Henkilötietojen käsittely perustuu Euroopan parlamentin ja neuvoston direktiiviin (EU) 2019/1937 unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (whistleblowing-direktiivi). Rekisteriin tallennettavien henkilötietojen käsittelyn tarkoituksena on saada tietoa organisaatiossa ja työyhteisössä epäillystä mahdollisesta väärinkäytöksestä tai epäasiallisesta toiminnasta näiden korjaamiseksi, estämiseksi ja oikaisemiseksi.
Ilmoitettuja henkilötietoja käsitellään whistleblowing-ilmoituksen käsittelemisen edellyttämässä laajuudessa ja vain tätä menettelyä varten. Henkilötietojen käsittelyn oikeusperusteena on rekisterinpitäjän lakisääteisten velvoitteiden noudattaminen ja ilmoittajan ilmoituksen tekemisen yhteydessä antama suostumus. Henkilötietoja kerätään vain organisaation whistleblowing-ilmoituskanavaan syötetyistä tiedoista. BIMU Oy ja Mäntylä E&E Ky ei tallenna tai kerää mitään henkilötietoja.
Ilmoittajan whistleblowing-kanavaan (Easywhistle) lähettämät henkilötiedot tallentuvat whistleblowing- järjestelmään ja niitä säilytetään siellä vain tarpeellisen ajan ilmoitusten käsittelemiseksi ja mahdollisia jälkitoimia varten.
Jos ilmoituksessa on annettu asian selvittämisen kannalta epäolennaisia tai ylimääräisiä tietoja, tällaiset tiedot poistetaan.
Seuraavia henkilötietoja voidaan tallentaa:
- ilmoittajan nimi ja henkilötiedot, mikäli ilmoittaja on ne antanut
- ilmoituksessa annetut tiedot ilmoituksen kohteesta ja tämän väitetystä väärinkäytöksestä tai epäasiallisesta toiminnasta
- muut ilmoituksessa annetut tiedot
- väitettyä väärinkäytöstä selvitettäessä syntyvät ja kerättävät tarvittavat tiedot, kuten tiedot työsuhteesta, taloustiedot, kirjautumis- ja käytöstiedot sekä kolmannen osapuolen raporteista ja arvioinneista ilmenevät tiedot
Ilmoittaja voi tehdä ilmoituksen myös anonyymisti.
Seuraavia teknisiä tietoja voidaan tallentaa ainoastaan yrityksen valtuuttamilta käyttäjiltä:
- lokitiedot
- verkkotunnistetiedot
- ilmoituksen tekijän tietoja ei kerätä eikä tallenneta, ellei ilmoittaja ole niitä erikseen ilmoittanut ilmoituslomakkeella.
Tietojen säilytysaika on luontihetkestä viisi vuotta suljettuna ilmoituksena piilotetussa arkistossa, josta ne ovat saatavilla vain Easywhistle:ltä erikseen pyydettäessä. Henkilötiedot voidaan poistaa tiedoista anonymisointityökalulla, jonka jälkeen niitä ei ole enää nähtävissä tai saatavissa edes palauttamalla. Rekisterissä olevia tietoja voidaan säilyttää niin kauan kuin niitä tarvitaan siihen tarkoitukseen, jota varten ne on kerätty ja käsitelty, tai niin kauan kuin laki ja säännökset edellyttävät. Tiedot poistetaan, kun niitä ei enää tarvita. Tiedot säilytetään kuitenkin niin kauan kuin ne ovat esimerkiksi oikeuskäsittelyn kannalta tarpeellisia ja muutoksenhakumahdollisuuksia ei enää ole. Tiedot hävitetään tietoturvallisesti niiden käsittelytarpeen päätyttyä. Henkilötiedot anonymisoidaan heti, kun tietoja ei ole tarpeen säilyttää käsittelyn tai tutkintaprosessin kannalta. Raportit anonymisoidaan. Järjestelmä hävittää automaattisesti viisi vuotta suljettuna olleet ilmoitukset.