Praktiska frågor

Vilka identifieringsuppgifter får behandlas för en sammanslutningsabonnents interna fakturering?

Identifieringsuppgifterna får behandlas endast i den omfattning som behandlingens ändamål kräver. Behandlingen får inte begränsa skyddet av konfidentiella meddelanden eller integritetsskyddet mer än nödvändigt. För faktureringen räcker vanligen behandlingen av antal förbindelser och förbindelsernas varaktighet. Om det är behövligt att B-abonnenternas kontaktinformation, såsom telefonnummer, behandlas för korrekt fakturering, måste de i regel behandlas på ett sådant sätt att den andra kommunikationsparten inte kan identifieras.

Får arbetsgivaren bevara arbetstagarens e-postadress och e-postkonto efter att arbetsförhållandet har upphört, om arbetstagaren fortfarande får post som hänför sig till arbetsgivarens verksamhet?

Som sammanslutningsabonnenter räknas företag och sammanslutningar som behandlar användarnas konfidentiella meddelanden samt identifierings- eller lokaliseringsuppgifter i sitt kommunikationsnät, t.ex. i det interna telefon- eller informationsnätet. Exempelvis ett företag som förfogar över den egna e-postservern, är en sammanslutningsabonnent.

Sammanslutningsabonnenten har rätt att behandla identifieringsuppgifter för sina användares kommunikation i den utsträckning det behövs för att använda nät- och kommunikationstjänster, för den interna faktureringen och för att sörja för tjänsternas informationssäkerhet. Sammanslutningsabonnenten får också behandla identifieringsuppgifter för att upptäcka tekniska fel eller brister vid kommunikationen eller för att tekniskt utveckla sin egen verksamhet. Identifieringsuppgifter får dessutom behandlas i vissa fall av missbruk som omfattar gratisanvändning eller någon annan obehörig användning av enstaka avgiftsbelagda tjänster inom nättjänsten, kommunikationstjänsten eller mervärdestjänsten.

I lagen om dataskydd vid elektronisk kommunikation tas inte särskild ställning till arbetsgivarens rätt att läsa innehållet i arbetstagarens e-postmeddelanden. I lagens 4 § konstateras dock allmänt att kommunikation är konfidentiellt. Dessutom konstateras att en part i kommunikationen har rätt att behandla sin egen kommunikation. I motiveringen till lagen konstateras att en sammanslutning, t.ex. ett företag (arbetsgivare) kan vara en part i kommunikationen när kommunikationen enbart hänför sig till verksamheten och inte i sig innehåller någon personlig kommunikation för användare (arbetstagare).

I lagen om integritetsskydd i arbetslivet (759/2004) bestäms om situationer där arbetsgivaren får söka fram meddelanden i arbetstagarens e-post och öppna dessa meddelanden. Syftet är att hemligheten i arbetstagarens konfidentiella e-postmeddelanden inte äventyras och att meddelanden som tillhör arbetsgivaren tas i arbetsgivarens bruk även om arbetstagaren är förhindrad. Syftet med regleringen är att arbetstagaren skulle ge sitt samtycke till att arbetsgivaren får söka fram och öppna meddelanden som arbetstagaren har sänt eller tagit emot men som tillhör arbetsgivarorganisationen. Om det dock förekommer situationer där det inte är möjligt att få arbetstagarens samtycke ger lagen möjlighet för arbetsgivaren att få fram meddelanden som har samband med verksamheten i situationer där det är nödvändigt att få informationen för att trygga kontinuiteten i arbetsgivarens verksamhet.

I ovan nämnda lagar sägs inte uttryckligen att arbetstagarens e-postadress bör raderas när tjänsteförhållandet upphör, med det är en lösning som båda lagar avser. Om någon e-postadress inte finns, får meddelandets avsändare vanligen ett felmeddelande som säger att meddelandet inte har kunnat levereras.

Syften som avses i 3 kapitlet i lagen om dataskydd vid elektronisk kommunikation och som gäller behandlingen av identifieringsuppgifter i kommunikationen existerar inte längre efter att arbetstagarens arbetsförhållande har upphört. Enligt lagens 4 § är meddelanden (t.ex. e-postmeddelanden) konfidentiella. På basis av vad som sagts ovan kan det anses vara en riktig lösning, att e-postadressen stängs vid upphörandet av arbetsförhållandet på ett sådant sätt att adressen inte längre tar emot meddelanden. Vill man ha något annat förfarande, måste arbetsgivaren särskilt överenskomma om det med arbetstagaren.

Enligt lagen om integritetsskydd i arbetslivet och personuppgiftslagen har arbetsgivaren rätt att enbart behandla nödvändiga personuppgifter om arbetstagarna, och därför skulle arbetsgivaren inte ha rätt att behandla meddelanden som adresserats till arbetstagaren efter att arbetsförhållandet har upphört. Det är dataskyddsombudsmannen som utövar tillsyn över personuppgiftslagen och lagen om integritetsskydd i arbetslivet.

Får sammanslutningsabonnenter begränsa användarnas tillgång till vissa Internet-sidor?

Om filtrering av kommunikation sker genom analysering av innehållet eller identifieringsuppgifterna, bör filtreringen och behandlingen av identifieringsuppgifterna överensstämma med lagen om dataskydd vid elektronisk kommunikation, dvs. att filtreringen behövs för att säkerställa kommunikationstjänstens informationssäkerhet. Innehållet eller identifieringsuppgifterna i kommunikationen får inte heller behandlas för andra än i lagen bestämda ändamål, om inte användaren har gett sitt samtycke till något annat.

Om filtreringen i stället genomförs så att alla domännamn/IP-adresser inte "reklameras" i namnservrar, dvs. att de på sätt och vis är icke-existerande för användare, finns det inte hinder för begränsningen i lagen om dataskydd vid elektronisk kommunikation, utan det är fråga om rätt till yttrandefrihet (om yttrandefriheten bestäms i bl.a. i grundlagens 12 § samt i lagen om yttrandefrihet i masskommunikation). I stället begränsar bestämmelserna i lagen om dataskydd vid elektronisk kommunikation behandlingen av sådan eventuellt lagrad information om vilken användare som har försökt komma till den icke-existerande IP-adressen. I regel har sådan information ingen laglig avsikt med tanke på behandlingen enligt lagen om dataskydd vid elektronisk kommunikation, och informationen borde alltså inte lagras.