Internetin käytön ja työntekijöiden verkkoselailun eli ns. verkkosurffailun valvonta työpaikalla

Asian kuvaus:

Luottamusmies tiedusteli, saako työnantaja seurata, millä Internetsivuilla työkoneelta vieraillaan, saako työnantaja estää yleishyödylliselle sivustolle pääsyn, minkälaisia tunnistetietoja työnantaja saa kerätä Internetsivujen käytöstä ja voiko työntekijä antaa suostumuksensa siihen, että työnantaja seuraa työntekijän verkkoselailusta kertyviä tunnistamistietoja?

Tietosuojavaltuutetun vastaus:

Verkkoselailusta kertyvien tunnistamistietojen luottamuksellisuudesta säädetään laissa ja koska asiasta ei ole olemassa poikkeussäännöksiä kuten työelämän tietosuojalain säännökset sähköpostin avaamisesta, on työnantajan noudatettava perusoikeutena Suomen perustuslain (731/1999) 10 §:ssä säädettyä viestinnän luottamuksellisuutta.

Sähköisen viestinnän tietosuojalain (516/2004) 4 §:n mukaan verkkosivustojen selaamisesta kertyvät tunnistamistiedot ovat luottamuksellisia, jollei toisin säädetä. 5 §:ssä säädetään vaitiolovelvollisuudesta ja hyväksikäyttökiellosta, joka koskee myös työnantajaa, työnantajan palveluksessa olevaa tai työnantajan lukuun toimivaa. Se, joka on ottanut vastaan tai muutoin saanut tiedon luottamuksellisesta tunnistamistiedosta, jota ei ole hänelle tarkoitettu, ei saa ilman viestinnän osapuolen suostumusta ilmaista tai käyttää hyväksi tunnistamistietoa, ellei laissa toisin säädetä. Teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai viestintämarkkinalain 137 §:ssä tarkoitetun teleurakoitsijan palveluksessa oleva tai ollut ei saa ilman viestinnän osapuolen tai paikannettavan suostumusta ilmaista, mitä hän on tehtävässään saanut tietää tunnistamistiedoista, ellei laissa toisin säädetä. Vaitiolovelvollisuus on myös sillä, joka toimii tai on toiminut teleyrityksen, lisäarvopalvelun tarjoajan, yhteisötilaajan tai teleurakoitsijan lukuun.

Rikoslain (39/1889) 38 luvun 3 §:ssä (531/2000) säädettyyn viestintäsalaisuuden loukkaukseen syyllistyy se, joka oikeudettomasti 1) avaa toiselle osoitetun kirjeen tai muun suljetun viestin taikka suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä taikka 2) hankkii tiedon televerkossa välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta.

Sähköisen viestinnän tietosuojalain esitöissä todetaan, että verkkosivujen selailu kuuluu lain soveltamisalaan, koska palvelinten yleisölle avoimia sivuja selattaessa palvelimelle tai viestintäverkon kautta päätelaitteelle jää yleensä tietoja, joiden avulla viestit voidaan yhdistää ne vastaanottavaan henkilöön.

Tietosuojavaltuutettu on kannanottonaan ja yleisenä ohjauksena todennut, että työntekijöiden verkkoselailusta eli ns. verkkosurffailusta muodostuvia tunnistamistietoja ei saa käyttää työnantajan työn johto- ja valvontaoikeuden eli direktio-oikeuden nojalla siten, että työntekijöitä valvotaan, seurataan ja tarkkaillaan keräämällä ja/tai katsomalla näitä tunnistamistietoja. Tunnistamistiedoista muodostunee myös henkilörekisteri siltä osin kuin niistä tallentuu tunnistettavia luonnollisia henkilöitä koskevia henkilötietolain 3 § 1 kohdan tarkoittamia henkilötietoja.

Työnantaja voi kuitenkin direktio-oikeuden nojalla päättää tietoverkkojen käyttösäännöistä ja päättää siitä, saako työpaikalla verkkosurffailla ylipäätään tai vain tietyillä sivuilla. Työnantaja voinee myös estää joillekin sivuille pääsyn koko organisaatiossa tai tietyille tahoille organisaatiossa. Tältä osin työnantajan on kuitenkin huomioitava tasapuolinen kohtelu työpaikalla ja työsopimuslain (55/2001) 2 luvun 2 §:n tarkoittama syrjimättömyyden toteutuminen. Sääntöjen noudattamista voidaan valvoa myös perinteisin työnjohto-oikeudellisin keinoin siten, että työnantaja tai tätä edustava esimies huomatessaan työntekijän surffailevan kielletyillä sivuilla kieltää häntä näin tekemästä.

Työntekijän suostumuksen antaminen työnantajalle siihen, että tämä voi kerätä tietoa tai valvoa työntekijän verkon käyttöä yleisesti, ei ole mahdollista perusoikeuksien toteutumisen eikä oikeudellisesti pätevän suostumuksen arvioinnin osalta. Tarkastuksessa ja ohjauksessa 22.1.2007, dno 1769/44/2006 sähköpostin ja viestinnän luottamuksellisuuden osalta tietosuojavaltuutettu on todennut, että työnantajan sähköpostijärjestelmään kohdistuva omistusoikeus tai työnantajan työnjohto- ja valvontaoikeus ei luo perustetta poiketa luottamuksellisen viestin salaisuudesta, joka perusoikeutena on loukkaamaton. Perusoikeusnäkökulmasta hyväksyttävänä ei voitane pitää menettelyä, jossa käyttäjä yleisluonteisesti suostumuksellaan luopuisi perusoikeuksistaan ja antaisi työnantajalleen oikeuden tutkia sähköpostiviestejään saati että tällaisesta voitaisiin määrätä työnantajan yksipuolisesti antamissa ohjeissa.

Työelämän tietosuojalain 3 §:n mukaisesti työnantaja saa käsitellä vain välittömästi työntekijän työsuhteen kannalta tarpeellisia henkilötietoja, jotka liittyvät työsuhteen osapuolten oikeuksien ja velvollisuuksien hoitamiseen tai työnantajan työntekijöille tarjoamiin etuuksiin taikka johtuvat työtehtävien erityisluonteesta. Tarpeellisuusvaatimuksesta ei voida poiketa työntekijän suostumuksella. 21 § säätää teknisin keinoin toteutetun valvonnan säännöt ja menettelyt sekä sähköpostin ja tietoverkkojen käyttösäännöt läpikäytäväksi yhteistoiminta- tai kuulemismenettelyssä työpaikalla.

Lain perustelujen mukaan työnantajalla on oikeus työn johto ja valvontaoikeutensa perusteella päättää valvontatavoista, jos ne muutoin ovat sallittuja. Työnjohto ja valvontaoikeutta rajoittavat tietyt perusoikeudet, työlainsäädäntö ja työntekijöihin ja virkamiehiin ja heidän työnantajiinsa sovellettava muu lainsäädäntö. Keskeinen merkitys on rikoslainsäädännöllä, jonka perusteella työnantajat voidaan tuomita rangaistuksiin teoista, jotka kohdistuvat työntekijöihin. Lisäksi valvonnan avulla kerättävät tiedot rajoittuisivat vain sellaisiin, jotka ovat tarpeellisia.

Yhteistoimintamenettelyssäkään ei voida sopia lain vastaisesta teknisestä valvonnasta, tarpeettomien henkilötietojen käsittelystä tai viestinnän luottamuksellisuuden loukkaamisesta. Tietoverkkojen käyttösääntöjen yhteydessä työantaja voi kuitenkin määritellä säännöt verkkoselailun sallittavuudesta työpaikalla.


 
Julkaistu 27.1.2014