitteisiin kuin tässä sopimuksessa on määritelty. Päivitetty lista alikäsittelijöistä on saatavilla pyynnöstä osoitteesta info@ilmoittajansuojelu.fi.

Uusien alikäsittelijöiden lisäämisestä Nordweb ilmoittaa asiakkaalle vähintään 30 päivää etukäteen sähköpostitse. Asiakkaalla on oikeus vastustaa muutosta perustellusta syystä. Jos osapuolet eivät pääse sopuun, asiakkaalla on oikeus irtisanoa sopimus.

4.5 Avustaminen rekisteröidyn oikeuksissa

Nordweb avustaa asiakasta asianmukaisin teknisin ja organisatorisin toimin vastaamaan rekisteröityjen pyyntöihin (pääsy, oikaisu, poisto, käsittelyn rajoitus, tietojen siirto, vastustus). Asiakas hallinnoi pyynnöt ensisijaisesti itse palvelun käyttöliittymän kautta.

4.6 Tietoturvaloukkauksen ilmoitus

Nordweb ilmoittaa asiakkaalle ilman aiheetonta viivytystä ja viimeistään 72 tunnin kuluessa siitä, kun se on saanut tiedon henkilötietojen tietoturvaloukkauksesta. Ilmoitus sisältää tiedot loukkauksen luonteesta, vaikutusten arvioinnista sekä toteutetuista ja suunnitelluista toimenpiteistä.

Asiakas vastaa rekisteröityjen ja tietosuojavaltuutetun informoinnista rekisterinpitäjän ominaisuudessaan.

4.7 Avustaminen vaikutustenarvioinnissa

Nordweb avustaa asiakasta tietosuojaa koskevan vaikutustenarvioinnin (DPIA, 35 artikla) sekä mahdollisen ennakkokuulemisen (36 artikla) suorittamisessa toimittamalla pyynnöstä riittävät tiedot palvelun käsittelyn luonteesta ja turvatoimista.

4.8 Tietojen palautus tai poisto sopimuksen päättyessä

Sopimuksen päättyessä asiakas voi pyytää tietojen palautusta vakiomuotoisena vientinä 30 päivän kuluessa päättymisestä. Tämän jälkeen Nordweb poistaa kaikki asiakkaan henkilötiedot järjestelmistään, paitsi jos lainsäädäntö edellyttää säilytystä. Varmuuskopioista tiedot poistuvat varmuuskopioiden rotaation mukaisesti, viimeistään 90 päivän kuluessa.

4.9 Auditointioikeus

Nordweb antaa asiakkaalle pyynnöstä tarvittavat tiedot, joilla osoitetaan tietosuojavelvoitteiden noudattaminen. Asiakas voi suorittaa kohtuullisin ehdoin auditointeja kerran vuodessa omalla kustannuksellaan tai kohtuullisia kustannuksia vastaan. Auditointi on aikataulutettava etukäteen, eikä saa vaarantaa palvelun toimintaa tai muiden asiakkaiden tietoja.

5. Tietojen siirto EU/ETA-alueen ulkopuolelle

Henkilötiedot säilytetään EU/ETA-alueella (Suomi). Yritystiedon automaattihaku rekisteröitymislomakkeessa hyödyntää Anthropic, PBC -palvelua (USA), mutta sille lähetetään ainoastaan julkinen yritysnimi URL-tunnuksen ehdottamiseksi. Henkilötietoja tai ilmoitusten sisältöä ei siirretä EU/ETA-alueen ulkopuolelle.

Mahdolliset siirrot perustuvat EU:n komission hyväksymiin vakiolausekkeisiin (Standard Contractual Clauses).

6. Rekisterinpitäjän velvollisuudet

Asiakas vastaa siitä, että henkilötietojen käsittelyllä on lainmukainen peruste, ja että rekisteröidyille on tiedotettu käsittelystä asianmukaisesti (oma tietosuojaseloste).

Asiakas vastaa käsittelijöiden nimeämisestä ja heidän toimintansa valvonnasta sekä huolehtii salassapitovelvoitteesta käsittelijöidensä kanssa.

Asiakas vastaa antamiensa ohjeiden lainmukaisuudesta. Nordweb ilmoittaa viipymättä, jos sen mielestä asiakkaan ohje rikkoo tietosuojalainsäädäntöä.

7. Vastuu ja korvausvelvollisuus

Osapuolten välisessä suhteessa kumpikin vastaa omista tietosuojarikkomuksistaan. Mahdollinen yhteisvastuu rekisteröityyn nähden määräytyy GDPR 82 artiklan mukaan. Vahingonkorvausvastuun rajoituksiin sovelletaan käyttöehtojen vastaavia ehtoja.

8. Sopimuksen voimassaolo ja irtisanominen

Tämä sopimus on voimassa niin kauan kuin Nordweb käsittelee henkilötietoja asiakkaan lukuun. Sopimuksen päättyessä noudatetaan kohtaa 4.8.

9. Sovellettava laki ja erimielisyydet

Tähän sopimukseen sovelletaan Suomen lakia. Erimielisyydet ratkaistaan ensisijaisesti neuvottelemalla; muussa tapauksessa Varsinais-Suomen käräjäoikeudessa.

10. Yhteystiedot

Tietosuojaa koskevat tiedustelut: info@ilmoittajansuojelu.fi
Nordweb Oy, Turku · Y-tunnus: 2412683-9

Käyttöehdot Tietosuojaseloste Yhteystiedot