Sisältöön

Sähköpostin käsittely - SecMeter

Ohita valikko
Ohita valikko

Sähköpostin käsittely

Yritysturvallisuus > Yksityisyyden suoja
Ohita valikko
Sähköpostin käsittely



Vuonna 2004 tuli voimaan sähköisen viestinnän tietosuojalaki (516/2004), jonka tavoitteena oli vahvistaa yksityisyyden suojaa sähköisessä viestinnässä ja parantaa viestintäpalveluiden turvallisuutta. Tämä lainsäädäntö oli keskeinen askel kohti entistä tietoturvallisempaa ja yksityisyyttä kunnioittavaa digitaalista toimintaympäristöä.

Lain tarkoituksena oli taata sähköisen viestinnän luottamuksellisuus ja yksityisyyden suoja, mutta samalla myös edistää sähköisten palveluiden kehittämistä. Tämä kaksoistavoite, yksityisyydensuojan varmistaminen ja digitaalisten innovaatioiden tukeminen, heijasti tarvetta tasapainottaa yksilön oikeudet ja teknologian kehitys.

Laki koski laajasti eri toimijoita: teleyrityksiä, yhteisötilaajia, sisältö- ja lisäarvopalveluiden tarjoajia sekä sähköisten palveluiden ostajia ja myyjiä. Tällä tavalla lainsäädäntö pyrki kattamaan koko sähköisen viestinnän ekosysteemin, mukaan lukien sekä palveluntarjoajat että niiden käyttäjät. Lailla haluttiin varmistaa, että henkilötietoja ja viestintää käsitellään vastuullisesti ja lainmukaisesti kaikissa sähköisen viestinnän vaiheissa.

Sähköisen viestinnän tietosuojalakia sovellettiin erityisesti yleiseen viestintäverkkoon liitettyihin palveluihin. Tämä sisälsi esimerkiksi yritysten omalle henkilöstölleen tarjoamat web- ja sähköpostipalvelut, jotka ovat keskeisiä sisäisessä viestinnässä ja tiedonkulussa. Lain soveltaminen tällaisiin palveluihin korosti työntekijöiden viestintäsalaisuuden suojaa myös työelämässä.

Lainsäädännön mukaan sähköinen viestintä, kuten sähköposti, kuuluu viestintäsalaisuuden piiriin, joka on turvattu paitsi sähköisen viestinnän tietosuojalaissa, myös perustuslaissa (731/1999, 10 §) ja rikoslaissa (39/1889). Näin ollen työnantajilla ei ole vapaata oikeutta tarkastella työntekijöiden sähköpostiliikennettä ilman perusteltua syytä ja lakiin perustuvaa menettelyä.

Sähköisen viestinnän tietosuojalakia on myöhemmin päivitetty ja sen sisältö on osittain sulautettu osaksi tietoyhteiskuntakaarta (917/2014), joka yhdisti useita sähköisen viestinnän säädöksiä yhdeksi kokonaisuudeksi. Vaikka alkuperäinen laki ei enää sellaisenaan ole voimassa, sen keskeiset periaatteet elävät edelleen suomalaisessa lainsäädännössä ja vaikuttavat suoraan myös EU:n yleisen tietosuoja-asetuksen (GDPR) soveltamiseen.
Tehtävälista
Laadi ja tiedota sähköpostin käytön pelisäännöt

  1. Laadi organisaation sähköpostikäyttöä koskevat sisäiset ohjeet (yhteistoimintamenettelyssä).
  2. Tiedota työntekijöille sähköpostin ja tietoverkon käytön ehdoista ja rajoituksista.

Tarjoa vaihtoehtoisia toimintamalleja

  1. Suunnittele ja ota käyttöön tekniset tai hallinnolliset keinot (esim. automaattiset poissaoloviestit, varasähköpostiosoitteet), joilla voidaan varmistaa työnantajalle kuuluvien sähköpostiviestien vastaanotto ilman, että työntekijän viestejä tarvitsee lukea.

Hanki työntekijän suostumus viestien käsittelyyn (jos mahdollista)

  1. Pyydä työntekijältä kirjallinen suostumus käyttäjätunnusten ja salasanojen luovuttamiseen väliaikaisesti.
  2. Suostumus voi koskea poikkeustilanteita, ja sitä tulee käyttää vain tarvittaessa.

Yritä tavoittaa viestin vastaanottaja tai lähettäjä

  1. Tavoittaminen voi tapahtua puhelimitse, tekstiviestillä tai muun sähköpostiosoitteen kautta.
  2. Ennen kuin avataan työntekijälle saapunut sähköpostiviesti, on työnantajan yritettävä kohtuullisin keinoin tavoittaa:

  • Viestin vastaanottaja (työntekijä), tai
  • Viestin lähettäjä, esimerkiksi asiakas tai viranomainen

Tarkista viestin otsikkotiedot ja välitystiedot

  1. Arvioi, liittyykö viesti selvästi työnantajan toimintaan ilman viestin avaamista.
  2. Viesti voidaan avata vain, jos otsikkotiedot viittaavat siihen, että sisältö liittyy työnantajalle kuuluvaan asiaan.

Kirjaa toimenpiteet ja perustelut

  1. Dokumentoi kaikki toimenpiteet, joihin on ryhdytty ennen viestin avaamista.
  2. Perustelut viestin avaamiselle tulee voida osoittaa jälkikäteen esimerkiksi valvovalle viranomaiselle.

Vasta viimeisenä keinona: viestin avaaminen
Jos kaikki yllä mainitut toimenpiteet ovat epäonnistuneet, ja on ilmeistä, että sähköposti liittyy työnantajan toimintaan, työnantajalla on oikeus avata viesti. Tämä tulee tehdä huolellisesti ja vain välttämättömän sisällön osalta.
Asia Tapauksia
Tietoyhteiskuntakaari merkitsi merkittävää edistystä suomalaisessa viestintälainsäädännössä. Se toi selkeyttä, ajantasaisuutta ja läpinäkyvyyttä sähköpostiviestinnän ja muun digitaalisen viestinnän sääntelyyn. Yksityisyyden suoja, viestintäsalaisuus ja tietoturva ovat nyt aiempaa vahvemmin turvattuja, mutta käytännön tulkinta ja työnantajan sekä työntekijän oikeuksien yhteensovittaminen vaativat edelleen harkintaa ja huolellista suunnittelua. Organisaatioiden on tärkeä laatia selkeät käytännöt ja viestiä niistä avoimesti henkilöstölleen.

Yleinen viestintäverkko ja sääntelyn uudistamisen tausta
Yleisellä viestintäverkolla tarkoitetaan viestintäverkkoa, jota tarjotaan ennalta rajaamattomalle käyttäjäpiirille, esimerkiksi internet kuuluu tähän määritelmään. Ennen tietoyhteiskuntakaarta sähköistä viestintää koskeva sääntely oli hajanaista ja jakautunut useisiin eri lakeihin. Tämä aiheutti oikeudellista epäselvyyttä, erityisesti yrityksien ja yksityishenkilöiden välisissä oikeussuhteissa.

Liikenne- ja viestintäministeriö aloitti tietoyhteiskuntakaaren valmistelun syyskuussa 2011. Hallitus antoi lakiesityksen eduskunnalle tammikuussa 2014, ja kaari hyväksyttiin lokakuussa 2014. Se tuli pääosin voimaan vuoden 2015 alussa. Samassa yhteydessä kumottiin myös niin sanotut Lex Nokia -säännökset, jotka herättivät aikanaan runsaasti keskustelua työnantajien oikeuksista työntekijöiden sähköposteihin.

Laajentunut vastuu viestinnän välittäjille
Tietoyhteiskuntakaari laajensi yksityisyyden suojan ja tietoturvavelvoitteet koskemaan perinteisten teleoperaattoreiden lisäksi kaikkia viestinnän välittäjiä, mukaan lukien yritykset ja organisaatiot, jotka tarjoavat sähköpostipalveluita henkilöstölleen. Samalla tapahtui terminologinen muutos: aiemmin käytetty välitystieto-käsite muuttui muotoon välitystiedot.

Tietoyhteiskuntakaari velvoittaa yrityksiä ilmoittamaan välitystietojen käsittelystä tietosuojavaltuutetulle ennen käsittelyn aloittamista (18 luku, 154 §) sekä toimittamaan vuosittain selvityksen manuaalisesta käsittelystä. Näin halutaan varmistaa läpinäkyvyys ja valvottavuus.

Sähköpostiviestinnän valvonta työpaikalla
Sähköpostin ja tietoverkon käyttöä koskevien periaatteiden käsittely kuuluu yhteistoimintamenettelyn piiriin. Työnantajan on tiedotettava henkilöstölle sähköpostin ja tietoverkon käytöstä (YksTL 18–20 §; YTL 19 §, kohta 4). Lainsäädäntö ei kuitenkaan suoraan määritä, saako työntekijä käyttää työnantajan sähköpostijärjestelmää yksityisluonteiseen viestintään. Kohtuullinen käyttö on monissa yrityksissä on sallittua, kunhan se ei haittaa työntekoa.

Työnantaja ei saa lukea työntekijän sähköpostiviestejä, vaikka olisi kieltänyt sähköpostin käytön yksityisiin tarkoituksiin. Viestintäsalaisuuden suoja on perustuslaillinen oikeus (PL 10 §), ja sen rikkominen ilman lainmukaista perustetta on kiellettyä. Viestien avaaminen ilman suostumusta on sallittua vain erityistilanteissa ja selkeästi rajatuin ehdoin, esimerkiksi kun kyseessä on työnantajalle kuuluvan tiedon kiireellinen tarpeellisuus.

Käytännön menettelyt ja viestien käsittely
Sähköpostiviestin saa avata vain, jos:

  • On ilmeistä, että viesti liittyy työnantajan toimintaan,
  • Viestin vastaanottajaa tai lähettäjää on ensin yritetty tavoittaa tuloksetta,
  • Viestin sisältöä ei ole muutoin mahdollista saada työnantajan käyttöön.

Viestin avaamisen tulee perustua otsikkotietoihin tai välitystietoihin, ei pelkkään epäilykseen. Suostumuksella tapahtuva sähköpostin käsittely edellyttää, että työntekijä itse luovuttaa tunnuksensa ja salasanansa.

Outlookin "poissaoloviestin" (ulkonatilan viesti) aktivointi muun kuin tilinhaltijan toimesta vaatii erillisen suostumuksen. Viestin sisältö ei saa paljastaa arkaluonteisia tietoja, kuten terveydentilaa. Poissaolon kesto voidaan ilmoittaa, jos se on tiedossa.

Rangaistukset ja oikeudelliset seuraamukset
Sähköisen viestinnän tietosuojarikkomuksesta voidaan tuomita sakkorangaistus, mikäli rikkomus ei ole jo muualla laissa säädetty ankarammin rangaistavaksi. Vähäisestä rikkomuksesta ei rangaistusta kuitenkaan määrätä. Yrityksissä on havaittu yksittäisiä tapauksia, joissa työntekijöiden sähköposteja tai niiden tunnistetietoja on käsitelty ilman laillista perustetta. Näissä tilanteissa tietosuojavaltuutetun lausunnot ja selvitykset ovat olleet keskeisessä roolissa.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön