Tietopankki työsuhteesta

Tunnistamistietojen käsittely

Tunnistamistietojen käsittelyjen säännöt tunnetaan myös ns. Lex Nokiana. Yhteisötilaajilla (eli esim. työnantajalla) on tietyin edellytyksin oikeus käsitellä yrityksen koneelta lähetettyjen sähköpostien sekä verkkoliikenteen tunnistamistietoja, jos epäillään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista tai viestintäverkkoa epäillään käytettävän luvattomasti siten, että se aiheuttaa merkittävää haittaa yritykselle.

Tunnistamistiedot ovat käytännössä rinnastettavissa kirjeen tai paketin osoite- ja postileimatietoihin sekä paketin muotoon ja kokoon. Yhteisötilaaja saa käsitellä tietoja muun muassa sähköpostiviestien lähettäjästä ja vastaanottajasta, lähetysajasta sekä koosta ja muodosta, mutta eivät viestin sisältöä, otsikkonimiä tai liitetiedostoja. Tunnistamistietoja käsitellään ensisijaisesti automaattisella hakutoiminnolla. Työnantaja voi esim. palomuurista, reitittimestä tai palvelimelta selvittää viestien koon, yhteen lasketun koon, tiedoston tyypin, määrän, yhteystavan tai kohdeosoitteen. Manuaalinen käsittelyoikeus on vain väärinkäytösten selvittämisen kannalta välttämättömiin tietoihin. Manuaalinen käsittelyoikeus voi siten syntyä silloin, kun

  • automaattinen hakutoiminto on havainnut viestinnässä poikkeaman
  • yrityssalaisuus julkaistaan tai käytetään luvatta
  • tai on muu edellä mainittuihin syihin rinnastava syy epäillä väärinkäyttöä.

Mikäli tietoja on käsitelty manuaalisesti, pitää siitä aina tehdä kirjallinen ilmoitus käyttäjälle. Kirjallisessa ilmoituksessa tulee lisäksi ilmetä käsittelyn peruste. Manuaalisista käsittelyistä on lisäksi vuosittain annettava selvitykset henkilöstön edustajille sekä tietosuojavaltuutetulle. Tunnistamistietojen käsittely on sallittua vain siinä laajuudessa, että työnantaja pystyy riittävällä tarkkuudella yksilöimään poliisille tehtävän rikosilmoituksen tai tutkintapyynnön. Tietosuojavaltuutettu valvoo yhteisötilaajien tunnistamistietojen käsittelyä väärinkäytöstilanteissa.

Toimenpiteet ennen tunnistamistietojen käsittelyä

Ennen kuin työnantaja voi ryhtyä käsittelemään tunnistamistietoja, on sen laitettava tietoturva kuntoon. Työnantajan on määriteltävä mm., miten sen viestintäverkkoa tai palvelua saa käyttää, annettava kirjalliset ohjeet käyttäjälle, nimettävä ne ylläpidosta, tietoturvasta tai turvallisuudesta vastaavat henkilöt, jotka tunnistamistietoja voivat käsitellä, tiedotettava menettelystä ja käytännöistä, ilmoitettava tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta ja annettava tietosuojavaltuutetulle myös vuosittainen raportti käsittelystä. Työnantajan on lisäksi vietävä asia työpaikan yhteistoimintamenettelyyn. Yrityksissä, joissa ei sovelleta yhteistoimintalakia, työnantajan on ennen päätöksentekoa varattava työntekijöilleen tai heidän edustajilleen tilaisuus tulla kuulluksi.

Rangaistus säännösten rikkomisesta

Työnantaja tai tämän edustaja, joka tahallaan tai törkeästä huolimattomuudesta rikkoo tunnistamistietojen käsittelyä koskevia säännöksiä voidaan tuomita lain yksityisyyden suojasta työelämässä rikkomisesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta. Rangaistusta ei kuitenkaan tuomita, jos rikkomus on vähäinen.

<< Takaisin