7.10.2016

Sähköisen viestinnän tietosuojasta

Sähköisen viestinnän tietosuojasta annetun lain päätarkoituksena on parantaa yritysten mahdollisuuksia suojata yrityssalaisuuksiaan. Yritykset, joiden toimintaan liittyy paljon tutkimista ja tuotekehittelyä, omaavat tietoja, joita halutaan suojata yrityssalaisuuksina. 

Rikoslain puolella on säädetty rangaistavaksi yrityssalaisuuksien oikeudeton ilmaiseminen palvelussuhteen aikana ja vielä kaksi vuotta sen päättymisen jälkeenkin. Yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta taikka tietoa, jonka elinkeinoharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa elinkeinoharjoittajalle. On koettu ongelmaksi, että yrityksellä on puutteelliset mahdollisuudet saattaa tutkittavaksi yrityssalaisuuksien luvattomat luovuttamiset, jos luovutus on tapahtunut sähköisessä muodossa.

Vanhan lain perusteella työnantajalla oli käytettävissään eräitä tietohallinnollisia keinoja yrityssalaisuuksien oikeudettoman paljastamisen selvittämiseksi, kuten käyttäjälokien tarkistaminen, pääsyä rajoittavien järjestelmiin kirjautuvien tietojen tarkistaminen sekä järjestelmien teknisessä ylläpidossa kerätyt tiedot. Tietojärjestelmiä voitiin siis seurata väärinkäytöksiä selvitettäessä erilaisten käyttäjä-, tallennus- ja muiden lokitietojen avulla. Työnantajan piti kuitenkin etukäteen suunnitella toimenpiteet henkilötietolain tarkoittamalla tavalla ja käsitellä asia yhteistoimintamenettelyssä siten, kuin työelämän tietosuojalaissa on säädetty.

Uudessa laissa työnantajalle on annettu rajoitettu oikeus käsitellä työntekijöiden sähköpostiviestinnän tunnistamistietoja tarkoituksena selvittää, onko työntekijä luvattomasti paljastanut yrityssalaisuuksia. Kysymys on kuitenkin vain sähköpostin tunnistamistietojen käsittelyoikeudesta, itse viestiä ei saa avata tai muullakaan tavoin selvittää sen sisältöä. Työnantajalle ei muutoinkaan ole annettu oikeutta seurata kaikkien työntekijöiden sähköpostiviestien tunnistamistietoja. Käsittely saa kohdistua vain sellaisten työntekijöiden sähköpostien tunnistamistietoihin, joilla työtehtävissään on mahdollisuus ja oikeus käsitellä yrityssalaisuuksia sisältäviä aineistoja. Lähinnä tällöin tulee kyseeseen asiantuntija- ja kehitystehtävissä työskentelevät henkilöt.

Käsittelyoikeus jakautuu automaattiseen ja manuaaliseen käsittelyoikeuteen. Automaattinen käsittely kohdentuu hakutoimintojen avulla, joka perustuu viestien kokoon, tyyppiin, lukumäärään tai kohdeosoitteeseen. Manuaaliseen käsittelyyn työnantaja voi turvautua vasta, jos laissa tarkemmin mainitut edellytykset viestien osalta täyttyisivät. Kysymys on tällöin automaattisessa hakutoiminnassa havaitusta poikkeamasta normaalissa viestinnässä.

Työntekijän oikeussuoja on kuitenkin turvattu lailla siten, että työnantajalle on asetettu varsin laajat ja yksityiskohtaiset menettelytapavelvoitteet. Työnantajan tulisikin ensisijaisena toimenpiteenään saattaa tietoturvansa kuntoon rajoittamalla pääsyä yrityssalaisuuksiin sekä ryhtymällä muihin toimenpiteisiin tietojen asianmukaiseksi suojaamiseksi. Lisäksi tulisi määritellä, miten yrityssalaisuuksia viestintäverkossa siirretään tai käsitellään ja minkälaisiin kohdeosoitteisiin tietoja voidaan lähettää. Työnantajan on lisäksi tunnistamistietojen manuaalisen käsittelyn johdosta annettava erillinen selvitys, ja menettelyn aloittamisesta on annettava informaatiota tietosuojavaltuutetulle. Myös vuosittaiset raportit viestien manuaalisesta käsittelystä tulee antaa työntekijöiden edustajille ja tietosuojavaltuutetulle. Työnantaja ei saa vapaasti avatata ja tutkia työntekijöiden yksittäisiä sähköpostiviestejä.

Heikki Tommila