Rangaistussäännökset
Tietosuojarikoksen sekä työelämän tietosuojalain rikkomusten yleinen kanneaika on kaksi vuotta. Tietosuojarikokset, henkilörekisteriin kohdistuvat salassapitorikokset ja viestintäsalaisuuden loukkaus ovat asianomistajarikoksia.
Työelämän tietosuojalain 24 §:n rangaistussäännökset
- Tietosuojalain 26 § rangaistussäännökset
- Tietosuojarikos: rikoslain 38 luvun 9 §
- Viestintäsalaisuuden loukkaus ja törkeä viestintäsalaisuuden loukkaus: rikoslain 38 luvun 3 ja 4 §
- Tietomurto ja törkeä tietomurto: rikoslain 38 luvun 8 ja 8 a §
- Tietosuojalain 35 §:n vaitiolovelvollisuuden rikkominen: rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai muualla laissa ankarampi rangaistus
Työelämän tietosuojalain 24 §:n pykälän mukaan työnantaja tai tämän edustaja on tuomittava yksityisyyden suojasta työelämässä annetun lain rikkomisesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta, jos tämä tahallaan tai törkeästä huolimattomuudesta menettelee vastoin
- 5.1 §:n säännöksiä käsittelee työntekijän terveydentilaa koskevia tietoja
- 5 a §:n säännöksiä hankkii tai käyttää työnhakijan tai työntekijän henkilöluottotietoja
- 7 §:n säännöksiä ottaa vastaan tai muutoin käsittelee työnhakijan huumausainetestiä koskevaan todistukseen merkittyjä tietoja
- 8 §:n säännöksiä vaatii työntekijää esittämään todistuksen huumausainetestistä tai muutoin käsittelee siihen merkittyjä tietoja
- 9 §:n säännöksiä tiedonantovelvollisuudesta
- 13 §:n 1 momentin säännöksiä testaa työntekijän henkilö- tai soveltuvuusarvioinnein tämän suostumuksetta taikka jättää varmistamatta testaamismenetelmän luotettavuuden, testaajan asiantuntevuuden tai testauksella saatavien tietojen virheettömyyden
- 13 §:n 2 momentin säännöksiä kirjallisen lausunnon antamisesta tai selvityksen antamisesta suullisen lausunnon sisällöstä
- 14 §:n säännöksiä käyttää muuta kuin terveydenhuollon ammattihenkilöstöä, asianomaisen laboratoriokoulutuksen saanutta henkilöstöä tai terveydenhuollon palveluja
- 15 §:n säännöksiä edellyttää työntekijän osallistuvan geneettiseen tutkimukseen tai hankkii tiedon työntekijälle tehdystä geneettisestä tutkimuksesta
- 16 §:n säännöksiä toteuttaa kameravalvontaa
- 17 §:n säännöksiä kameravalvonnan avoimuudesta
- 19 §:n säännöksiä hakee esille tai
- 20 §:n säännöksiä avaa työntekijälle lähetetyn tai työntekijän lähettämän viestin
- 21 §:n 2 momentin säännöksiä määrittely- tai tiedottamisvelvollisuudesta taikka
- 23 §:n säännöksiä tämän lain nähtävänäpidosta.
Rangaistus tietosuojarikoksesta, tietomurrosta, salakatselusta, salakuuntelusta, viestintäsalaisuuden loukkauksesta, salassapitorikoksesta ja virkarikoksista säädetään rikoslaissa (39/1889).
- Tietosuojarikoksen sekä työelämän tietosuojalain rikkomusten yleinen kanneaika on 2 vuotta.
- tietosuojarikokset, henkilörekisteriin kohdistuvat salassapitorikokset ja viestintäsalaisuuden loukkaus ovat asianomistajarikoksia.
- Tietosuojavaltuutetulla ei ole esitutkintavaltuuksia. Mikäli epäillään rikosta, voidaan tehdä tutkintapyyntö tai rikosilmoitus poliisille, joka suorittaa esitutkinnan ja josta asia siirtyy syyttäjälle syyteharkintaan. Tuomioistuin ratkaisee asian viime kädessä.
- Virallisen syyttäjän on ennen henkilörekisteriin kohdistuvaa salassapitorikosta, salassapitorikkomusta, viestintäsalaisuuden loukkausta, törkeää viestintäsalaisuuden loukkausta tai tietomurtoa taikka tietosuojarikosta koskevan syytteen nostamista kuultava tietosuojavaltuutettua.
Muu lainsäädäntö: työntekijän sähköiset viestit, verkkosurffailu ja paikantaminen
Viestinnän luottamuksellisuus: laki sähköisen viestinnän palveluista
Laki sähköisen viestinnän palveluista (917/2014) 136 § Viestin ja välitystietojen luottamuksellisuus
- Viestinnän osapuoli voi käsitellä omia sähköisiä viestejään ja niihin liittyviä välitystietoja, jollei laissa toisin säädetä.
- Muita sähköisiä viestejä ja välitystietoja saa käsitellä viestinnän osapuolen suostumuksella tai jos laissa niin säädetään.
- Se, joka on ottanut vastaan tai muutoin saanut tiedon sähköisestä viestistä, radioviestinnästä tai välitystiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi viestin sisältöä, välitystietoa tai tietoa viestin olemassaolosta, ellei laissa toisin säädetä.
Rikoslain 38 luvun 3 §:ssä säädettyyn viestintäsalaisuuden loukkaukseen syyllistyy se, joka oikeudettomasti
- avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä tai
- hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta, on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi. Yritys on rangaistava.
Sähköposti ja viestinnän luottamuksellisuus
Case: Työnantaja pitää auki entisen työntekijän sähköpostia ja on työntekijän väittämän mukaan lukenut työntekijän sähköpostia.
Tietosuojavaltuutetun kannanotto ja ohjaus 21.7.2006
Työntekijän työsuhteen päätyttyä ei enää perustetta käsitellä työntekijän sähköpostiosoitetta (henkilötieto). Viestien minimoimiseksi ja huolellisuusvelvoitetta noudattaen sähköposti tulee sulkea työsuhteen päättyessä ja viimeistään työntekijän sitä vaatiessa henkilötietolain mukaisena virheen korjaamisasiana. Sähköposti ja viestinnän luottamuksellisuus
Myös henkilökohtaisen sähköpostitilin avaaminen työnantajan tai pääkäyttäjän toimesta siten, että sinne laitetaan työntekijää koskeva poissaoloviesti hänen puolestaan, edellyttää ensisijaisesti suostumusta, ellei tilanteessa tule kyseeseen työelämän tietosuojalain 18–20 §:ssä säädetyt oikeuttamisperusteet. TSV totesi kannanotossaan: ”Koska olette ilmoittaneet, että olette sulkeneet entisten työntekijöiden sähköpostitilit ja kerrotte, että ette ole hakeneet, avanneet tai lukeneet työntekijöiden sähköposteja, katson, ettei asia anna aihetta enempiin toimenpiteisiin.”
Case: Helsingin KäO 17.2.2006 asia R 05/666 Tuomittu viestintäsalaisuuden loukkauksesta ja henkilörekisteririkoksesta työnantaja, joka oli lukenut ja pitänyt auki oikeudettomasti entisen työntekijän sähköpostia noin 3 kuukauden ajan vastoin työntekijän suostumusta. Helsingin HO 13.12.2006 R 06/1025. Lainvoimainen.
Case: Helsingin HO 14.3.2006 asia R 04/746 Tuomittu viestintäsalaisuuden loukkauksesta. Lainvoimainen.
Työntekijän sähköposti työsuhteen päättyessä
Työntekijän nimellä oleva sähköpostitili ja viestinnän luottamuksellisuus
- Työsuhteen päättyessä työntekijällä on oikeus vaatia työsähköpostitilinsä sulkemista. Työsuhteen päättyessä ei ole enää olemassa laillista perustetta käsitellä työntekijän sähköpostitiliä, joten työnantajan tulee viestinnän luottamuksellisuuden turvaamiseksi sulkea pois lähteneen työntekijän sähköpostiosoite. Sähköpostiosoitteen auki pitäminen ja viestin kääntäminen "välitä edelleen" -toiminnolla vaatii työelämän tietosuojalain 18–20 §:n säännösten mukaisesti työntekijän suostumuksen silloin, kun kyse on työsuhteen päättymistilanteesta.
- Tietojen oikaisemista tulee vaatia rekisterinpitäjältä. Työntekijän tulee ensisijaisesti kääntyä entisen työnantajansa puoleen ja vaatia tältä sähköpostin sulkemista kirjallisesti. Ks. ohje TSV:n sivuilla.
- Suostumuksella tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn. Suostumus on milloin tahansa peruutettavissa. Myös työsähköpostin edelleen välittämiseen ja lukemiseen tulee olla työntekijän suostumus. Työnantajalla on näyttötaakka suostumuksen olemassaolosta.
- Lähde: Työelämän tietosuojan käsikirja tietosuojavaltuutetun sivuilla >
Verkkosurffailu
Tietosuojavaltuutetun kannanotto 8.10.2007:
”Koska työelämän tietosuojalaissa ei ole säännöksiä oikeudesta seurata viestinnän tunnistamistietoja, sovelletaan perustuslain 10 §, sävtl 4 §, 5 § (nyk. laki sähköisen viestinnän palveluista (917/2014) 17 luku 136 §) ja työelämän tietosuojalain 21 §.”
HE 125/2003 vp, HE 48/2008 vp, sähköisen viestinnän tietosuojalaiksi:
- ”Verkkosivujen selailu kuuluu lain soveltamisalaan, koska palvelinten yleisölle avoimia sivuja selattaessa palvelimelle tai viestintäverkon kautta päätelaitteelle jää yleensä tietoja, joiden avulla viestit voidaan yhdistää ne vastaanottavaan henkilöön.”
- Ei saa käyttää työntekijöiden valvontaan ja tarkkailuun, esimerkiksi keräämällä näitä viestinnän välitystietoja (tunnistamistietoja): luottamuksellista viestintää.
- Työnantaja voi työnjohto-oikeuden puitteissa kuitenkin päättää säännöistä, saako työpaikalla verkkosurffailla tai laittaa esim. sivuille eston (koko organisaatio tai osa).
Sähköisen viestinnän palveluista annetun lain 17 luvussa on säädetty oikeudesta puuttua viestintään
- 142 §: käsittely tilastollista analyysiä varten ja anonymisoitu tieto
- 138 §: käsittely viestinnän välittämiseksi ja palvelun toteuttamiseksi sekä tietoturvasta huolehtimiseksi: puuttuminen tietoturva-asioissa, mm. haittaviestien poistaminen. Toimivaltainen viranomainen on Liikenne- ja viestintävirasto Traficom.
Tietojärjestelmien hakemistot ja tiedostot
Tietojärjestelmien hakemistoihin, levytiloille tai irrallisille muistialustoille, esim. muistitikuille tallennettujen tiedostojen käsittelystä ei säädetä työelämän tietosuojalaissa. TSV:llä ei ole yleistä toimivaltaa ohjeistaa käsittelyä näissä tapauksissa, vaan sovellettavaksi tulevat yleiset velvoiteoikeudelliset säännökset.
Tiedosto (asiakirja, dokumentti, taulukko, kuva, valokuva, esitys, jne.) rinnastuu pääsääntöisesti irtaimeen esineeseen. On arvioitava, kenelle tiedoston omistusoikeuden voidaan katsoa kuuluvan. Viestinnän luottamuksellisuus ei pääsääntöisesti koske edellä mainituille alustoille tallennettuja tiedostoja. On arvioitava tapauskohtaisesti, onko kyseessä viestintä.
Organisaation tulee tietoverkkojensa kirjallisissa käyttösäännöissä määritellä ja ohjeistaa organisaatiolle kuuluvien asiakirjojen ja tiedostojen tallentamisesta ja käsittelystä sekä käyttöoikeuksista.
Työelämän tietosuojalaki 21 §: työnantajan on määriteltävä ja tiedotettava työntekijöille sähköpostin ja tietoverkon käytöstä.
TSV:n kannanotto dnro 14/41/2005:
Työnantajan kannalta on laillista ja asiallisesti perusteltua käyttää ja käsitellä määräysvaltaansa kuuluvien tietokoneiden ja tietojärjestelmien käyttöoikeuksia kuvaavia henkilötietoja, määräysvaltaansa kuuluviin, tallennettuihin tiedostoihin pääsemiseksi. Tällaisten henkilötietojen käsittely täyttää myös työelämän tietosuojalain 3 §:n tarpeellisuusvaatimuksen.
Sen sijaan työnantajan ei ole laillista ja asiallisesti perusteltua käyttää ja käsitellä em. käyttöoikeuksia kuvaavia henkilötietoja päästäkseen työntekijöiden henkilökohtaisiin, työhön liittymättömiin, tiedostoihin, vaikka työnantaja on antanut työntekijöille mahdollisuuden käyttää tietokonetta henkilökohtaisiin tarkoituksiin.
TSV ohjasi, että palveluksesta eroaville henkilöille annetaan määräys poistaa työtehtäviin liittymättömät tiedostot ennen palvelussuhteen päättymistä. Jo työvälineitä työntekijöiden käyttöön annettaessa tulisi ohjeistaa niiden käyttö ja ottaa huomioon myös palvelussuhteen päättymiseen liittyvät toimenpiteet.
Työntekijän paikantaminen
TSV:n kannanotto 22.12.2010 paikantamisesta työelämässä:
- Esimerkiksi kuljetettavan omaisuuden seuraamisessa ja valvonnassa (omaisuuden paikantaminen) lait eivät tule sovellettavaksi
- Jos työntekijän välillinen paikantaminen kohdistuu työnantajan ajoneuvoon (esim. ajoneuvoon asennettu paikannuslaite), on sitä myös pidettävä työntekijän paikantamisena, jos tarkoituksena on henkilöstöresurssien ohjaaminen tai ajoneuvon perusteella voidaan selvittää sen kulloinenkin käyttäjä esim. työvuorolistan perusteella.
Paikantamista voidaan pitää työelämän tietosuojalain 21 §:ssä tarkoitettuna teknisin menetelmin tapahtuvana valvontana, jonka käyttöönotto kuuluu yhteistoimintamenettelyn piiriin. Henkilötietojen käsittelyn tarkoituksista on informoitava läpinäkyvästi tietosuoja-asetuksen mukaisesti.