Sähköpostin käsittely - SecMeter

Sisältöön

Sähköpostin käsittely

Yritysturvallisuus > Yksityisyyden suoja
Vuonna 2004 tuli voimaan sähköisen viestinnän tietosuojaa ja tietoturvaa koskeva sähköisen viestinnän tietosuojalaki (16.6.2004/516).

Lain tarkoituksena oli taata sähköisen viestinnän luottamuksellisuus ja yksityisyyden suoja sekä parantaa sähköisten palveluiden kehittämistä. Laki koski teleyrityksiä, yhteisötilaajia, sisältö- ja lisäarvopalveluiden tarjoajia sekä sähköisten palveluiden ostajia ja myyjiä.

Sähköisen viestinnän tietosuojalakia sovellettiin yleiseen viestintäverkkoon liitettyihin palveluihin, kuten yrityksen omalle henkilöstölleen tarjoamiin web- ja sähköpostipalveluihin.

Yleisellä viestintäverkolla (julkinen verkko) tarkoitetaan viestintäverkkoa, jota tarjotaan etukäteen rajaamattomalle käyttäjäpiirille (esimerkiksi internet).

Lopulta koettiin ongelmaksi, että sähköistä viestintää koskevia säännöksiä oli monissa eri laeissa. Liikenne- ja viestintäministeriö ryhtyi valmistelemaan tietoyhteiskuntakaarta syyskuussa 2011, johon oli tarkoitus koota kaikki keskeiset sähköistä viestintää koskevat kansalliset säädökset.

Hallitus antoi tammikuussa 2014 eduskunnalle lakiesityksen tietoyhteiskuntakaaresta. Tietoyhteiskuntakaari (917/2014) hyväksyttiin lokakuussa 2014, ja astui pääosin voimaan vuoden 2015 alussa. Samalla hetkellä poistuivat ns. Lex Nokia säännökset.

Yksityisyyden suojaa koskeva sääntely ja tietoturvan varmistaminen laajentuivat koskemaan teleoperaattoreiden lisäksi kaikkia viestinnän välittäjiä. Keskeinen terminologiamuutos koski käsitettä välitystietoa, joka vaihtui uudistuksen myötä välitystiedoksi.

Sähköisen viestinnän tietosuojarikkomuksesta on säädetty sakkorangaistus, jollei teosta muualla laissa säädetä ankarampaa rangaistusta. Rangaistusta ei kuitenkaan tuomita, jos rikkomus on vähäinen.

Yritykset ovat käsitelleet työntekijöiden sähköpostien tunnistetietoja ja viestien sisältöjä luvattomasti
Tietosuojavaltuutettu Reijo Aarnion mukaan työnantajat syyllistyvät silloin tällöin sähköpostien välitystietojen ja jopa viestien sisältöjen käsittelyyn ilman laillisia oikeuksia.

Tietoyhteiskuntakaari (917/2014 18 luku 154 §) edellyttää, että yritys tekee tietoverkon välitystietojen käsittelyn aloittamisesta ennakkoilmoituksen tietosuojavaltuutetulle sekä vuosittain selvityksen välitystietojen manuaalisesta käsittelystä.

Tuomioistuimet ja syyttäjät pyytävät vuosittain tietosuojanvaltuutetulta noin kymmenen lausuntoa sähköpostitietojen urkkimisista. Kansalaisten yhteydenottoja sen sijaan tulee runsaasti. Lähde: (mtv3.fi 24.10.2011)

Sähköpostin ja tietoverkon käytön periaatteiden käsittely kuuluu yhteistoimintamenettelyn piiriin. Yhteistoimintamenettelyn perusteella työantajan on tiedotettava työntekijöille sähköpostin ja tietoverkon käytöstä (YksTL 18-20 §, YTL 19 § 4 kohta).

Laki ei ota kantaa siihen, onko työntekijällä oikeus käyttää työnantajan julkiseen verkkoon liitettyä sähköpostijärjestelmää yksityisluonteiseen viestintään. Työnantajan sähköpostitilin kohtuullinen käyttö asiallisiin yksityisiin tarkoituksiin on organisaatioissa yleensä sallittu, koska yksityiselämän tarpeiden joustava huomiointi nähdään myös työn tehokkuuden edistäjänä. Yritykset suosittelevat yksityisten sähköpostiviestien välittämiseen usein omaa yksityistä sähköpostiosoitetta.

Vaikka työnantaja olisikin kieltänyt sähköpostin käytön yksityiseen viestintään, se ei oikeuta työnantajaa lukemaan työntekijän viestejä. Organisaatiolla on lain mukaan velvollisuus huolehtia siitä, että työntekijän lähettämien ja vastaanottamien sähköpostiviestien viestintäsalaisuuden suoja toteutuu.

Säännösten mukaan sähköpostiviestin voi avata ja lukea toinen henkilö työntekijän suostumuksella työpaikalla sovittujen pelisääntöjen mukaan. Tämä edellyttää, että työntekijä luovuttaa käyttäjätunnuksensa ja salasanansa sille, jolle suostumuksensa antaa. Suostumusta toisen henkilön toimesta tapahtuvaan sähköpostiviestinnän avaamiseen on käytettävä ainoastaan erityistilanteissa.

Jos työnantaja haluaa käyttää valtuuksiaan työntekijöiden sähköpostiviestien suhteen, on työnantajan tätä ennen suunniteltava ja tarjottava työntekijöiden käyttöön muita mahdollisuuksia, joita käyttämällä työnantajalle ei synny tarvetta kajota työntekijöiden sähköpostiviesteihin.


ENSISIJAISET TOIMENPITEET

  1. Asiakasrajapinnoissa käytetään ensisijaisesti osastojen tai työryhmien käyttöön perustettuja yhteispostilaatikoita.
  2. Hyödynnetään sähköpostijärjestelmään sisältyvää toiminnollisuutta, joka palauttaa viestin lähettäjälle automaattisen ilmoituksen työntekijän poissaolosta ja sijaisesta (esimerkiksi Outlook ulkonatila).
  3. Käytetään mahdollisuutta, että henkilön poissaolon ajan viestit ohjataan toiselle henkilölle.

      Outlook ulkonatilan aktivointi muun kuin sähköpostitilin haltijan toimesta on mahdollista vain erillisellä suostumuksella. Esimiehellä on oikeus määritellä ulkonatilan viestin sisältö.

      Viestissä ei saa ilmetä arkaluonteisia tietoja poissaolon syystä esim. tietoa asianomaisen sairastumisesta. Poissaoloajan voi viestiin merkitä, jos se on tiedossa. Suostumuksen antaja poistaa itse ulkona tilan töihin palattuaan.

      Ellei työntekijä käytä edellä tarjottuja mahdollisuuksia, on työnantaja tietyin edellytyksin oikeutettu omatoimisesti selvittämään, onko työntekijälle hänen poissa ollessa lähetetty tai onko hän välittömästi ennen poissaoloaan lähettänyt työnantajalle kuuluvia viestejä, joista työnantajan on välttämätöntä saada tieto esimerkiksi asiakkaiden palvelemiseksi tai toimintojensa turvaamiseksi.

      Arviointi siitä, kuuluuko viesti työnantajalle, tapahtuu viestin lähettäjän välitystietojen tai sähköpostiviestin otsikkokentässä ilmenevien tietojen perusteella. Viesti voidaan avata, jos on ilmeistä, että se koskee työnantajalle kuuluvaa asiaa.

      Viestin avaukseen työnantaja voi ryhtyä vasta sen jälkeen, kun on ensin tuloksettomasti yritetty tavoittaa viestin lähettäjää tai vastaanottajaa viestin sisällön selvittämiseksi tai viestin saamiseksi työnantajan osoittamaan toiseen sähköpostiosoitteeseen.

      ASIAKASSUHTEITTEN HOITO EI OIKEUTA SÄHKÖPOSTIVIESTIEN AVAAMISEEN
      Puhelinmyyntiyhtiön toimitusjohtaja ja myyntijohtaja lukivat lomautetun myyntipäällikön sähköposteja kesällä 2009. Ensisijainen syyte viestintäsalaisuuden loukkauksesta ei menestynyt, koska näyttö urkkimistarkoituksesta ja lomautetun myyntipäällikön äidin lähettämän viestin lukemisesta jäi puuttumaan. Viestintäsalaisuuden loukkauksen sijaan yhtiössä rikottiin työntekijän yksityisyyden suojaa.

      Hyvinkään käräjäoikeuden mukaan yhtiön olisi pitänyt yrittää viestien avaamista lomautetun myyntipäällikön toimesta tai ohjaamalla sähköpostit toiselle henkilölle. Virhe tapahtui, kun myyntijohtaja käänsi järjestelmän pääkäyttäjän roolissa sähköpostit itselleen.

      Toimitusjohtaja ja myyntijohtaja joutuvat kumpikin maksamaan 25 päiväsakkoa. Myyntipäällikkö sai kärsimyksistä sadan euron korvauksen. Lähteet: (aamulehti.fi 31.1.2011, hs.fi 31.1.2011, iltalehti.fi 31.1.2011)

      Sääntö nro 2
      Valvontaa ei voi korvata luottamuksella.

      Sääntö nro 3
      Riittävän isolla vasaralla voi rikkoa mitä tahansa.

      Sääntö nro 4
      Jonkun pitää aina johtaa.


      Sääntö nro 5
      Delegoimalla ei voi välttää vastuuta.

      Sääntö nro 1
      Yritysturvallisuuden on palveltava toimintojen tavoitteita.
      Takaisin sisältöön