Lain tausta ja konteksti
Ilmoittajansuojelulaki (1171/2022) hyvaksyttiin eduskunnassa ja se tuli voimaan 1. tammikuuta 2023. Laki yhdenmukaistaa Suomen lainsaadannon Euroopan unionin ilmoittajansuojeludirektiivin (EU) 2019/1937 kanssa, joka velvoittaa kaikkia jasenvaltiota varmistamaan ilmoittajien tehokkaan suojelun.
Suomi nimesi ulkoisen ilmoituskanavan hallinnoijaksi Oikeuskanslerinviraston (Office of the Chancellor of Justice). Oikeuskanslerinvirasto vastaanottaa ilmoituksia tapauksissa, joissa henkilo ei halua tai ei voi kayttaa sisaista ilmoituskanavaa. Virasto arvioi ilmoitukset, valittaa ne tarvittaessa toimivaltaiselle viranomaiselle ja valvoo, ettei ilmoittajaa syrjita.
Lain tarkoituksena on luoda turvallinen ymparisto, jossa tyontekijat, yhteistyokumppanit ja muut henkilot voivat ilmoittaa rikkomuksista, jotka vahingoittavat yleista etua, pelkaamatta tyosuhteeseen liittyvia vastatoimia, irtisanomista tai muuta epaasiallista kohtelua. Ilmoittajansuojelulaki kattaa laajan joukon aihealueita, mukaan lukien julkiset hankinnat, rahoituspalvelut, rahanpesun torjunta, tuoteturvallisuus, ymparistonsuojelu, kuluttajansuoja, tietosuoja ja elintarviketurvallisuus. Lain soveltamisala on laaja ja vastaa EU-direktiivissa asetettuja vahimmaisvaatimuksia.
Important:
Ketka laki koskee
Private
Public
Keskeiset vaatimukset
Yritysten on perustettava sisainen ilmoituskanava, joka mahdollistaa rikkomuksista ilmoittamisen sekä kirjallisesti etta suullisesti. Kanavan on oltava turvallinen, luottamuksellinen ja kaikkien ilmoittamiseen oikeutettujen henkiloiden saavutettavissa.
Maaraajat ja aikataulu
| Action | Deadline |
|---|
Seuraamukset ja sanktiot
Ilmoittajan suojelu
Ilmoittajansuojelulaki kieltaa kaikenlaiset vastatoimet ilmoittajaa vastaan. Kiellettya on ilmoittajan irtisanominen, alentaminen, kurinpitotoimet, tyotehtavien muuttaminen, palkan alentaminen tai muu epaasianmukainen kohtelu, joka liittyy ilmoittamiseen.
Askeleet vaatimustenmukaisuuteen
Appoint a compliance officer or designated person
Designate an impartial individual or team to manage incoming reports. This can be an internal compliance officer, an ethics committee, or a member of senior management with no conflict of interest. Alternatively, the function may be outsourced to a qualified external provider such as a law firm or compliance consultancy. The key requirement is independence — the designated person must be able to act without interference from the subjects of reports.
Choose your reporting platform
The directive requires channels for both written and oral reporting. A secure, web-based platform such as WhistleBox satisfies both requirements by offering encrypted form submission and secure messaging capabilities. The platform must guarantee end-to-end encryption, GDPR-compliant data processing, confidentiality of the reporter's identity, and — ideally — anonymous reporting with bidirectional communication so that follow-up questions can be asked without compromising anonymity.
Configure your reporting channel
Customise the platform with your organisation's branding, define reporting categories aligned with your specific risk areas (fraud, corruption, health and safety, environmental violations, data breaches, etc.), and configure automated acknowledgment messages, feedback templates, and escalation rules. With WhistleBox, the entire configuration process takes under 5 minutes and requires no IT department involvement.
Inform all employees and relevant stakeholders
Distribute the reporting channel link and instructions via company-wide email, the corporate intranet, physical posters in common areas, onboarding materials for new hires, and any relevant supplier or contractor portals. The directive explicitly requires that information about how to make an internal report be provided in a clear, easily accessible manner. Consider including the information in employment contracts and staff handbooks.
Adopt and publish internal procedures
Draft and formally approve an internal whistleblowing procedure that covers: how reports are received and logged, the triage and initial assessment process, investigation methodology and standards, response timelines aligned with legal deadlines, confidentiality protocols and data-access restrictions, escalation paths for serious or complex matters, and provisions for external reporting to competent authorities when required. This document should be reviewed by legal counsel and made available to all employees.
Monitor deadlines, maintain records, and iterate
Actively track all legally mandated deadlines: the 7-day acknowledgment window and the 3-month feedback deadline for every report received. Maintain the report register securely for a minimum of 5 years, ensuring that access is restricted to authorised personnel. Conduct periodic reviews of your reporting channel's effectiveness, update procedures as legislation evolves, and report aggregated statistics to senior management or the board. WhistleBox automates deadline monitoring, record-keeping, and audit-trail generation, ensuring your organisation is always inspection-ready.
Miten Whistlebox auttaa vaatimustenmukaisuudessa
Whistlebox tarjoaa turvallisen ja kayttajaystavallisen ilmoituskanavaratkaisun, joka tayttaa taysin Suomen ilmoittajansuojelulain vaatimukset. Alustamme varmistaa ilmoittajan luottamuksellisuuden, mahdollistaa anonyymin ilmoittamisen ja hallinnoi koko ilmoituksen elinkaaren vastaanottamisesta ratkaisuun.