Tulostusversio

3/2008

Lex Nokia: Paremmat valmiudet yrityssalaisuuksien suojeluun

Teksti: Eija Warma

Lakiesitys antaisi työnantajalle oikeuden käsitellä sähköpostin tunnistamistietoja elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien vuotamisen ehkäisemiseksi. Työnantajalta vaadittavat ennakkotoimet voivat kuitenkin sellaisenaan ehkäistä keskeisten yrityssalaisuuksien vuotamisen suurelta osin.

Sähköisen viestinnän tietosuojalakia on ehdotettu muutettavaksi siten, että yhteisötilaajille (muun muassa työnantajat) annetaan oikeudet käsitellä tunnistamistietoja automaattisen tietojenkäsittelyn avulla. Siten pyritään estämään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien paljastuminen kilpailijoille.

Mediassa on kirjoitettu lainsäädäntöhankkeesta huomiota herättävin otsikoin, joissa annetaan ymmärtää että lainsäädännöllä oltaisiin puuttumassa luottamuksellisen viestin sisältöön. Näin asia ei kuitenkaan ole.

Nykyinen säännös epäselvä

Sähköisen viestinnän tietosuojalain lähtökohtana on viestin, tunnistamistietojen ja paikkatietojen luottamuksellisuus. Pääsääntöön on tosin säädetty useita poikkeuksia, jotka ovat nimenomaisesti mainittu laissa.

Voimassa olevan lain 13 §:n soveltaminen, jossa viestinnän luottamuksellisuudesta sallitaan poikettavan väärinkäytöstilanteissa, on käytännössä todettu varsin ongelmalliseksi. Lainkohta on osoittautunut muotoilultaan suppeaksi ja hyvin epäselväksi.

Ongelmaksi on koettu se, ettei pykälä anna yhteisötilaajille riittäviä toimintamahdollisuuksia ja toisaalta asian esitutkintaan saattamisessa on ilmennyt vaikeuksia. Näin ollen yrityksiltä puuttuvat keinot saattaa väärinkäytöksiä poliisin tutkittavaksi esimerkiksi tilanteessa, jossa epäilty yrityssalaisuuden luovutus on tapahtunut sähköisesti.

Ei oikeutta viestin lukemiseen

Hallituksen esityksessä ehdotetaan, että työantaja saisi oikeuden käsitellä tunnistamistietoja väärinkäytöstilanteissa, jossa epäillään keskeisten yrityssalaisuuksien oikeudetonta paljastamista. Tämä käsittelyoikeus ei oikeuttaisi varsinaisen viestin sisällön avaamiseen – ainoastaan tunnistamistietojen käsittelyyn.

Tunnistamistiedoilla tarkoitetaan muun muassa tietoja viestin lähettäjästä ja vastaanottajasta sekä siirrettävän tiedon määrästä. Tunnistamistiedot ovat näin ollen rinnastettavissa tavallisen kirjeen lähetys- ja osoitetietoihin.

Laissa yksityisyydensuojasta työelämässä on erikseen määritelty työantajan oikeudesta hakea esille ja avata työntekijän työtehtäviin liittyviä sähköpostiviestejä. Tämä tulee siis pitää erillään tunnistamistietojen käsittelystä, jossa käsittelyn perusteena on yrityssalaisuuksien paljastamisen selvittäminen.

Työnantajalle huolehtimisvelvoite

Mikäli hallituksen esitys hyväksytään tämänsisältöisenä, työnantajan tulee huolehtia siitä, että yrityksen sisäiset toimintaprosessit ovat hyvin suunniteltuja ja toimivia, jotta yrityssalaisuuksien paljastumista pystyttäisiin ensisijaisesti ehkäisemään sisäisten toimintatapojen muutoksella.

Jos työantaja haluaa ottaa käyttöönsä tunnistamistietojen automaattisen valvonnan keskeisten yrityssalaisuuksien paljastumisen ehkäisemiseksi, se on velvollinen tekemään toiminnasta ilmoituksen tietosuojavaltuutetulle. Tämän lisäksi esitys velvoittaa työnantajan suorittamaan sisäisesti tietyt ennakolliset toimenpiteet sekä käsittelemään asian yhteistoimintamenettelyssä.

1. Ennakkotoimenpiteet

Yrityksen tulee määritellä, mitkä tiedot ovat yrityssalaisuuksia ja ketkä henkilöt pääsevät niitä käsittelemään. Näin ollen tunnistamistietojen käsittely kohdistuu ainoastaan niihin henkilöihin, joilla on mahdollisuus käsitellä yrityssalaisuuksia.

Yrityksen tulee laatia kattava kirjallinen ohjeistus yrityssalaisuuksien käsittelystä, jossa tulee mainita, kuka saa lähettää yrityssalaisuuksia sekä kenelle ja millä tavalla niitä saa lähettää.  

Yrityksen tulee myös fyysisesti rajoittaa pääsyä yrityssalaisuuksiin tietojärjestelmissä asianmukaisin käyttäjätunnuksin ja manuaalisesti säilyttämällä yrityssalaisuuksiksi luokiteltavat asiakirjat esimerkiksi lukollisissa kaapeissa.

2. Yhteistoimintamenettely

Laki yksityisyyden suojasta työelämässä velvoittaa työnantajan käymään yhteistoimintamenettelyssä läpi toimintatavat, joilla työntekijöihin kohdistetaan valvontaa teknisin menetelmin.

Ennen tunnistamistietojen automaattisen käsittelyn aloittamista yhteistoimintamenettelyprosessi tulee olla suoritettuna, ja asiasta tulee tiedottaa avoimesti työpaikalla.

3. Ilmoitus tietosuojavaltuutetulle

Ennen automaattisen valvonnan aloittamista yrityksen tulee tehdä siitä ilmoitus tietosuojavaltuutetulle. Kyse on nimenomaan yrityksen ilmoitusvelvollisuudesta eikä lupamenettelystä. Tietosuojavaltuutettu perii ilmoituksen tekemisestä maksun.

Tietosuojavaltuutettu asettaa ennakkotoimenpidevelvoitteen yrityksille ennen tunnistamistietojen automaattisen käsittelyn aloittamista.

4. Tunnistamistietojen käsittely

Tunnistamistietojen käsittely tapahtuu automaattisen hakutoiminnon avulla, joka voi perustua viestin kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin. Hakukone hakee viestintäverkosta automaattisesti poikkeamia tietyin ennalta määritellyin kriteerein.

Tunnistamistietojen manuaalinen käsittely on mahdollista, mikäli automaattinen hakutoiminto havaitsee viestinnässä jonkin poikkeaman. Tunnistamistietojen käsittely on kuitenkin sallittu ainoastaan käsittelyn tarkoituksen vaatimassa laajuudessa ja se on toteuttava luottamuksellista viestiä ja yksityisyydensuojaa tarpeettomasti vaarantamatta. Manuaalisen käsittelyn kohteena saa olla ainoastaan sellainen tieto, joka on välttämätön väärinkäytöksen selvittämisen kannalta.

Mikäli tunnistamistietoja käsitellään manuaalisesti, on käsittelystä laadittava selvitys, josta on käytävä ilmi käsittelyn peruste. Käsittelyyn osallistuneiden henkilöiden tulee allekirjoittaa selvitys. Selvitys on annettava tiedoksi käyttäjälle heti, kun se on mahdollista kuitenkaan vaarantamatta käsittelyn tarkoitusta.

5. Vuosittainen selvitys

Työnantajan tulee antaa vuosittain selvitys tunnistamistietojen manuaalisesta käsittelystä sekä tietosuojavaltuutetulle että henkilöstön edustajille. Ilmoituksen laiminlyönti säädetään rangaistavaksi tietosuojarikkomuksena.

Ennakkotoimet estävät vuotoja

Viestinnän luottamuksellisuutta voidaan rajoittaa, jos rajoitukset ovat välttämättömiä, asianmukaisia ja oikeasuhteisia. Hallituksen esitys velvoittaa työnantajan ensisijaisesti luomaan asianmukaiset sisäiset prosessit keskeisten yrityssalaisuuksien suojaamiselle, ja vasta tämän jälkeen tunnistamistietojen automaattinen valvonta on mahdollista.

Näin ollen voidaan sanoa, että yrityksellä tulee olla mahdollisuus suojella kaikin tavoin sen toiminnan kannalta elintärkeää tietoa, mikäli huolellisuusvelvoitteesta on huolehdittu. Tällöin tunnistamistietojen automaattinen käsittely voidaan kokea tarpeelliseksi.

Tosiasiassa saattaa kuitenkin olla niin, että ennakkotoimenpiteet sellaisenaan ehkäisevät suurelta osin keskeisten yrityssalaisuuksien vuotamisen, ja näin ollen automaattiselle tunnistamistietojen käsittelylle ei tosiasiallisesti olisi tarvetta.

Käsitykseni mukaan tämä mahdollisuus tunnistamistietojen automaattiseen käsittelyyn ei tule olemaan tarpeellinen kaikille yrityksille. Käsittelyn aloittaminen tulee myös edellyttämään paljon sisäistä työtä, jotta yritys täyttää huolellisuusvelvoitteen edellyttämät ennakkotoimet.

-----

[KIRJOITTAJA]

Asianajaja Eija Warma työskentelee Asianajotoimisto Castrén & Snellman Oy:ssä.

Lue myös

Lex Nokia: Mikä on yrityssalaisuus? »
Lex Nokia: Lakiehdotus »
Lex Nokia: Salainen tieto ajoissa suojaan »
Lex Nokia: Laki koskisi vain sähköpostia »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.