Arbetstagarens rättigheter och integritetsskydd

På denna sida behandlar vi arbetstagarens rättigheter i arbetsförhållandet, i synnerhet ur integritetsskyddets perspektiv. När arbetsgivaren och arbetstagaren har en tydlig uppfattning om de olika rättigheterna och skyldigheterna, skapas en bra grund för samverkan.

Arbetstagarens grundläggande rättigheter och integritetsskydd gäller parallellt med arbetsgivarens rättigheter. Arbetsgivarens rättigheter upphäver inte de grundläggande fri- och rättigheterna, till exempel rätten till hemlig korrespondens eller integritetsskyddet i anknytning till databehandling.

Telefonrådgivning för medlemmar i juridiska frågor

Rådgivning

Kostnadsfri juridisk rådgivning och experthjälp som medlemstjänst
Vardagar kl. 8–18

E-post i arbetslivet

Arbetsplatsens e-post omfattas av samma lagstadgade skydd som ett brev.

E-postadressen som arbetsgivaren ställer till arbetstagarens förfogande är ett arbetsredskap, och arbetsgivaren kan förutsätta att den används endast för arbetsuppgifter. Trots detta omfattas arbetsplatsens e-post av samma grundlagsenliga skydd som ett brev.

Arbetsgivaren har inte rätt att utan särskilt skäl ta del av innehållet i arbetstagarens e-postmeddelanden. Lagen om integritetsskydd i arbetslivet definierar sådana särskilda grunder som ger arbetsgivaren rätt att ta reda på innehållet i arbetstagarens e-postmeddelanden i arbetstagarens frånvaro.

Paragraferna 19 och 20 i lagen om integritetsskydd i arbetslivet föreskriver vilka de särskilda grunderna är som ger arbetsgivaren rätt att hämta och läsa arbetstagarens e-postmeddelanden som hör till arbetsgivaren. Därtill är förutsättningen för att arbetsgivaren kan hämta och läsa meddelandena att arbetsgivaren först fyller omsorgsplikten enligt 18 § i lagen om integritetsskydd i arbetslivet.

Ifall arbetstagaren är frånvarande eller under en längre tid förhindrad att komma till arbetsplatsen, ska arbetsgivaren erbjuda arbetstagaren en eller fler av följande alternativ innan han hämtar eller öppnar meddelanden som anlänt till eller skickats från arbetstagarens e-post:

Omsorgsplikt 1

Arbetstagaren kan med hjälp av den automatiska svarsfunktionen skicka avsändaren en anmälan om sin frånvaro och om hur länge frånvaron fortgår samt information om den person som sköter uppgifter som hör till den frånvarande arbetstagaren (out of office/frånvaromeddelande).
Arbetstagaren kan styra meddelandena till en annan av arbetsgivaren för denna uppgift godkänd person eller till en annan av arbetsgivaren godkänd adress i arbetstagarens eget bruk.

Omsorgsplikt 2

Arbetstagaren kan ge sitt samtycke till att någon annan person i hans eller hennes frånvaro kan ta emot meddelanden som skickats till arbetstagaren för att reda ut om det meddelande som skickats till arbetstagaren klart är avsett för arbetsgivaren för utförande av arbetsuppgifter och som arbetsgivaren för att kunna ordna verksamheten eller arbetsuppgifterna på ett ändamålsenligt sätt måste få vetskap om.

Omsorgsplikt 3

Omsorgsplikten uppfylls när arbetsgivaren erbjuder arbetstagaren något av alternativen. För att arbetsgivaren ska kunna hämta och öppna meddelandena förutsätts det alltså inte att arbetstagaren har tagit i bruk någon omsorgsplikt. Arbetstagaren kan också erbjudas mer än ett av de ovannämnda alternativen.

När arbetsgivaren har sörjt för omsorgsplikten har han rätt att hämta meddelanden som hör till honom i arbetstagarens e-post då arbetstagaren tillfälligt är förhindrad att utföra sina arbetsuppgifter och arbetsgivaren inte genom omsorgsplikten får tillgång till de meddelanden som hör till denna. Sjukledighet och semester är exempel på sådana situationer.

Hämtningen av e-postmeddelanden sker med hjälp av den person som är auktoriserad att fungera som systemadministratör.

Hämtningen av e-postmeddelanden betyder att arbetsgivaren har på basis av uppgifter om meddelandets avsändare, mottagare eller rubrik rätt att ta reda på om arbetstagaren i sin frånvaro har mottagit eller omedelbart före frånvaron har skickat eller mottagit meddelanden som hör till arbetsgivaren och som det är nödvändigt att arbetsgivaren får vetskap om för att kunna slutföra förhandlingar i anslutning till sin verksamhet, betjäna kunder eller i övrigt trygga sina funktioner. Därtill ska följande förutsättningar uppfyllas:

  • Arbetstagaren sköter sina uppgifter självständigt för arbetsgivarens räkning och arbetsgivaren har inte något system med hjälp av vilket de ärenden som sköts av arbetstagaren och deras behandlingsskeden antecknas eller på annat sätt kan klarläggas.
  • Det är på grund av arbetstagarens uppgifter och de ärenden som är anhängiga uppenbart att meddelanden som hör till arbetsgivaren har skickats eller mottagits.
  • Arbetstagaren är tillfälligt förhindrad att utföra sina arbetsuppgifter och arbetsgivaren får inte tillgång till de meddelanden som hör till denna, trots att arbetsgivaren sörjt för de skyldigheter som avses i 18 §.
  • Arbetstagarens samtycke kan inte erhållas inom rimlig tid och utredningen av ärendet får inte fördröjas.

Ifall arbetstagaren har avlidit eller permanent är förhindrad att utföra sina arbetsuppgifter och hans eller hennes samtycke inte kan fås, har arbetsgivaren rätt att på basis av uppgifterna om meddelandets avsändare, mottagare eller rubrik utreda vilka meddelanden som hör till arbetsgivaren, om det inte är möjligt att på annat sätt få reda på de ärenden som arbetstagaren skött och trygga arbetsgivarens verksamhet.

Även i detta fall förutsätts det att arbetstagaren har skött sina uppgifter självständigt för arbetsgivarens räkning och att arbetsgivaren inte har något system med hjälp av vilket de ärenden som sköts av arbetstagaren och deras behandlingsskeden antecknas eller på annat sätt kan klarläggas. Därtill förutsätts det att det på grund av arbetstagarens uppgifter och de ärenden som är anhängiga är uppenbart att meddelanden som hör till arbetsgivaren har skickats eller mottagits.

Ifall hämtningen av e-postmeddelanden inte leder till att meddelandena öppnas, ska en rapport över hämtningen upprättas och rapporten undertecknas av de personer som deltagit i hämtningen. Ur rapporten ska framgå varför meddelandet hämtats, tidpunkten för hämtandet och vem som utförde det. Rapporten ska utan obefogat dröjsmål tillställas arbetstagaren. Rapporten behöver inte skickas, om arbetstagaren har avlidit eller är permanent förhindrad.

Uppgifterna om e-postmeddelandets avsändare eller mottagare eller rubrik får inte behandlas i större omfattning än vad som är nödvändigt för syftet med hämtandet av meddelandet. De personer som deltagit i hämtningen av e-postmeddelandet får inte röja dessa uppgifter för utomstående medan arbetsavtalsförhållandet pågår eller efter att det har upphört.

Ifall det, efter att ett e-postmeddelande har hämtats fram, är uppenbart att det hör till arbetsgivaren, kan denne under vissa omständigheter öppna det. Huruvida meddelandet hör till arbetsgivaren avgörs på basis av uppgifter om meddelandes avsändare, mottagare eller rubrik. E-postmeddelandet kan vara antingen avsänt eller mottaget av arbetstagaren.

Öppnandet av ett e-postmeddelande förutsätter därtill att arbetsgivaren måste få vetskap om innehållet för att kunna slutföra förhandlingar i anslutning till sin verksamhet, betjäna kunder eller trygga sina funktioner och det går inte att få kontakt med avsändaren eller mottagaren för att ta reda på meddelandets innehåll eller för att få det sänt till en adress som arbetsgivaren uppger.

Under dessa förutsättningar får arbetsgivaren öppna e-postmeddelandet med hjälp av den person som har befogenheter som systemadministratör och i närvaro av en annan person.

Över öppnandet skall utarbetas en rapport som undertecknas av de personer som deltagit i öppnandet och av vilken framgår vilket meddelande som öppnats, varför meddelandet öppnats, tidpunkten och vem som utförde öppnandet samt till vem uppgift om meddelandets innehåll har givits. Rapporten ska utan obefogat dröjsmål tillställas arbetstagaren, såvida inte arbetstagaren avlidit eller permanent är förhindrad att utföra sina arbetsuppgifter.

Ett öppnat meddelande ska sparas och uppgifter om meddelandets innehåll och avsändare får inte behandlas i större omfattning än vad som är nödvändigt för syftet med öppnandet av meddelandet. De personer som behandlar uppgifterna får inte heller röja meddelandets innehåll för utomstående medan arbetsavtalsförhållandet pågår eller efter att det har upphört.

Företag med fler än 30 arbetstagare behandlar principerna för e-postens och datanätets användning inom ramen för samarbetsförhandlingarna. I företag med färre än 30 arbetstagare ska personalen beredas tillfälle att höras beträffande principerna för e-postens och datanätets användning.

Skyldigheten att ordna förhandlingar och bereda personalen tillfälle att höras beträffande de allmänna principerna för e-postens användning omfattar bland annat frågan huruvida arbetsgivarens e-post får användas för privata ändamål. I enstaka fall är det däremot inte nödvändigt att förhandla med eller höra arbetstagarna. Förhandlingarna och hörande av personalen ska ske innan principerna tas i bruk. Även om arbetsgivaren är skyldig att förhandla med och höra personalen, är det arbetsgivaren som fattar det slutgiltiga beslutet i frågor som gäller e-posten, ifall samförstånd inte nås med personalen.

Det rekommenderas att ett skriftligt avtal om principerna för användningen av arbetsplatsens e-post görs upp med personalen också i företag med färre än 30 anställda. Det är då skäl att komma överens om hur de anställda ska meddela om sin frånvaro och vilken metod som används under arbetstagarens frånvaro. Därtill rekommenderas att omsorgsplikten och separata tillstånd ombesörjs omedelbart i början av anställningen.

I praktiken beror de största problemen med e-post på att man inte har kommit överens om frågorna på förhand.

Ifall arbetstagaren under sin frånvaro har styrt sina meddelanden till en annan person (omsorgsplikt 2) eller arbetstagaren har gett sitt samtycke till att en annan person i hans eller hennes frånvaro kan ta emot meddelanden som skickats till arbetstagaren (omsorgsplikt 3), kan dessa personer, på ovan beskrivet sätt, hämta och öppna e-postmeddelanden som skickats till den e-postadress som arbetsgivaren ställt till arbetstagarens förfogande.

Ifall emellertid arbetstagaren har gett sitt skriftliga samtycke till att dessa personer, utan att tillämpa de procedurer som förutsätts i lagen, får läsa arbetstagarens meddelanden och även sköta uppgifter som avses i e-postmeddelandena, kan personerna hämta och öppna e-postmeddelanden som hör till arbetsgivaren i den frånvarande arbetstagarens e-post utan att tillämpa lagens förhållandevis komplicerade procedur. Ett sådant samtycke kan emellertid återtas när som helst.

Samtyckesblankett för e-post

Samtyckesblankett för avtal med enskild arbetstagare om e-postprocedur som avviker från den lagstadgade proceduren. Innan blanketten fylls i, finns det skäl att göra upp ett skriftligt avtal om företagets spelregler avseende användningen av e-posten. Företagarnas medlemsrådgivningstjänst hjälper dig att fylla i samtyckesblanketten.

Dataskydd vid elektronisk kommunikation

Lagen om tjänster inom elektronisk kommunikation har bland annat som syfte att trygga den elektroniska kommunikationens konfidentialitet och att värna om integritetsskyddet. Föreskrifterna syftar till att klargöra förutsättningarna för företagens verksamhet och företagens rätt att hantera e-postmeddelandenas förmedlingsuppgifter i fall av missbruk. Med förmedlingsuppgifter avses information som kan kopplas till en juridisk eller fysisk person och som behandlas för att överföra meddelanden. Förmedlingsuppgifter är exempelvis den förmedlade informationens mängd och uppgifter i anknytning till det mottagande nätverket.

Förmedlingsuppgifterna ansluter sig inte meddelandets innehåll: lagen om tjänster inom elektronisk kommunikation ger inte rätt att läsa innehållet i meddelandet.

Företaget kan behandla meddelandenas förmedlingsuppgifter också i andra situationer än fall av missbruk, exempelvis på basis av arbetstagarens samtycke, för att tillhandahålla och använda tjänster, för fakturering, för att åtgärda ett tekniskt fel eller utgående från datasäkerheten.

Enligt lagen om tjänster inom elektronisk kommunikation får sammanslutningsabonnenter (bland annat företag) i två olika missbrukssituationer behandla förmedlingsuppgifter i sina egna system. Den ena missbrukssituationen gäller olovligt bruk, den andra röjande av företagshemligheter.

Det är viktigt att även i missbrukssituationer ta hänsyn till de allmänna behandlingsprinciperna i lagen om tjänster inom elektronisk kommunikation gällande förmedlare av kommunikation. Dessa principer föreskriver att behandlingen av uppgifter endast är tillåten i den omfattning som syftet med behandlingen kräver och behandlingen får inte begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än vad som är nödvändigt. Det är också viktigt att komma ihåg att behandlingen av identifieringsuppgifter endast får rikta sig till s.k. arbetsplatspost (förnamn.efternamn@företag.fi).

Ett företag har enligt lagen om tjänster inom elektronisk kommunikation rätt att behandla förmedlingsuppgifter för att förebygga och utreda olovligt brukande av avgiftsbelagda informationssamhällstjänster, kommunikationsnät eller kommunikationstjänster.

Olovligt brukande kan vara att installera anordningar, program eller tjänster i arbetsgivarföretagets kommunikationsnät. Att arbetstagaren obehörigen ger utomstående tillträde till företagets kommunikationsnät eller kommunikationstjänster kan också vara olovligt brukande. Att på något annat jämförbart sätt använda kommunikationsnätet eller kommunikationstjänster kan vara olovligt brukande, om förfarandet står i strid med anvisningar för användningen.

Identifieringsuppgifter kan behandlas med hjälp av en automatisk sökfunktion eller manuellt. En automatisk sökfunktion kan basera sig på meddelandenas storlek eller sammanlagda storlek eller deras typ, antal, uppkopplingssätt eller destinationsadresser. När identifieringsuppgifter behandlas med hjälp av en automatisk sökfunktion, söker den automatiska sökfunktionen enligt vissa förutbestämda kriterier avvikelser i kommunikationen utan att någon i företaget får reda på identifieringsuppgifterna till arbetstagarens e-postmeddelanden. Manuell behandling kan leda till att identifieringsuppgifterna till en enskild arbetstagares meddelanden kommer till företagets kännedom.

Enligt lagen om tjänster inom elektronisk kommunikation är förutsättningen för en automatisk eller manuell behandling av identifieringsuppgifterna att incidenten eller gärningen sannolikt orsakar betydande olägenhet eller skada för företaget. Manuell behandling förutsätter dessutom att uppgifterna är nödvändiga för att reda ut olovligt brukande och vem som svarar för det och för att göra slut på olovligt brukande.

Företaget får dessutom behandla förmedlingsuppgifter manuellt, om det finns grundad anledning att misstänka att kommunikationsnätet, kommunikationstjänsten eller en avgiftsbelagd informationssamhällstjänst används i strid med kommunikationstjänstens skriftliga anvisningar i följande situationer:

  • En avvikelse i kommunikationen har upptäckts med hjälp av den automatiska sökfunktionen.
  • Kostnaderna för användningen av en avgiftsbelagd informationssamhällstjänst har blivit ovanligt höga.
  • I kommunikationsnätet upptäckts en anordning, ett program eller en tjänst som har installerats obehörigen.
  • Det går att i ett enskilt fall på basis av annan med ovan nämnda jämförbar, allmänt konstaterbar omständighet att sluta sig till att kommunikationsnätet, kommunikationstjänsten eller en avgiftsbelagd informationssamhällstjänst används i strid med kommunikationstjänstens skriftliga anvisningar. Detta kan vara fallet exempelvis ifall det från företagets kontaktadress observeras trafik som, med tanke på kommunikationstjänstens definitioner, är av främmande natur.

Företaget har, under de förutsättningar som anges närmare i lagen om tjänster inom elektronisk kommunikation, rätt att behandla identifieringsuppgifter för att förebygga och utreda röjande av företagshemligheter. De motsvarar i huvudsak förutsättningarna upptill som gäller vid olovligt bruk. Företaget kan behandla endast identifieringsuppgifter för sådan arbetstagare som givits tillträde till affärshemligheter eller som annars har tillgång till dessa på ett sådant sätt som företaget har godkänt.

Med företagshemlighet avses en affärs- eller yrkeshemlighet vars röjande kan orsaka företaget ekonomisk skada. Behandlingen av identifieringsuppgifter enligt lagen om dataskydd vid elektronisk kommunikation innebär en mer betydande företagshemlighet än vanligt.

De företagshemligheter för vars skyddande identifieringsuppgifter behandlas ska vara av central betydelse för företagets eller dess samarbetspartners näringsverksamhet. Identifieringsuppgifter kan även behandlas i syfte att skydda resultaten av ett tekniskt eller något annat utvecklingsarbete.

Företaget får behandla identifieringsuppgifter manuellt, om det finns grundad anledning att misstänka att en företagshemlighet olovligen har röjts för en utomstående via kommunikationsnätet eller en kommunikationstjänst. Därtill förutsätts att

  • en avvikelse i kommunikationen har upptäckts med hjälp av den automatiska sökfunktionen
  • en företagshemlighet offentliggörs eller utnyttjas olovligen
  • det i ett enskilt fall på basis av en annan jämförbar allmänt konstaterbar omständighet går att sluta sig till att en företagshemlighet olovligen har röjts för en utomstående.

Företag har också andra sätt att skydda företagshemligheter. Ett företag kan i princip använda system med vilka det är möjligt att spåra vem som exempelvis har sparat eller skrivit ut information. Även andra övervakningsformer är tillgängliga, bland annat tillträdeskontroll och kameraövervakning. Företagets affärshemligheter kan därtill skyddas med sekretessavtal som ingås med personalen.

När företaget har beslutat att avvärja olovligt bruk, ska lämpliga åtgärder vidtas för att trygga användningen av nätverket och tjänsten innan behandlingen av identifieringsuppgifterna inleds. Företaget ska också definiera vilka meddelanden som får förmedlas och hämtas, hur kommunikationsnätet och tjänsten får användas och vilka mottagaradresser som inte är tillåtna. Anvisningarna ska ges skriftligen till de personer som använder nätet och tjänsten.

Företaget ska utse de personer som svarar för dataskyddet, som har befogenhet att behandla identifieringsuppgifter och som inom ramen för samarbetsförhandlingarna får förhandla om grunder för och praxis avseende behandlingen av identifieringsuppgifter. Ett företag som inte omfattas av lagen om samarbete inom företag ska höra arbetstagarna och informera dessa om förfaranden och praxis inom företaget. Därtill ska företaget på förhand meddela dataombudsmannen om att behandlingen av identifieringsuppgifter inleds.

När företaget har beslutat att skydda sina affärshemligheter i nätet, ska lämpliga datasäkerhetsåtgärder vidtas för att trygga användningen av nätverket och tjänsten samt att skydda informationen. Företaget ska begränsa tillträdet till affärshemligheter och definiera hur affärshemligheter får behandlas samt vilka mottagaradresser meddelanden inte får skickas till. Anvisningarna ska ges skriftligen till de personer som använder nätet eller tjänsten.

Företaget ska, på samma sätt som vid avvärjandet av olovligt bruk, utse de personer som har befogenhet att behandla identifieringsuppgifter i syfte att skydda affärshemligheter och att inom ramen för samarbetsförhandlingarna förhandla om behandlingen av identifieringsuppgifter samt att meddela dataombudsmannen.