Yritys, sinun tietosi eivät ole sinun

Osaan yritystoiminnassa tarpeellisesta tiedosta, joka arjessa mielletään olevan täysin organisaation omassa määräysvallassa, kohdistuu ulkopuolisten oikeuksia. Yritykselle voi olla tarve pyytää itseään koskevia tietoja vaikkapa tilitoimistolta, tai tiedot saattavat olla yksittäisen työntekijän sähköpostilaatikossa. Onko tilitoimistolla oikeus antaa yritykselle tämän pyytämiä tietoja? Miten menetellään, jos työntekijä ei enää ole organisaation palveluksessa tai ei halua tietoja antaa?
13.5.2021 Jukka Lång ja Eva-Lotta Hokkonen Kuva iStock

Yritystä koskevat tiedot voidaan yrityksen päätäntävallan näkökulmasta jakaa karkeasti kahteen luokkaan: tietoihin, joiden käyttämisestä yritys saa päättää vapaasti, ja toisaalta tietoihin, joihin liittyy myös toisen organisaation tai muun osapuolen, kuten yrityksen työntekijän tai kuluttaja-asiakkaan, oikeuksia ja intressejä.

Yksi tällaisista yrityksen päätäntävaltaa suhteessa yrityksen omiin tietoihin rajoittavista oikeuksista on viestinnän luottamuksellisuus. Sen ohella myös henkilötietojen suoja, liikesalaisuuksien suoja, laissa erikseen säädetyt salassapitovelvoitteet sekä yrityksen vastatakseen ottamat sopimusvelvoitteet saattavat rajoittaa yritystä itseään koskevien tietojen käyttöä.

Viestinnän luottamuksellisuudesta

Perinteisen kirjepostin nauttimaa kirjesalaisuuden suojaa vastaavasti yksilöiden sähköiselle viestinnälle annetaan perus­oikeustasoista suojaa. Tätä sähköisen viestin ja sen sisällön suojaa kutsutaan viestinnän luottamuksellisuudeksi. Viestinnän luottamuksellisuus tarkoittaa, että viestinnän sisältö on luottamuksellista suhteessa kolmansiin osapuoliin ja tarkoitettu vain viestinnän osapuolten väliseksi.

Oikeutta luottamukselliseen viestintään turvaa Suomen perustuslain (10.2 §) ohella laki sähköisen viestinnän palveluista (136 §). Viestinnän luottamuksellisuuden suoja koskee kaikkea viestintää riippumatta sen sisällöstä, muodosta tai lähettämiseen käytetystä laitteesta. Esimerkiksi niin yksityishenkilöiden välinen kuin yrityksen liiketoimintaan liittyvä viestintä kuuluvat saman suojan piiriin. Sähköistä viestintää ovat esimerkiksi sähköpostiviestit, tekstiviestit ja puhelut.

Viestinnän osapuoli voi lähtökohtaisesti käsitellä omia viestejään haluamallaan tavalla. Vastaavasti sellaisten viestien sisällöstä, joissa viestinnän sisältämiä tietoja tarvitseva taho ei itse ole osapuolena, ei saa ottaa selkoa ilman laissa säädettyä perustetta tai viestinnän osapuolen suostumusta. Vain viestinnän osapuoli voi päättää käymänsä viestinnän jakamisesta viestinnän ulkopuolisten tahojen kanssa, ellei lainsäädäntö tai nimenomainen (esimerkiksi työsopimussuhteeseen perustuva) salassa­pitovelvoite tätä rajoita.

Työntekijän viestintäsalaisuuden suoja ja yrityksen oikeus työntekijän sähköposteihin

Yrityksen toimintaan saattaa liittyä tarve käsitellä työntekijöiden käymän viestinnän tietoja, esimerkiksi työntekijän poissa­olon aikana. Työntekijöiden tyypillisestä muotoa etunimi.sukunimi@organisaatio.fi-sähköpostiosoitteesta käymä viestintä nauttii kuitenkin työelämän tietosuojalain nojalla erityistä viestintäsalaisuuden suojaa, ja lähtökohtaisesti työnantajan pääsy yrityksen liiketoiminnan kannalta tarpeellisiin tietoihin on varmistettava muilla menetelmillä kuin lukuoikeuksien varaamisella työntekijän sähköposteihin. Vaikka työnantajalla olisi tekniset kyvykkyydet päästä käsiksi yksittäisen työntekijän sähköpostissa sijaitseviin tietoihin, ei työnantajalla lähtökohtaisesti ole oikeutta avata tai edes hakea esille työntekijän lähettämiä tai vastaanottamia sähköposteja.

Yrityksen näkökulmasta viestinnän luottamuksellisuuden suojan kannalta merkitystä on kuitenkin myös sillä, katsotaanko viestinnän osapuoleksi yritys vai yrityksen yksittäinen työntekijä. Työntekijän muotoa etunimi.sukunimi@organisaatio.fi oleva sähköposti katsotaan aina yksittäisen henkilön osoitteeksi – ei organisaation osoitteeksi – ja siihen tulleet viestit kuuluvat työntekijän luottamuksellisen viestinnän piiriin. Tähän tulkintaan ei vaikuta se, että kyse on työntekijän työtehtävien hoitamista varten luodusta työnantajaorganisaation sähköpostiosoitteesta tai se, että työntekijä ei käytä työsähköpostiaan vapaa-ajalla tai muutoinkaan henkilökohtaiseen sähköpostiviestintään. Asiasta ei ole oikeutta edes sopia toisin työpaikoilla.

Mikäli sähköpostiin saapuneita tiedostoja tai muita relevantteja tietoja ei ole muutoin mahdollista aukottomasti arkistoida erilliseen yleiseen säilytyspaikkaan, on suositeltavaa, että yrityksellä olisi käytössä tällaisten tarpeellisten tietojen vastaanottamiseksi yleinen sähköpostilaatikko. Mikäli halutaan varmistaa organisaation oikeus päästä käsiksi ja määrätä viesteistä, tulisi yrityksen luoda yleinen sähköpostiosoite esimerkiksi muodossa kirjanpito@organisaatio.fi, ja antaa siihen käyttö­oikeuksia yksittäisille työntekijöille.

Edellä kuvatusta työntekijän viestintäsalaisuuden suojasta poiketen työnantajalla on ainoastaan erittäin rajatuissa poikkeustapauksissa, esimerkiksi työntekijän ollessa vakavan sairastapauksen tai onnettomuuden johdosta tavoittamattomissa, oikeus hakea esille ja avata liiketoiminnan kannalta kriittisiä työntekijän yksittäisiä sähköpostiviestejä työelämän tietosuojalaissa kuvattuja tarkempia edellytyksiä noudattaen. Tällöin täytyy ensinnäkin olla ilmeistä, että työntekijän sähköpostilaatikosta on lähetetty tai vastaanotettu työnantajalle kuuluvia liiketoiminnan jatkuvuuden kannalta kriittisiä ja kiireellistä reagointia edellyttäviä viestejä. Työntekijän yksittäisten sähköpostiviestien avaamisen poikkeustapauksissa mahdollistavan pykälän soveltaminen edellyttää lisäksi muun muassa sitä, että työntekijää on pyritty tavoittamaan ja työnantaja on noudattanut työelämän tietosuojalaissa säädettyjä työpaikan sähköisen viestinnän järjestämistä koskevaa huolehtimisvelvollisuutta. Velvollisuus edellyttää, että työntekijöiden käytettävissä on oltava esimerkiksi automaattisen poissaoloviestin asettamisen mahdollistava toiminnallisuus, ja että asiaa on käsitelty etukäteen työntekijöiden kanssa.

Työnantajalla on oikeus hakea esille työntekijän sähköpostista selvästi itselleen kuuluvat viestit ja avata ne silloin, kun laissa säädetyt hyvin rajatut poikkeusperusteet soveltuvat. Esimerkiksi pelkästään työntekijän haluttomuus antaa työnantajalle suostumustaan käymänsä sähköpostiviestinnän käsittelemiseksi ei riitä poikkeusperusteeksi sähköpostiviestien esille hakemiseksi ja mahdolliseksi avaamiseksi työnantajan toimesta.

Edellä kuvatulla tavalla yrityksen oikeus päästä työntekijänsä sähköpostiin esimerkiksi asiakasviestinnän tai yhteistyökumppanin kanssa käydyn aiemman kirjeenvaihdon selvittämiseksi on erittäin rajattu, ja yrityksen olisi suositeltavaa varmistaa pääsy liiketoiminnan kannalta tarpeellisiin tietoihin muilla keinoin.

Lisäksi yrityksen on syytä huomioida, että työsuhteen päättyessä työnantajalla ei ole enää laillista perustetta käsitellä työntekijän sähköpostitiliä ja työntekijällä on oikeus vaatia sähköpostitilinsä sulkemista. Viestinnän luottamuksellisuuden turvaamiseksi työntekijän sähköpostitili tulee sulkea, eivätkä edellä kuvatut poikkeusperusteiset pääsyoikeudet ole enää käytettävissä, mikäli työntekijä ei ole enää yrityksen palveluksessa.

Yrityksen oikeus saada toiselta yritykseltä itseään koskevia tietoja

Yritykselle tarpeellisia tietoja saattaa olla toisen yrityksen, kuten tilitoimiston tai muun yhteistyökumppanin hallussa. Onko yrityksellä oikeus saada ulkopuoliselta taholta itseään koskevia sähköpostiviestejä – esimerkiksi tilitoimistoltaan entisen talousjohtajansa ja kirjanpitäjänsä välistä sähköpostikirjeenvaihtoa?

Myöskään yrityksen palveluntarjoajalla, kuten tilitoimistolla, ei lähtökohtaisesti ole oikeutta avata yksittäisen työntekijänsä käymää sähköpostikirjeenvaihtoa, varsinkaan tilanteessa, jossa kirjanpitäjä ei olisi enää työsuhteessa tilitoimistoon. Mikäli tällaisen viestinnän toisena osapuolena on yritys (jonka sähköpostiosoite on yleisessä muodossa, esimerkiksi kirjanpito@tilitoimisto.fi) tai viestien sisältämä yritystä koskeva asiakirja-aineisto on arkistoitu muualle kuin yksittäisen työntekijän sähköpostilaatikkoon, ei viestinnän luottamuksellisuus estä tilitoimistoa antamasta tietoja niitä pyytäneelle yritykselle. Yritysten olisikin suositeltavaa pyrkiä ennakoimaan tällaiset tarpeet ja huolehtimaan asiasta myös sopimusehdoin jäljempänä kuvatulla tavalla.

GDPR:n tarkastusoikeus ja viestintä

Yrityksen oikeuteen saada pääsy itseään koskeviin tietoihin vaikuttaa myös henkilötietojen suoja. Henkilötiedolla tarkoitetaan kaikkia tietoja, joista luonnollinen henkilö voidaan suoraan, tai muita tietoja kuten osoite- tai numerohakua apuna käyttäen, tunnistaa. Näitä ovat esimerkiksi henkilön nimi, puhelin­numero sekä koti- ja sähköpostiosoite. Henkilötietojen rekisterinpitäjä puolestaan on se organisaatio, jonka ­tarkoituksessa tietoja käsitellään, eli esimerkiksi organisaatio, jonka työn­tekijöiden, asiakkaiden tai toimittajien henkilötiedoista on kyse.

Rekisterinpitäjä on velvollinen suojaamaan henkilörekisterissään olevia tietoja, mutta niillä henkilöillä, joiden henkilötietoja yrityksen rekisterissä on – esimerkiksi asiakkailla ja työntekijöillä – on oikeus saada pääsy itseään koskeviin henkilötietoihin eli henkilötietojensa tarkastusoikeus. Tämän EU:n yleisen tietosuoja-asetuksen eli GDPR:n määrittelemän tarkastusoikeuden käyttämisen seurauksena yksittäiset, myös organisaation ulkopuoliset henkilöt, saattavat esittää perustellun pyynnön saada tietää organisaation hallussa olevista itseään koskevista tiedoista. Käytännössä tällainen yksilön tietopyyntö voisi kohdistua esimerkiksi kirjanpitoaineistoon liitettyihin tositteisiin, joista käy ilmi johonkin organisaation järjestämään tilaisuuteen osallistuneet.

Osa tarkastusoikeuden kohteeksi katsottavista tiedoista saattaa myös kuulua edellä käsitellyn viestintäsalaisuuden suojan piiriin. Tällöin viestintäsalaisuus rajoittaa pääsyoikeutta tietoihin myös tarkastusoikeutta käyttävän yksilön suhteen: ellei organisaation edustaja nimenomaisesti ja vapaaehtoisesti halua luopua viestintäsalaisuuden suojasta, ei hänen kirjeenvaihdon osapuolena sähköpostilaatikossaan säilyttämiä viestejä ole velvollisuutta antaa tiedoksi tarkastusoikeuttaan käyttävälle tieto­pyynnön esittäjälle.

Käytännön vinkit

Viestinnän luottamuksellisuuden ja lakisääteisten velvoitteiden ohella käsiteltävään tietosisältöön liittyviä osapuolten, kuten tilitoimiston ja asiakasyrityksen välisiä, tietojenkäsittelyyn kohdistuvia oikeuksia ja velvollisuuksia voidaan määritellä myös osapuolten välisissä sopimusehdoissa. Tällaisia ehtoja voivat olla myös palvelun käyttöönoton yhteydessä hyväksytyt yleiset ehdot. Yrityksen onkin syytä huomioida asiakirjoihin ja muihin tietosisältöihin kohdistuvat tarpeensa myös eri osapuolten kanssa solmittavissa sopimuksissa.

Sopimusehdoissa voi olla tarpeen varmistaa esimerkiksi, että palveluntarjoaja, joka vastaanottaa yritykselle tarpeellista asiakirja-aineistoa, on tarvittaessa velvoitettu luovuttamaan tällaisen aineiston yritykselle takaisin. Tällaiset ehdot ovat tavallisia ja laillisia. Käytännössä tämä tarkoittaa sitä, että sitoumuksia tietojen säilyttämisestä ja luovuttamisesta antava taho tulee velvoitetuksi järjestämään oman sisäisen tietojenkäsittelynsä, erityisesti myös suhteessa työntekijöihinsä, tavalla, joka mahdollistaa sopimusvelvoitteiden noudattamisen käytännössä.

Yrityksen on suositeltavaa suunnitella sisäiset toiminta­tapansa kirjanpitoaineistoksi lukeutuvien ja muiden liiketoiminnan kannalta kriittisten tietojen hallinnan sekä muun säilyttämisen osalta etukäteen. Yrityksen onkin syytä välttää tilanteita, joissa tällaista aineistoa arkistoituisi ainoastaan yksittäisen työntekijän sähköpostilaatikkoon. Mikäli liiketoiminnan luonteesta johtuen yrityksen on tarpeen ottaa vastaan liiketoiminnan kannalta kriittisiä asiakirjoja sähköpostitse, on suositeltavaa, että sähköpostilaatikon osoite on muodoltaan yleinen tai että tiedot tallennetaan heti vastaanotettaessa erilliseen säilytyspaikkaan, joka ei ole sähköpostin saapuneet-kansio.

Tarpeellisten asiakirjojen ja muiden tietosisältöjen säilyttäminen ja arkistointi kannattaa suunnitella etukäteen, niin että tiedot tallennetaan niille tarkoitettuun säilytyspaikkaan (kuten asianhallintajärjestelmään) jo ne vastaanotettaessa, jotta vältettäisiin tilanteet, joissa ennen yksittäisen työntekijän työsuhteen päättymistä työntekijä pyrkii siirtämään sähköpostiinsa toimitetuista tiedostoista muodostuneen ”arkiston” muualle talteen tai että tällainen aineisto tulisi tuhottavaksi.

Suunnittelemalla tietojen säilytys etukäteen pystytään varmistamaan yrityksen pääsy tarpeellisiin asiakirjoihin myös äkillisten sairaustapausten tai muiden esteiden sattuessa ja turvaamaan organisaation liiketoiminnan jatkuvuus.

Sähköpostien ja muiden työntekijöiden henkilötietojen käsittelyn käytännöt tulee lain mukaan käsitellä yhteistoimintamenettelyssä yhdessä henkilöstön edustajien kanssa, ja niiden merkitystä korostaa se, että viestintäsalaisuuden loukkaukset työnantajan edustajan toimesta voivat herkästi täyttää rikoksen tunnusmerkistön.

Asiantuntijana
Jukka Lång Partner, asianajaja, CIPP/E, Dittmar & Indrenius Asianajotoimisto Oy
Eva-Lotta Hokkonen lakimies, CIPP/E, Dittmar & Indrenius Asianajotoimisto Oy