Straffbestämmelser
Den allmänna tiden för väckande av talan vid dataskyddsbrott och brott mot lagen om integritetsskydd i arbetslivet är två år. Dataskyddsbrott, sekretessbrott mot personregister och kränkning av kommunikationshemlighet är målsägandebrott.
Straffbestämmelserna i 24 § i lagen om integritetsskydd i arbetslivet
- Straffbestämmelserna i 26 § i dataskyddslagen
- Dataskyddsbrott: 9 § i 38 kap. i strafflagen
- Kränkning av kommunikationshemlighet och grov kränkning av kommunikationshemlighet: 3 och 4 § i 38 kap. i strafflagen
- Dataintrång och grovt dataintrång: 8 och 8 a § i 38 kap. i strafflagen
- Brott mot tystnadsplikten enligt 35 § i dataskyddslagen: enligt 38 kap. 1 eller 2 § i strafflagen, om inte gärningen är straffbar enligt 40 kap. 5 § i strafflagen eller strängare straff någon annanstans i lag
Enligt 24 § i lagen om integritetsskydd i arbetslivet ska en arbetsgivare eller en företrädare för denna för brott mot lagen om integritetsskydd i arbetslivet dömas till böter, om inte strängare straff för gärningen föreskrivs någon annanstans i lag, om arbetsgivaren uppsåtligen eller av grov oaktsamhet
- i strid med 5 § 1 mom. behandlar uppgifter om arbetstagares hälsotillstånd
- i strid med 5 a § inhämtar eller använder en arbetssökandes eller en arbetstagares personkreditupplysningar
- i strid med 7 § tar emot eller i övrigt behandlar uppgifter i arbetstagarens intyg över narkotikatest
- i strid med 8 § kräver att arbetstagaren ska uppvisa ett intyg över narkotikatest eller i övrigt behandlar uppgifter i intyget
- bryter mot bestämmelserna i 9 § om upplysningsplikt
- i strid med 13 § 1 mom. testar en arbetstagare genom person- eller lämplighetsbedömningar utan dennas samtycke eller underlåter att se till att testmetoden är tillförlitlig, att testen utförs av sakkunniga eller att de uppgifter som fås genom testet är korrekta
- bryter mot bestämmelserna i 13 § 2 mom. om att arbetstagaren ska ges ett skriftligt utlåtande eller en utredning om innehållet i ett muntligt utlåtande
- i strid med 14 § anlitar annan än yrkesutbildad personal inom hälso- och sjukvården, annan än personal med behörig laboratorieutbildning eller andra än hälso- och sjukvårdstjänster
- i strid med 15 § kräver att en arbetstagare deltar i en genetisk undersökning eller inhämtar information om en genetisk undersökning som arbetstagaren genomgått
- i strid med 16 § genomför kameraövervakning
- bryter mot bestämmelserna i 17 § om öppenhet vid kameraövervakning
- i strid med 19 § hämtar eller
- i strid med 20 § öppnar ett meddelande som arbetstagaren mottagit eller skickat
- bryter mot bestämmelserna i 21 § 2 mom. om definierings- eller informationsskyldighet, eller
- bryter mot bestämmelserna i 23 § om framläggning av denna lag.
Bestämmelser om straff för dataskyddsbrott, dataintrång, olovlig observation, olovlig avlyssning, kränkning av kommunikationshemlighet, sekretessbrott och tjänstebrott finns i strafflagen (39/1889).
- Den allmänna tiden för väckande av talan vid dataskyddsbrott och brott mot lagen om integritetsskydd i arbetslivet är 2 år.
- Dataskyddsbrott, sekretessbrott mot personregister och kränkning av kommunikationshemlighet är målsägandebrott.
- Dataombudsmannen har inga förundersökningsbefogenheter. Om ett brott misstänks, kan en begäran om utredning eller en brottsanmälan göras till polisen, som utför förundersökningen. Efter det överförs ärendet till åklagaren för åtalsprövning. Domstolen avgör ärendet i sista hand.
- En allmän åklagare ska höra dataombudsmannen innan åklagaren väcker åtal för sekretessbrott mot personregister, sekretessförseelse, kränkning av kommunikationshemlighet, grov kränkning av eller dataintrång i kommunikationshemlighet eller dataskyddsbrott.
Annan lagstiftning: arbetstagarens elektroniska meddelanden, webbsurfande och positionering
Kommunikationens konfidentialitet: lagen om tjänster inom elektronisk kommunikation
Lagen om tjänster inom elektronisk kommunikation (917/2014) 136 § Kommunikationens och förmedlingsuppgifternas konfidentialitet
- En kommunikationspart får behandla sina egna elektroniska meddelanden och förmedlingsuppgifter om dem, om inte något annat föreskrivs i lag.
- Andra elektroniska meddelanden och förmedlingsuppgifter får behandlas med kommunikationsparternas samtycke eller om så föreskrivs i lag.
- Den som har tagit emot eller annars fått kännedom om ett elektroniskt meddelande, radiokommunikation eller förmedlingsuppgifter som inte är avsedda för honom eller henne, får inte utan samtycke av en kommunikationspart röja eller utnyttja meddelandets innehåll, förmedlingsuppgifterna eller uppgifterna om meddelandets existens, om inte något annat föreskrivs i lag.
Enligt 38 kap. 3 § i strafflagen gör sig den person skyldig till kränkning av kommunikationshemlighet som obehörigen
- öppnar ett brev eller ett annat tillslutet meddelande som är adresserat till någon annan eller genom att bryta ett säkerhetsarrangemang skaffar uppgifter om ett meddelande som har upptagits elektroniskt eller med någon annan sådan teknisk metod och som är skyddat mot utomstående, eller
- skaffar uppgifter om innehållet i samtal, telegram, text-, bild- eller dataöverföring eller något annat motsvarande telemeddelande som förmedlas genom telenät eller informationssystem eller om avsändande eller mottagande av ett sådant meddelande, och ska för kränkning av kommunikationshemlighet dömas till böter eller fängelse i högst två år. Försök är straffbart.
E-post och konfidentialitet i kommunikationen
Case: Arbetsgivaren håller en tidigare arbetstagares e-post öppen och har enligt påstående av arbetstagaren läst arbetstagarens e-post.
Dataombudsmannens ställningstagande och vägledning 21.7.2006
Efter att en arbetstagares anställningsförhållande upphör föreligger inte längre någon grund att behandla arbetstagarens e-postadress (personuppgift). För att minimera meddelandena och fullgöra omsorgsplikten ska e-post stängas efter att ett anställningsförhållande upphört och senast då arbetstagaren så kräver som ett ärende som gäller rättelse av ett fel enligt personuppgiftslagen. E-post och konfidentialitet i kommunikationen
Också öppnande av ett personligt e-postkonto av arbetsgivaren eller administratören på så sätt att ett frånvaromeddelande som gäller arbetstagaren läggs till för hans eller hennes räkning, förutsätter i första hand ett samtycke, såvida inte de berättigandegrunder som föreskrivits i 18–20 § i lagen om integritetsskydd i arbetslivet föreligger. Dataombudsmannen konstaterade i sitt ställningstagande: "Eftersom ni meddelat att ni stängt era tidigare arbetstagares e-postkonton och ni berättar att ni inte hämtat, öppnat och läst era arbetstagares e-postmeddelanden, anser jag att ärendet inte ger orsak till ytterligare åtgärder."
Case: Helsingfors TR 17.2.2006 ärende R 05/666. En arbetsgivare som läst och obehörigen hållit öppen en tidigare arbetstagares e-post i ca 3 månader i strid med arbetstagarens samtycke har dömts för kränkning av kommunikationshemlighet och personregisterbrott. Helsingfors HR 13.12.2006 R 06/1025. Laga kraft vunnen.
Case: Helsingfors HR 14.3.2006 ärende R 04/746. Dömts för kränkning av kommunikationshemlighet. Laga kraft vunnen.
En arbetstagares e-post då ett anställningsförhållande upphör
Ett e-postkonto i arbetstagarens namn och konfidentialitet i kommunikationen
- När ett arbetsförhållande upphör har arbetstagaren rätt att kräva att e-postkontot i hans eller hennes namn stängs. När ett anställningsförhållande upphör föreligger inte längre någon rättslig grund att behandla en arbetstagares e-postkonto, varför arbetsgivaren i syfte att trygga konfidentiell kommunikation ska stänga e-posten för den arbetstagare som slutar jobba. I enlighet med bestämmelserna i 18–20 § i lagen om integritetsskydd i arbetslivet är ett samtycke av arbetstagaren en förutsättning för att hålla en e-postadress öppen och befordra meddelanden med "vidarebefordra"-funktionen i en situation där ett anställningsförhållande avslutas.
- Rättelse av uppgifter ska krävas av den personuppgiftsansvarige. Arbetstagaren ska i första hand vända sig till den tidigare arbetsgivaren och kräva att denne stänger e-posten skriftligen. Se anvisningen på Dataombudsmannens sidor.
- Med samtycke avses alla former av frivilliga, specifika, informerade och otvetydiga viljeyttringar, med vilka en registrerad godkänner behandling av personuppgifter om honom eller henne. Samtycket ska kunna återkallas när som helst. Ett samtycke av arbetstagaren ska också finnas för vidareförmedling och läsning av en anställds e-post. Arbetsgivaren har bevisbörda vad gäller existensen av ett samtycke.
- Källa: Handbok i dataskydd i arbetslivet, dataombudsmannens webbplats >
Webbsurfande
Dataombudsmannens ställningstagande 8.10.2007:
"Eftersom lagen om integritetsskydd i arbetslivet inte innehåller bestämmelser om rätten att följa identifieringsuppgifter i kommunikationen, tillämpas 10 § i grundlagen, 4 § och 5 § i lagen om stark autentisering och betrodda elektroniska tjänster (nuvarande lagen om tjänster inom elektronisk kommunikation (917/2014) 17 kap. 136 §) och lagen om integritetsskydd i arbetslivet 21 §."
RP 125/2003 rd, RP 48/2008 rd, förslag till lag om dataskydd vid elektronisk kommunikation:
- "Bläddrande på webbplatser faller inom lagens tillämpningsområde, eftersom det vid bläddrande i för allmänheten öppna sidor på servrar i allmänhet kvarblir uppgifter på servern, eller via kommunikationsnätet på terminalutrustningen, med vilkas hjälp kommunikationen kan sättas i samband med mottagaren."
- Inte tillåtet att användas för övervakning och observation av arbetstagare, t.ex. genom att samla in dessa förmedlingsuppgifter (identifieringsuppgifter) inom kommunikation: konfidentiell kommunikation.
- Arbetsgivaren kan dock inom ramen för arbetsledningsrätten fatta beslut om regler om surfande på nätet på arbetsplatsen eller t.ex. blockera sidor (hela organisationen eller en del).
17 kap. i lagen om tjänster inom elektronisk kommunikation innehåller bestämmelser om rätten att ingripa i kommunikation
- 142 §: behandling för statistisk analys och anonymiserad data
- 138 §: behandling för att förmedla kommunikation, producera tjänster och sörja för informationssäkerheten: ingripande i datasäkerhetsärenden, bl.a. radering av skadliga meddelanden. Den behöriga myndigheten är Transport- och kommunikationsverket Traficom.
Kataloger och filer i datasystem
Lagen om integritetsskydd i arbetslivet innehåller inte bestämmelser om filer som lagrats i katalogsystem i datasystem, diskutrymmen eller lösa minnesenheter, såsom USB-stickor. Dataombudsmannen har inte allmän behörighet att ge anvisningar om behandlingen i dessa fall, utan de allmänna obligationsrättsliga bestämmelserna blir tillämpliga.
En fil (en handling, ett dokument, en tabell, en bild, ett foto, en presentation osv.) jämställs i regel med lös egendom. Man måste bedöma vem som kan anses inneha äganderätten till filen. Konfidentialitet i kommunikationen gäller i regel inte för filer som lagrats på ovan nämnda plattformar. Det ska bedömas från fall till fall, om det handlar om kommunikation.
Organisationen ska i de skriftliga användningsreglerna för sina datanät definiera och ge vägledning vad gäller lagring, behandling och åtkomsträttigheter rörande dokument och filer som hör till organisationen.
Lagen om integritetsskydd i arbetslivet, 21 §: arbetsgivaren ska fastställa och underrätta sina arbetstagare om användning av e-post och datanät.
Dataombudsmannens ställningstagande dnr 14/41/2005:
Ur arbetsgivarens synvinkel är det lagligt och sakligt motiverat att använda och behandla personuppgifter som beskriver åtkomsträttigheterna till datorer och datasystem och som hör till arbetsgivarens bestämmanderätt, i syfte att få tillgång till lagrade filer. Behandlingen av sådana personuppgifter uppfyller också relevanskravet i 3 § i lagen om integritetsskydd i arbetslivet.
Däremot har arbetsgivaren inte någon laglig och sakligt motiverad grund att använda och behandla ovan nämnda personuppgifter som beskriver åtkomsträttigheterna för att få tillgång till arbetstagarnas personliga filer som inte är relaterade till arbetet, där att arbetsgivaren gett arbetstagarna möjlighet att använda datorn för personliga ändamål.
Dataombudsmannen vägledde att personer som avgår från en tjänst ska ges ett förordnande om att radera filer som inte anknyter till arbetsuppgifterna innan tjänsteförhållandet upphör. Naturligtvis ska man redan då arbetsredskap överlämnas till arbetstagarna ge instruktioner om hur de ska användas och också beakta åtgärder som hänför sig till slutet av ett tjänsteförhållande.
Positionering av en arbetstagare
Dataombudsmannens ställningstagande 22.12.2010 om positionering i arbetslivet:
- Till exempel vad gäller spårning och övervakning av egendom som transporteras (positionering av egendom) blir inte lagarna tillämpliga.
- Om indirekt positionering av en arbetstagare hänför sig till arbetsgivarens fordon (t.ex. positioneringsanordning som installerats i ett fordon), ska detta också ses som positionering av arbetstagaren, om avsikten är att styra personalresurserna eller om det utifrån fordonet är möjligt att ta reda på vem som använt fordonet vid en viss tidpunkt t.ex. utifrån ett skiftschema.
Positionering kan anses utgöra övervakning med tekniska metoder enligt 21 §, vars ibruktagande omfattas av samarbetsförfarandet. Information om ändamålen i fråga om behandlingen av personuppgifter ska ges på ett transparent sätt i enlighet med dataskyddsförordningen.