Työntekijän oikeudet ja yksityisyydensuoja

Tällä sivulla käsittelemme työntekijän oikeuksia työsuhteessa erityisesti yksityisyydensuojan näkökulmasta. Ymmärrys työnantajan ja työntekijän erilaisista oikeuksista ja velvollisuuksista luo hyvää pohjaa yhdessä tekemiselle.

Työntekijän perusoikeudet ja yksityisyydensuoja vaikuttavat työnantajan oikeuksien rinnalla. Työnantajan oikeudet eivät kumoa perusoikeuksien antamaa suojaa esimerkiksi kirjesalaisuudesta tai tietojen käsittelyyn liittyvästä yksityisyydensuojasta.

Työnhakijan oikeudet ja yksityisyydensuoja

Työnhakijan oikeudet ja yksityisyydensuoja

Näin palkkaat -sivulla kerrotaan työnhakijan oikeuksista ja yksityisyydensuojasta. Lue lisää työnhakijan henkilötietojen, luottotietojen ja rikostaustan selvittämisestä sekä soveltuvuustesteistä, huumausainetestiä koskevasta todistuksesta ja terveystarkastuksesta.

Neuvontaa puhelimitse jäsenille oikeudellisissa asioissa

Ikoni kahdesta henkilöstä

Neuvontapalvelu

Jäsenpalveluna maksuton lakineuvonta ja asiantuntija-apu
Arkisin klo 8–18

Työelämän sähköposti

Työsähköpostia koskee sama perustuslain suoja kuin kirjettä

Työnantajan työntekijän käyttöön antama sähköposti on työväline, ja työnantaja voi edellyttää, että työsähköpostia käytetään vain työasioiden hoitoon. Tästä huolimatta työsähköpostia koskee sama perustuslain suoja kuin kirjettäkin.

Työnantajalla ei ole oikeutta ilman erityistä perustetta ottaa selkoa työntekijän työsähköpostin sisällöstä. Laissa yksityisyyden suojasta työelämässä määritellään erityiset perusteet, joiden nojalla työnantajalla on oikeus selvittää työntekijän työsähköpostia työntekijän poissa ollessa.

Yksityisyyden suojasta työelämässä annetun lain 19 §:ssä ja 20 §:ssä säädetään niistä erityisistä perusteista, joiden nojalla työnantaja voi hakea työsähköpostista itselleen kuuluvat viestit ja avata ne. Viestien avaamisen ja hakemisen edellytyksenä on lisäksi se, että työnantaja on täyttänyt ensin yksityisyyden suojasta työelämässä annetun lain 18 §:ssä määritellyt huolehtimisvelvollisuudet.

Jos työntekijä on poissa tai pysyvämmin estynyt tulemasta töihin, työnantajan on tarjottava työntekijälle yhtä tai useampaa seuraavista vaihtoehdoista, ennen kuin hakee esille tai avaa tämän työsähköpostiin tulleita tai sieltä lähteneitä viestejä:

Huolehtimisvelvollisuus 1
Työntekijä voi lähettää automaattisen vastaustoiminnon avulla viestin lähettäjälle ilmoituksen poissaolosta ja sen kestosta sekä tiedon henkilöstä, joka hoitaa poissa olevalle työntekijälle kuuluvia tehtäviä (out of office / poissaoloilmoitus).

Työntekijä voi ohjata viestit toiselle henkilölle, jonka työnantaja on hyväksynyt tähän tehtävään tai toiseen omassa käytössään olevaan osoitteeseen, joka on työnantajan hyväksymä.

Huolehtimisvelvollisuus 2
Työntekijä voi antaa suostumuksensa siihen, että hänen poissa ollessaan joku muu ottaa vastaan työntekijälle lähetetyt viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai työtehtävien asianmukaisen järjestämisen vuoksi välttämätöntä saada tieto

Huolehtimisvelvollisuus 3
Huolehtimisvelvollisuus on täytetty, kun työnantaja on tarjonnut jotakin vaihtoehtoa työntekijän käyttöön. Viestien esille hakeminen ja avaaminen ei siis edellytä, että työntekijä olisi ottanut jonkun huolehtimisvelvollisuuden käyttöönsä. Työntekijälle voi myös tarjota useampia yllä olevia vaihtoehtoja.

Huolehtimisvelvollisuuksien täyttämisen jälkeen työnantajalla on oikeus hakea työntekijän työsähköpostista työnantajalle kuuluvia viestejä silloin, kun työntekijä on tilapäisesti estynyt suorittamasta työtehtäviään ja työnantaja ei voi saada sähköpostiviestien sisältöä selville huolehtimisvelvollisuuksien avulla. Tällaisia tilanteita ovat esimerkiksi sairausloma tai vuosiloma.

Sähköpostiviestien esille hakeminen tapahtuu tietojärjestelmän pääkäyttäjän valtuuksia käyttävän henkilön avulla.

Sähköpostiviestien esille hakeminen tarkoittaa sitä, että työnantajalla on oikeus ottaa viestin lähettäjää, vastaanottajaa tai viestin otsikkoa koskevien tietojen perusteella selville, onko työntekijälle lähetetty tämän poissa ollessa tai onko työntekijä välittömästi ennen poissaoloaan lähettänyt tai vastaanottanut työnantajalle kuuluvia viestejä, joista työnantajan on toimintaansa liittyvien neuvottelujen loppuun saattamiseksi, asiakkaiden palvelemiseksi tai toimintojensa turvaamiseksi muutoin välttämätöntä saada tieto. Lisäksi seuraavien edellytysten tulee täyttyä:

  • Työntekijä hoitaa tehtäviä itsenäisesti työnantajan lukuun eikä työnantajan käytössä ole järjestelmää, jonka avulla työntekijän hoitamat asiat ja niiden käsittelyvaiheet kirjataan tai saadaan muutoin selville.
  • Työntekijän tehtävien ja vireillä olevien asioiden vuoksi on ilmeistä, että työnantajalle kuuluvia viestejä on lähetetty tai vastaanotettu.
  • Työntekijä on estynyt tilapäisesti suorittamasta työtehtäviään eikä työnantajalle kuuluvia viestejä siitä huolimatta, että työnantaja on huolehtinut 18 §:ssä tarkoitetuista velvollisuuksistaan, voida saada työnantajan käyttöön.
  • Työntekijän suostumusta ei voida saada kohtuullisessa ajassa ja asian selvittäminen ei kestä viivytystä.

Jos työntekijä on kuollut tai on pysyväisluonteisesti estynyt suorittamasta työtehtäviään eikä hänen suostumustaan voi saada, työnantajalla on oikeus ottaa viestin lähettäjää tai vastaanottajaa tai viestin otsikkoa koskevien tietojen perusteella selville työnantajalle kuuluvat viestit, jollei työntekijän hoitamien asioiden selville saaminen ja työnantajan toiminnan turvaaminen ole muilla keinoilla mahdollista.

Myös tässä tilanteessa edellytetään, että työntekijä on hoitanut tehtäviään itsenäisesti työnantajan lukuun eikä työnantajan käytössä ole järjestelmää, jonka avulla työntekijän hoitamat asiat ja niiden käsittelyvaiheet kirjataan tai saadaan muutoin selville. Lisäksi edellytetään, että työntekijän tehtävien ja vireillä olevien asioiden vuoksi on ilmeistä, että työnantajalle kuuluvia viestejä on lähetetty tai vastaanotettu.

Jos työsähköpostin viestien esille hakeminen ei johda sähköpostiviestien avaamiseen, on hakemisesta laadittava selvitys, jonka viestin esille hakemiseen osallistuneet henkilöt allekirjoittavat. Selvityksestä on käytävä ilmi, miksi viestiä on haettu, hakemisen ajankohta ja sen suorittajat. Selvitys on viipymättä toimitettava työntekijälle. Selvitystä ei tietenkään tarvitse toimittaa, jos työntekijä on kuollut tai pysyväisluontoisesti estynyt.

Työsähköpostin viestien lähettäjä- tai vastaanottajatietoja tai otsikkotietoja ei saa käsitellä laajemmin kuin on välttämätöntä viestin esille hakemisen tarkoituksen vuoksi, eivätkä sähköpostin esille hakemiseen osallistuneet henkilöt saa ilmaista näitä tietoja sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.

Jos sähköpostiviesti esille hakemisen jälkeen on selvästi työnantajalle kuuluva, on työnantajalla tietyin edellytyksin oikeus avata sähköpostiviesti. Se, kuuluuko viesti työnantajalle, arvioidaan sähköpostiviestin lähettäjää, vastaanottajaa tai viestin otsikkoa koskevan tiedon perusteella. Sähköpostiviesti voi olla joko työntekijälle lähetetty viesti tai työntekijän lähettämä viesti.

Työsähköpostin viestin avaaminen edellyttää lisäksi sitä, että työnantajan on välttämätöntä saada viestin sisällöstä tieto toimintaansa liittyvien neuvottelujen loppuun saattamiseksi, asiakkaiden palvelemiseksi tai toimintojensa turvaamiseksi, eikä viestin lähettäjään tai vastaanottajaan saada yhteyttä viestin sisällön selvittämiseksi tai sen lähettämiseksi työnantajan osoittamaan osoitteeseen.

Kun nämä edellytykset täyttyvät, työsähköpostin viesti voidaan avata tietojärjestelmän pääkäyttäjän valtuuksia käyttävän henkilön avulla toisen henkilön läsnä ollessa.

Avaamisesta on laadittava siihen osallistuneiden henkilöiden allekirjoittama selvitys, josta ilmenee, mikä viesti on avattu, miksi viesti on avattu, avaamisen ajankohta, avaamisen suorittajat sekä kenelle avatun viestin sisällöstä on annettu tieto. Selvitys on ilman aiheetonta viivytystä toimitettava työntekijälle, jollei työntekijä ole kuollut tai pysyväisluontoisesti estynyt.

Avattu viesti on säilytettävä eikä sen sisältöä ja lähettäjätietoja saa käsitellä laajemmin kuin on tarpeen viestin avaamisen tarkoituksen vuoksi, eivätkä tietoja käsittelevät henkilöt saa ilmaista viestin sisältöä sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.

Yli 30 työntekijän yrityksissä sähköpostin ja tietoverkon käytön periaatteet on käsiteltävä yhteistoimintaneuvotteluissa. Alle 30 työntekijän työpaikoilla työntekijöille on varattava tilaisuus tulla kuulluksi sähköpostin ja tietoverkon käytön periaatteista.

Neuvotteluvelvollisuus ja kuuleminen koskevat sähköpostin käytön yleisiä periaatteita eli mm. sitä, saako työsähköpostia käyttää yksityisasioiden hoitamiseen. Sen sijaan yksittäisistä tapauksista ei tarvitse neuvotella tai kuulla työntekijöitä. Neuvottelut ja kuuleminen tulee hoitaa ennen periaatteiden käyttöönottoa. Vaikka työnantajalla on velvollisuus neuvotella työntekijöiden kanssa tai kuulla heitä, tekee työnantaja lopullisen päätöksen sähköpostia koskevissa asioissa, jollei yhteisymmärrykseen työntekijöiden kanssa päästä.

Sähköpostin käytön periaatteista on suositeltavaa sopia yhdessä työntekijöiden kanssa kirjallisesti myös alle 30 työntekijän yrityksissä. Tällöin on hyvä sopia siitä, kuinka poissaoloista ilmoitetaan ja mitä menetelmää käytetään työntekijän poissaolon aikana. Lisäksi on suositeltavaa hoitaa huolehtimisvelvollisuudet ja erilliset suostumukset kuntoon heti työsuhteen alussa.

Käytännössä suurimmat ongelmat sähköpostin käytöstä aiheutuvat siitä, että asioista ei ole sovittu etukäteen.

Jos työntekijä on ohjannut viestinsä toiselle henkilölle poissaolonsa aikana (huolehtimisvelvollisuus 2) tai työntekijä on antanut suostumuksen siihen, että hänen poissa ollessaan toinen henkilö voi ottaa vastaan työntekijälle lähetetyt viestit (huolehtimisvelvollisuus 3), nämä henkilöt saavat hakea esille ja avata työsähköpostiin tulleita työhön liittyviä sähköposteja käyttäen edellä kerrottua menettelyä.

Jos työntekijä on kuitenkin antanut erillisen kirjallisen suostumuksen siitä, että nämä henkilöt saavat lukea työntekijän viestejä ja hoitaa myös sähköpostiviesteissä tarkoitettuja työtehtäviä noudattamatta lain edellyttämiä menettelytapoja, voivat nämä henkilöt hakea ja avata poissaolevan työntekijän työsähköpostin työnantajalle kuuluvia viestejä noudattamatta lain suhteellisen monimutkaista menettelyä. Tällainen työntekijän erillinen suostumus voidaan kuitenkin milloin tahansa peruuttaa.

Sähköpostisuostumuslomake

Lomakepohja sovittaessa sähköpostin käytöstä lain menettelytavoista poikkeavasti yksittäisen työntekijän kanssa. Ennen lomakkeen käyttämistä on suositeltavaa sopia kirjallisesti sähköpostin käyttämisen pelisäännöistä yrityksessä. Yrittäjien jäsenneuvonta auttaa sähköpostisuostumuslomakkeen täyttämisessä.

Sähköisen viestinnän tietosuoja

Tietoyhteiskuntakaaren tavoitteena on mm. turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen. Näillä säännöksillä pyritään selventämään yritysten toimintaedellytyksiä ja oikeutta käsitellä sähköpostiviestien välitystietoja väärinkäytöstapauksissa. Välitystiedolla tarkoitetaan oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään viestin välittämiseksi. Välitystietoja ovat esimerkiksi siirrettävän tiedon määrään ja viestin vastaanottavaan verkkoon liittyvät tiedot.

Välitystiedot eivät ole itse viestin sisältöön liittyviä tietoja ja että tietoyhteiskuntakaaren säännökset eivät anna oikeutta viestien sisällön tarkasteluun.

Yritys voi käsitellä viestien välitystietoja myös muissa tilanteissa kuin väärinkäytöstapauksissa, esimerkiksi työntekijän suostumuksen, palvelujen toteuttamisen ja käyttämisen, laskutuksen, teknisen vian tai tietoturvan perusteella.

Tietoyhteiskuntakaaren mukaan yhteisötilaajat (esimerkiksi yritykset) saavat käsitellä välitystietoja omissa järjestelmissään kahdessa eri väärinkäytöstilanteessa. Ensimmäinen väärinkäytöstilanne koskee luvatonta käyttöä ja toinen yrityssalaisuuksien paljastamista.

On tärkeää huomata, että myös väärinkäytöstilanteissa tulee ottaa huomioon tietoyhteiskuntakaaren viestinnän välittäjää koskevat yleiset käsittelyperiaatteet, joiden mukaan tunnistamistietojen käsittely on sallittua ainoastaan käsittelyn vaatimassa laajuudessa, ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta. Edelleen on tärkeää huomata, että tunnistamistietojen käsittely voi kohdistua ainoastaan nk. työsähköpostiin ( etunimi.sukunimi@yritys.fi )

Tietoyhteiskuntakaaren mukaan yrityksellä on oikeus käsitellä välitystietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi ja selvittämiseksi.

Luvatonta käyttöä voi olla jonkin laitteen, ohjelman tai palvelun asentaminen työnantajayrityksen viestintäverkkoon. Luvatonta käyttöä voi myös olla se, että työntekijä avaa sivulliselle pääsyn yrityksen viestintäverkkoon tai viestintäpalveluiden käyttöön. Luvatonta käyttöä voi olla myös muu edellä kerrottuihin tilanteisiin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen ohjeiden vastaista.

Tunnistamistietoja voidaan käsitellä automaattisen hakutoiminnon avulla tai manuaalisesti. Automaattinen hakutoiminto voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin. Kun tunnistamistietoja käsitellään automaattisen hakutoiminnon avulla, hakukone hakee viestintäverkosta poikkeamia tietyin ennalta määritellyin kriteerein ilman, että kukaan yrityksessä saa työntekijän sähköpostiviestin tunnistamistietoja tietoonsa. Manuaalisessa käsittelyssä yksittäisen työntekijän viestien tunnistamistiedot voivat tulla yrityksen tietoon.

Tietoyhteiskuntakaaren mukaan tunnistamistietojen automaattisen ja manuaalisen käsittelyn edellytyksenä on, että tapahtuma tai teko todennäköisesti aiheuttaa yritykselle merkittävää haittaa tai vahinkoa. Manuaalinen käsittely edellyttää lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman käytön lopettamiseksi.

Lisäksi tunnistamistietoja voidaan käsitellä manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään yrityksen viestintäverkon tai viestintäpalvelun kirjallisten ohjeiden vastaisesti seuraavissa tilanteissa:

  • Automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama.
  • Maksullisen tietoyhteiskunnan palvelun käytön kustannukset ovat nousseet epätavallisen korkeiksi.
  • Viestintäverkossa havaitaan sinne oikeudetta asennettu laite, ohjelma tai palvelu.
  • Yksittäistapauksissa jostain muusta edellisiin rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään yrityksen viestintäverkon tai viestintäpalvelun käytöstä annettujen kirjallisten ohjeiden vastaisesti. Näin voi olla esimerkiksi silloin, jos yrityksen yhteysosoitteesta havaitaan tulevan viestintäpalvelujen määrityksiin nähden vieraantyyppistä liikennettä.

Yritys saa käsitellä tunnistamistietoja yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi edellytyksillä, jotka on määritelty tarkemmin tietoyhteiskuntakaaressa. Ne vastaavat pitkälti edellä käsiteltyä luvatonta käyttöä. Yritys voi käsitellä ainoastaan sellaisten työntekijöiden tunnistamistietoja, joille on annettu pääsy yrityssalaisuuksiin tai joilla on niihin pääsy jollain muulla hyväksytyllä tavalla.

Yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen voisi aiheuttaa taloudellista vahinkoa yritykselle. Sähköisen viestinnän tietosuojalain tunnistamistietojen käsittely tarkoittaa vielä tavallista merkittävämpää yrityssalaisuutta.

Yrityssalaisuuksien, joiden suojaamiseksi tunnistamistietoja käsitellään, on oltava yrityksen tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiä. Tunnistamistietoja voidaan käsitellä myös teknologisen tai muun kehittämistyön tuloksien suojaamiseksi.

Yritys voi käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle. Lisäksi edellytetään, että

  • automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama
  • yrityssalaisuus julkaistaan tai sitä käytetään luvatta
  • yksittäistapauksessa jos muusta näihin rinnastuvasta ja yleisesti havaittavissa olevasta seikasta voidaan päätellä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.

Yrityksellä on myös muita keinoja suojata yrityssalaisuuksia. Yritykset voivat myös lähtökohtaisesti käyttää järjestelmiä, joiden avulla voidaan seurata, kuka on esimerkiksi tallentanut tai tulostanut tietoja. Yritykset voivat käyttää myös muita valvontamuotoja, kuten esimerkiksi kulunvalvontaa tai kameravalvontaa. Myös työntekijöiden kanssa tehdyillä salassapitosopimuksilla voidaan suojata yrityksen liikesalaisuuksia.

Kun yritys on tehnyt päätöksen ryhtyä torjumaan luvatonta käyttöä, tulee yrityksen ennen tunnistamistietojen käsittelyn aloittamista tehdä asianmukaiset tietoturvatoimenpiteet verkon ja palvelun käytön turvaamiseksi. On myös määritettävä, mitä viestejä saa välittää ja hakea, miten viestintäverkkoa ja palvelua saa käyttää ja minkälaisiin osoitteisiin viestejä ei saa lähettää. Yrityksen on annettava ohjeet kirjallisesti verkon ja palvelun käyttäjille.

Yrityksen tulee nimetä tietoturvasta vastaavat henkilöt, joilla on oikeus käsitellä tunnistamistietoja sekä käydä yt-neuvottelut tunnistamistietojen käsittelyssä noudatettavista menettelyjen perusteista ja käytännöistä. Yt-lain soveltamisen ulkopuolella olevan yrityksen on kuultava työntekijöitä sekä tiedotettava työntekijöille menettelyistä ja käytännöistä. Lisäksi yrityksen on annettava tietosuojavaltuutetulle ennakkoilmoitus tunnistamistietojen käsittelyn aloittamisesta.

Kun yritys on tehnyt päätöksen ryhtyä suojaamaan yrityssalaisuuksiaan verkossa, tulee yrityksen tehdä asianmukaiset tietoturvatoimenpiteet verkkonsa ja palvelunsa käytön ja tietojen turvaamiseksi. Yrityksen on rajoitettava pääsyä yrityssalaisuuksiin ja määritellä, miten yrityssalaisuuksia saa käsitellä ja minkälaisiin osoitteisiin viestejä ei saa lähettää. Yrityksen on annettava ohjeet kirjallisesti verkon tai palvelun käyttäjälle.

Myös yrityssalaisuuksien suojaamiseen liittyvien tunnistamistietojen käsittelyssä yrityksen on nimettävä tietoturvasta vastaavat henkilöt, käytävä asiassa yt-neuvottelut sekä annettava tietosuojavaltuutetulle ilmoitus samalla tavoin kun luvattoman käytön torjumiseen liittyvien tunnistamistietojen käsittelyssä.