Käytännön kysymyksiä

Millaisia tunnistamistietoja voidaan käsitellä yhteisötilaajan sisäistä laskutusta varten?

Tunnistamistietoja saa käsitellä ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa eikä käsittelyllä saa rajoittaa luottamuksellisen viestin ja yksityisyyden suojaa enempää kuin on välttämätöntä. Yleensä laskutusta varten riittää yhteyksien lukumäärän ja kestojen käsittely. Mikäli B-tilaajien yhteystietoja, kuten puhelinnumeroja on tarpeen käsitellä laskuttamisen oikeellisuuden vuoksi, on niitä pääsääntöisesti käsiteltävä siten, ettei yhteyden toista osapuolta voida tunnistaa.

Voiko työntekijän sähköpostiosoitteen ja sähköpostitilin säilyttää työsuhteen päätyttyä, jos työntekijälle mahdollisesti edelleen tulee työnantajan toimintaan liittyviä viestejä?

Yhteisötilaajia ovat yritykset ja yhteisöt, jotka käsittelevät viestintäverkossaan, kuten sisäisessä puhelin- tai tietoverkossaan käyttäjien luottamuksellisia viestejä, tunnistamis- tai paikkatietoja. Esimerkiksi yritys, joka hallinnoi omaa sähköpostipalvelintaan, on yhteisötilaaja.

Yhteisötilaajalla on oikeus käsitellä piiriinsä kuuluvien käyttäjien viestinnän tunnistamistietoja verkko- ja viestintäpalvelun käyttämiseksi, sisäistä laskutustaan varten sekä palvelun tietoturvasta huolehtimiseksi. Yhteisötilaaja voi käsitellä tunnistamistietoja myös viestinnän teknisen vian tai virheen havaitsemiseksi sekä oman toimintansa teknistä kehittämistä varten. Tunnistamistietoja voidaan käsitellä myös tietyn tyyppisissä väärinkäytöstilanteissa, jossa verkko-, viestintä- tai lisäarvopalvelun yksittäistä maksullista palvelua käytetään maksutta tai muuten siihen rinnastuvalla tavalla oikeudettomasti.

Sähköisen viestinnän tietosuojalaissa ei ole tarkemmin otettu kantaa työnantajan oikeuteen lukea työntekijän sähköpostien sisältöä. Lain 4 §:ssä kuitenkin todetaan viestinnän luottamuksellisuus yleisellä tasolla. Lisäksi laissa todetaan viestinnän osapuolen oikeus käsitellä omaa viestintäänsä. Lain perusteluissa todetaan, että myös yhteisö, esimerkiksi työnantaja-yritys, voi olla viestinnän osapuoli silloin, kun viestintä liittyy yksinomaan sen toimintaan eikä varsinaisesti sisällä mitään käyttäjä-työntekijän henkilökohtaista viestintää.

Laissa yksityisyyden suojasta työelämässä (759/2004) säännellään tilanteita, joissa työnantaja voi hakea työntekijän sähköpostista esille viestejä ja avata ne. Tavoitteena on, että työntekijän luottamuksellisten sähköpostiviestien salaisuus ei vaarannu ja että työnantajalle kuuluvat viestit voidaan työntekijän estyneenä ollessa saada työnantajan käyttöön. Sääntelyn tavoitteena on, että työntekijälle lähetettyjen tai tämän lähettämien työnantajaorganisaatiolle kuuluvien viestien selville saaminen ja avaaminen perustuisi työntekijän suostumukseen. Laki antaa kuitenkin työnantajalle mahdollisuuden saada selville sen toimintaan kuuluvat viestit niissä tilanteissa, joissa suostumusta ei ole mahdollista saada ja joissa tiedonsaanti on välttämätöntä työnantajan toiminnan jatkumisen turvaamiseksi.

Edellä mainituissa laeissa ei nimenomaisesti sanota, että työntekijän sähköpostiosoite tulisi poistaa työntekijän palvelussuhteen päättyessä, mutta tämä on kummankin lain mukainen ratkaisu. Mikäli sähköpostiosoitetta ei ole olemassa, saa viestin lähettäjä tavallisesti virheilmoituksen, jossa kerrotaan, ettei viestiä ole voitu toimittaa perille.

SVTSL:n 3 luvun mukaisia käsittelyn tarkoituksia ei ole enää olemassa työntekijän työsuhteen päättymisen jälkeiseen aikaan liittyvän viestinnän tunnistamistietojen osalta. SVTSL:n 4 §:n mukaan viestit (esimerkiksi sähköpostit) ovat luottamuksellisia. Edellä mainituilla perusteilla on pidettävä oikeana ratkaisuna, että työsuhteen päättyessä sähköpostiosoite suljetaan siten, ettei se ota enää vastaan viestejä. Muunlaisesta menettelystä on erikseen sovittava työntekijän kanssa.

Yksityisyyden suojasta työelämässä annetun lain ja henkilötietolain mukaan työnantajalla on oikeus käsitellä ainoastaan tarpeellisia henkilötietoja työntekijästä, eikä työntekijälle osoitettuja - työsuhteen päättymisen jälkeen saapuneita - viestejä olisi siten oikeutta käsitellä. Henkilötietolain ja yksityisyyden suojasta työelämässä annetun lain noudattamista valvoo Tietosuojavaltuutettu.

Voiko yhteisötilaaja rajoittaa käyttäjien pääsyä esimerkiksi tietyille Internet-sivustoille?

Mikäli viestinnän suodattaminen tapahtuu sisältöä taikka tunnistamistietoja analysoimalla, tulee suodattamisen ja tunnistamistietojen käsittelyn olla sähköisen viestinnän tietosuojalain mukaista eli suodattamisen tulee tapahtua viestintäpalvelun tietoturvallisuuden varmistamiseksi. Myöskään viestinnän sisältöä taikka tunnistamistietoja ei voi käsitellä muihin kuin laissa säädettyihin tarkoituksiin, ellei käyttäjä ole antanut muuhun suostumustaan.

Mikäli suodattaminen sen sijaan toteutetaan siten, että kaikkia domainnimiä/IP-osoitteita ei "mainosteta" nimipalvelimissa eli ne ovat tavallaan olemattomia käyttäjille, ei toiminnalle ole asetettu esteitä sähköisen viestinnän tietosuojalaissa, vaan kysymys on oikeudesta sananvapauteen (sananvapaudesta on säädetty muun muassa Suomen perustuslain 12 §:ssä sekä laissa sananvapauden käyttämisestä joukkoviestinnässä). Sen sijaan sähköisen viestinnän tietosuojalain säännökset rajoittavat sen mahdollisesti tallentuvan tiedon käsittelyä, kuka käyttäjä on koettanut päästä olemattomaan IP-osoitteeseen. Pääsääntöisesti tämän kaltaiselle tiedolle ei ole laillista käsittelyn tarkoitusta sähköisen viestinnän tietosuojalain mukaan eikä tietoa näin ollen tulisi tallentaa.