Sähköisen viestinnän tietosuojalain muutokset - Työnantajan ABC - yrittajat.fi
Etusivu > Yrittajan Abc > Tyonantajan Abc > Tyontekijan Yksityisyydensuoja

Etsi

Sähköisen viestinnän tietosuoja

Tietoyhteiskuntakaaren tavoitteena on mm. turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen. Näillä säännöksillä pyritään selventämään yritysten toimintaedellytyksiä ja oikeutta käsitellä sähköpostiviestien välitystietoja väärinkäytöstapauksissa. Välitystiedolla tarkoitetaan oikeus- tai luonnolliseen henkilöön yhdistettävissä olevaa tietoa, jota käsitellään viestin välittämiseksi. Välitystietoja ovat esimerkiksi siirrettävän tiedon määrään ja viestin vastaanottavaan verkkoon liittyvät tiedot.

On tärkeää huomata, että välitystiedot eivät ole itse viestin sisältöön liittyviä tietoja ja että tietoyhteiskuntakaaren säännökset eivät anna oikeutta viestien sisällön tarkasteluun.

Yritys voi käsitellä viestien välitystietoja myös muissa tilanteissa kuin väärinkäytöstapauksissa, esimerkiksi työntekijän suostumuksen, palvelujen toteuttamisen ja käyttämisen, laskutuksen, teknisen vian tai tietoturvan perusteella.

Tietoyhteiskuntakaaren mukaan yhteisötilaajat (esimerkiksi yritykset) saavat käsitellä välitystietoja omissa järjestelmissään kahdessa eri väärinkäytöstilanteessa. Ensimmäinen väärinkäytöstilanne koskee luvatonta käyttöä ja toinen yrityssalaisuuksien paljastamista.

On tärkeää huomata, että myös väärinkäytöstilanteissa tulee ottaa huomioon tietoyhteiskuntakaaren viestinnän välittäjää koskevat yleiset käsittelyperiaatteet, joiden mukaan tunnistamistietojen käsittely on sallittua ainoastaan käsittelyn vaatimassa laajuudessa, ja se on toteutettava luottamuksellisen viestin ja yksityisyyden suojaa tarpeettomasti vaarantamatta.  Edelleen on tärkeää huomata, että tunnistamistietojen käsittely voi kohdistua ainoastaan nk. työsähköpostiin ( )

Luvaton käyttö

Tietoyhteiskuntakaaren mukaan yrityksellä on oikeus käsitellä välitystietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi ja selvittämiseksi.

Luvatonta käyttöä voi olla jonkin laitteen, ohjelman tai palvelun asentaminen työnantajayrityksen viestintäverkkoon. Luvatonta käyttöä voi myös olla se, että työntekijä avaa sivulliselle pääsyn yrityksen viestintäverkkoon tai viestintäpalveluiden käyttöön. Luvatonta käyttöä voi olla myös muu edellä kerrottuihin tilanteisiin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen ohjeiden vastaista.

Tunnistamistietoja voidaan käsitellä automaattisen hakutoiminnon avulla tai manuaalisesti. Automaattinen hakutoiminto voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin. Kun tunnistamistietoja käsitellään automaattisen hakutoiminnon avulla, hakukone hakee viestintäverkosta poikkeamia tietyin ennalta määritellyin kriteerein ilman, että kukaan yrityksessä saa työntekijän sähköpostiviestin tunnistamistietoja tietoonsa. Manuaalisessa käsittelyssä yksittäisen työntekijän viestien tunnistamistiedot voivat tulla yrityksen tietoon.

Tietoyhteiskuntakaaren mukaan tunnistamistietojen automaattisen ja manuaalisen käsittelyn edellytyksenä on, että tapahtuma tai teko todennäköisesti aiheuttaa yritykselle merkittävää haittaa tai vahinkoa. Manuaalinen käsittely edellyttää lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman käytön lopettamiseksi.

Lisäksi tunnistamistietoja voidaan käsitellä manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään yrityksen viestintäverkon tai viestintäpalvelun kirjallisten ohjeiden vastaisesti seuraavissa tilanteissa:

•Automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama.

•Maksullisen tietoyhteiskunnan palvelun käytön kustannukset ovat nousseet epätavallisen korkeiksi.

•Viestintäverkossa havaitaan sinne oikeudetta asennettu laite, ohjelma tai palvelu.

•Yksittäistapauksissa jostain muusta edellisiin rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään yrityksen viestintäverkon tai viestintäpalvelun käytöstä annettujen kirjallisten ohjeiden vastaisesti. Näin voi olla esimerkiksi silloin, jos yrityksen yhteysosoitteesta havaitaan tulevan viestintäpalvelujen määrityksiin nähden vieraantyyppistä liikennettä.

Yrityssalaisuuksien paljastaminen

Yritys saa käsitellä tunnistamistietoja yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi edellytyksillä, jotka on määritelty tarkemmin tietoyhteiskuntakaaressa. Ne vastaavat pitkälti edellä käsiteltyä luvatonta käyttöä. Yritys voi käsitellä ainoastaan sellaisten työntekijöiden tunnistamistietoja, joille on annettu pääsy yrityssalaisuuksiin tai joilla on niihin pääsy jollain muulla hyväksytyllä tavalla.

Yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen voisi aiheuttaa taloudellista vahinkoa yritykselle. Sähköisen viestinnän tietosuojalain tunnistamistietojen käsittely tarkoittaa vielä tavallista merkittävämpää yrityssalaisuutta.

Yrityssalaisuuksien, joiden suojaamiseksi tunnistamistietoja käsitellään, on oltava yrityksen tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiä. Tunnistamistietoja voidaan käsitellä myös teknologisen tai muun kehittämistyön tuloksien suojaamiseksi.

Yritys voi käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle. Lisäksi edellytetään, että

•automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama

•yrityssalaisuus julkaistaan tai sitä käytetään luvatta

•yksittäistapauksessa jos muusta näihin rinnastuvasta ja yleisesti havaittavissa olevasta seikasta voidaan päätellä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.

Yrityksellä on myös muita keinoja suojata yrityssalaisuuksia. Yritykset voivat myös lähtökohtaisesti käyttää järjestelmiä, joiden avulla voidaan seurata, kuka on esimerkiksi tallentanut tai tulostanut tietoja. Yritykset voivat käyttää myös muita valvontamuotoja, kuten esimerkiksi kulunvalvontaa tai kameravalvontaa. Myös työntekijöiden kanssa tehdyillä salassapitosopimuksilla voidaan suojata yrityksen liikesalaisuuksia.

Menettely tunnistamistietojen käsittelyssä

Kun yritys on tehnyt päätöksen ryhtyä torjumaan luvatonta käyttöä, tulee yrityksen ennen tunnistamistietojen käsittelyn aloittamista tehdä asianmukaiset tietoturvatoimenpiteet verkon ja palvelun käytön turvaamiseksi. On myös määritettävä, mitä viestejä saa välittää ja hakea, miten viestintäverkkoa ja palvelua saa käyttää ja minkälaisiin osoitteisiin viestejä ei saa lähettää. Yrityksen on annettava ohjeet kirjallisesti verkon ja palvelun käyttäjille.

Yrityksen tulee nimetä tietoturvasta vastaavat henkilöt, joilla on oikeus käsitellä tunnistamistietoja sekä käydä yt-neuvottelut tunnistamistietojen käsittelyssä noudatettavista menettelyjen perusteista ja käytännöistä. Yt-lain soveltamisen ulkopuolella olevan yrityksen on kuultava työntekijöitä sekä tiedotettava työntekijöille menettelyistä ja käytännöistä. Lisäksi yrityksen on annettava tietosuojavaltuutetulle ennakkoilmoitus tunnistamistietojen käsittelyn aloittamisesta.

Kun yritys on tehnyt päätöksen ryhtyä suojaamaan yrityssalaisuuksiaan verkossa, tulee yrityksen tehdä asianmukaiset tietoturvatoimenpiteet verkkonsa ja palvelunsa käytön ja tietojen turvaamiseksi. Yrityksen on rajoitettava pääsyä yrityssalaisuuksiin ja määritellä, miten yrityssalaisuuksia saa käsitellä ja minkälaisiin osoitteisiin viestejä ei saa lähettää. Yrityksen on annettava ohjeet kirjallisesti verkon tai palvelun käyttäjälle.

Myös yrityssalaisuuksien suojaamiseen liittyvien tunnistamistietojen käsittelyssä yrityksen on nimettävä tietoturvasta vastaavat henkilöt, käytävä asiassa yt-neuvottelut sekä annettava tietosuojavaltuutetulle ilmoitus samalla tavoin kun luvattoman käytön torjumiseen liittyvien tunnistamistietojen käsittelyssä.

 

Tarkempia ohjeita saat SY:n jäsenneuvonnasta sekä tietosuojavaltuutetun verkkosivuilta.

Sähköisen viestinnän tietosuojalain säännöksillä pyritään selventämään yritysten toimintaedellytyksiä ja oikeutta käsitellä sähköpostiviestien tunnistetietoja väärinkäytöstapauksissa. Tunnistamistiedolla tarkoitetaan tilaajaan tai käyttäjään (esimerkiksi työntekijään) yhdistettävissä olevaa tietoa, jota viestintäverkoissa käsitellään viestien siirtämiseksi, jakelemiseksi tai tarjolla pitämiseksi. Tunnistamistietoja ovat esimerkiksi siirrettävän tiedon määrään ja viestin vastaanottavaan verkkoon liittyvät tiedot.


>> Kirjaudu jäsennumerolla sivun ylälaidasta lukeaksesi lisää!
 

Suomen Yrittäjien jäsenenä olet aina ajan tasalla.

Julkaisemme jatkuvasti ajankohtaista tietoa yritystoiminnasta jäsenillemme. Liittymällä jäseneksi saat käyttöösi koko järjestön tarjoamat edut