Välitystietojen käsittely
Yritysturvallisuus > Yksityisyyden suoja
Välitystietojen käsittely
Suomessa yrityksillä on tietyin edellytyksin oikeus käsitellä oman viestintäverkkonsa välitystietoja. Tämä oikeus on kuitenkin tarkasti rajattu ja edellyttää lakiin perustuvaa syytä. Yhteiskuntakaaren (917/2014) 147–156 §:ssä säädetään niistä tilanteista, joissa yritys voi käsitellä välitystietoja muun muassa maksullisten tietoyhteiskunnan palveluiden, viestintäverkon tai viestintäpalvelun luvattoman käytön estämiseksi ja selvittämiseksi. Lisäksi käsittely voi liittyä rikoslain 30 luvun 11 §:ssä tarkoitetun yrityssalaisuuden paljastamisen ehkäisyyn.
Välitystietojen käsittely ei ole sallittua kevyin perustein. Kyseessä on poikkeus pääsäännöstä, jonka mukaan viestintä ja siihen liittyvät tiedot ovat luottamuksellisia ja suojattuja. Yrityksen tulee noudattaa tarkasti laissa säädettyjä menettelyjä ja varmistaa, että tietojen käsittely perustuu todelliseen ja yksilöitävissä olevaan epäilyyn laittomasta toiminnasta.
Lainsäädännön keskeinen tavoite on, että yritykset toimivat ennaltaehkäisevästi. Tämä tarkoittaa, että yrityksen tulisi ensisijaisesti antaa henkilöstölle selkeät ja asianmukaiset ohjeet tietoverkon käytöstä sekä huolehtia viestintäverkon ja -palveluiden tietoturvasta. Kun ohjeistus ja tietoturva ovat kunnossa, ei tarvetta työntekijöiden viestintään liittyvien välitystietojen käsittelyyn yleensä synny.
Yrityksellä ei siis ole yleistä oikeutta valvoa työntekijöidensä viestintää, vaan se saa puuttua siihen vain lain määrittelemissä poikkeustilanteissa ja hyvin tarkasti rajatuin perustein. Tämä heijastaa suomalaista oikeusjärjestystä, jossa yksityisyyden suoja ja viestintäsalaisuus ovat keskeisiä perusoikeuksia.
Yrityksille asetetut velvoitteet viestintäverkon käytön ohjeistamisesta ja tietoturvan varmistamisesta ovat paitsi oikeudellisia myös käytännöllisiä. Ne auttavat ehkäisemään väärinkäytöksiä ja mahdollistavat sen, että työntekijöiden luottamus työnantajaan säilyy. Toimiva tietoturvapolitiikka ja selkeä viestintä yrityksen sisällä vähentävät riskejä ja lisäävät tehokkuutta, ilman tarpeettomia loukkauksia työntekijöiden yksityisyyteen.
Yrityksen velvollisuudet
Yrityksellä on velvollisuus estää yrityssalaisuuksien paljastuminen viestintäverkon kautta. Yrityksen on kirjallisesti ohjeistettava yrityssalaisuuksien turvallinen käsittely viestintäverkkoa käytettäessä. Ohjeen tulee sisältää ainakin seuraavat asiat:
- Yrityksen on ennen väärinkäytöksiin liittyvien välitystietojen käsittelyyn ryhtymistä yksilöitävä (nimettävä) ne henkilöt, joiden tehtäviin välitystietojen käsittely väärinkäytöstilanteissa kuuluu tai määriteltävä mainitut tehtävät.
- Yrityksen velvollisuus on ennen väärinkäytöksiin liittyvien välitystietojen käsittelyyn ryhtymistä huolehtia oman viestintäverkkonsa turvallisuudesta.
- Yrityksen on rajoitettava viestintäverkkoon pääsyä sekä toteutettava asianmukaiset turvallisuustoimenpiteet.
- Yrityksen on määriteltävä ja kirjallisesti ohjeistettava minkälaisia sähköisiä viestejä viestintäverkon kautta saa välittää ja hakea.
- Yrityksen on määriteltävä ja kirjallisesti ohjeistettava, miten viestintäverkkoa ja viestintäpalvelua saa muutoin käyttää ja minkälaisiin kohdeosoitteisiin viestejä ei saa lähettää.
Yrityksen on määriteltävä, miten yrityssalaisuuksia saa viestintäverkossa siirtää, luovuttaa tai muutoin käsitellä. Yrityksen on määriteltävä mihin kohdeosoitteisiin yrityssalaisuuksien käsittelyyn oikeutetut henkilöt eivät ole oikeutettuja lähettämään sähköisiä viestejä (yleensä saman toimialan kilpailevat yritykset).Yritys voi tietyin edellytyksin käsitellä välitystietoja luvattoman käytön selvittämiseksi automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.
Yritys voi tietyin edellytyksin käsitellä välitystietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle.
Yrityksen välitystietoja voivat käsitellä vain yrityksen viestintäverkon ja viestintäpalvelun ylläpidosta ja tietoturvasta sekä turvallisuudesta huolehtivat henkilöt.
Yrityksen on huolehdittava, että välitystietojen käsittelykäytänteet ja niiden perusteet on käsitelty yhteistoiminnasta yrityksissä annetun lain (334/2007 4 luvun 19 §:n 4 momentti) mukaisessa yhteistoimintamenettelyssä.
Yrityksen on tiedotettava välitystietojen käsittelystä tekemänsä päätökset työntekijöille tai heidän edustajilleen. Jos yritys ei kuulu yhteistoimintalainsäädännön piiriin, on työnantajan varattava työntekijöille tai heidän edustajilleen tilaisuus tulla kuulluksi välitystietojen käsittelykäytänteistä ja niiden perusteista.
Välitystiedoista muodostuu henkilörekisteri siltä osin kuin niistä tallentuu tunnistettavia luonnollisia henkilöitä koskevia henkilötietoja.