Blogi

Kenellä on oikeus yrityksen tietoihin?

Osaan yritystoiminnassa tarpeellisesta tiedosta, joka arjessa mielletään olevan täysin organisaation omassa määräysvallassa, kohdistuu ulkopuolisten oikeuksia. Yritykselle voi olla tarve pyytää itseään koskevia tietoja vaikkapa tilitoimistolta, tai tiedot saattavat olla yksittäisen työntekijän sähköpostilaatikossa. Onko tilitoimistolla oikeus antaa yritykselle tämän pyytämiä tietoja? Miten menetellään, jos työntekijä ei enää ole organisaation palveluksessa tai ei halua tietoja antaa? Tätä problematiikkaa käsitellään asianajaja Jukka Långin ja lakimies Eva-Lotta Hokkosen Tilisanomissa (3/2021) julkaistussa artikkelissa.

tietoturva informaatio tietosuoja yritystoiminta lainsäädäntö

Yritystä koskevat tiedot voidaan yrityksen päätäntävallan näkökulmasta jakaa karkeasti kahteen luokkaan:

  1. tietoihin, joiden käyttämisestä yritys saa päättää vapaasti ja toisaalta
  2. tietoihin, joihin liittyy myös toisen organisaation tai muun osapuolen, kuten yrityksen työntekijän tai kuluttaja-asiakkaan, oikeuksia ja intressejä.

Yksi tällaisista yrityksen päätäntävaltaa suhteessa yrityksen omiin tietoihin rajoittavista oikeuksista on viestinnän luottamuksellisuus. Sen ohella myös henkilötietojen suoja, liikesalaisuuksien suoja, laissa erikseen säädetyt salassapitovelvoitteet sekä yrityksen vastatakseen ottamat sopimusvelvoitteet saattavat rajoittaa yritystä itseään koskevien tietojen käyttöä.

(Sähköisen) viestinnän luottamuksellisuus

Perinteisen kirjepostin nauttimaa kirjesalaisuuden suojaa vastaavasti yksilöiden sähköiselle viestinnälle (esimerkiksi sähköpostiviestit, tekstiviestit ja puhelut) annetaan perus­oikeustasoista suojaa. Tätä sähköisen viestin ja sen sisällön suojaa kutsutaan viestinnän luottamuksellisuudeksi: viestinnän sisältö on luottamuksellista suhteessa kolmansiin osapuoliin ja tarkoitettu vain viestinnän osapuolten väliseksi.

Oikeutta luottamukselliseen viestintään turvaa Suomen perustuslain (10.2 §) ohella laki sähköisen viestinnän palveluista (136 §). Viestinnän luottamuksellisuuden suoja koskee kaikkea viestintää riippumatta sen sisällöstä, muodosta tai lähettämiseen käytetystä laitteesta. Niin yksityishenkilöiden välinen kuin yrityksen liiketoimintaan liittyvä viestintä kuuluvat saman suojan piiriin.

Viestinnän osapuoli voi lähtökohtaisesti käsitellä omia viestejään haluamallaan tavalla. Vastaavasti sellaisten viestien sisällöstä, joissa viestinnän sisältämiä tietoja tarvitseva taho ei itse ole osapuolena, ei saa ottaa selkoa ilman laissa säädettyä perustetta tai viestinnän osapuolen suostumusta. Vain viestinnän osapuoli voi päättää käymänsä viestinnän jakamisesta viestinnän ulkopuolisten tahojen kanssa, ellei lainsäädäntö tai nimenomainen (esimerkiksi työsopimussuhteeseen perustuva) salassa­pitovelvoite tätä rajoita.

Työntekijän viestintäsalaisuuden suoja

Yrityksen toimintaan saattaa liittyä tarve käsitellä työntekijöiden käymän viestinnän tietoja, esimerkiksi työntekijän poissa­olon aikana. Työntekijöiden tyypillisestä muotoa etunimi.sukunimi@organisaatio.fi-sähköpostiosoitteesta käymä viestintä nauttii kuitenkin työelämän tietosuojalain nojalla erityistä viestintäsalaisuuden suojaa. Lähtökohtaisesti työnantajan pääsy yrityksen liiketoiminnan kannalta tarpeellisiin tietoihin on kuitenkin varmistettava muilla menetelmillä kuin lukuoikeuksien varaamisella työntekijän sähköposteihin. Vaikka työnantajalla olisi tekniset kyvykkyydet päästä käsiksi yksittäisen työntekijän sähköpostissa sijaitseviin tietoihin, ei työnantajalla lähtökohtaisesti ole oikeutta avata tai edes hakea esille työntekijän lähettämiä tai vastaanottamia sähköposteja.

Yrityksen näkökulmasta viestinnän luottamuksellisuuden suojan kannalta merkitystä on kuitenkin myös sillä, katsotaanko viestinnän osapuoleksi yritys vai yrityksen yksittäinen työntekijä. Työntekijän muotoa etunimi.sukunimi@organisaatio.fi oleva sähköposti katsotaan aina yksittäisen henkilön osoitteeksi – ei organisaation osoitteeksi – ja siihen tulleet viestit kuuluvat työntekijän luottamuksellisen viestinnän piiriin. Tähän tulkintaan ei vaikuta se, että kyse on työntekijän työtehtävien hoitamista varten luodusta työnantajaorganisaation sähköpostiosoitteesta tai se, että työntekijä ei käytä työsähköpostiaan vapaa-ajalla tai muutoinkaan henkilökohtaiseen sähköpostiviestintään. Asiasta ei ole oikeutta edes sopia toisin työpaikoilla.

Mikäli sähköpostiin saapuneita tiedostoja tai muita relevantteja tietoja ei ole muutoin mahdollista aukottomasti arkistoida erilliseen yleiseen säilytyspaikkaan, on suositeltavaa, että yrityksellä olisi käytössä tällaisten tarpeellisten tietojen vastaanottamiseksi yleinen sähköpostilaatikko. Mikäli halutaan varmistaa organisaation oikeus päästä käsiksi ja määrätä viesteistä, tulisi yrityksen luoda yleinen sähköpostiosoite esimerkiksi muodossa kirjanpito@organisaatio.fi, ja antaa siihen käyttö­oikeuksia yksittäisille työntekijöille.

Yrityksen oikeus työntekijän sähköposteihin

Yrityksen oikeus päästä työntekijänsä sähköpostiin esimerkiksi asiakasviestinnän tai yhteistyökumppanin kanssa käydyn aiemman kirjeenvaihdon selvittämiseksi on hyvin tarkkarajainen. Työnantajalla on ainoastaan erittäin rajatuissa poikkeustapauksissa oikeus hakea esille ja avata liiketoiminnan kannalta kriittisiä työntekijän yksittäisiä sähköpostiviestejä. Pelkästään työntekijän haluttomuus antaa työnantajalle suostumustaan käymänsä sähköpostiviestinnän käsittelemiseksi ei riitä poikkeusperusteeksi.

Poikkeusperuste voi syntyä työntekijän ollessa tavoittamattomissa vakavan sairaustapauksen tai onnettomuuden vuoksi. Tällöin täytyy olla ilmeistä, että työntekijän sähköpostilaatikosta on lähetetty tai vastaanotettu työnantajalle kuuluvia liiketoiminnan jatkuvuuden kannalta kriittisiä ja kiireellistä reagointia edellyttäviä viestejä. Työntekijän yksittäisten sähköpostiviestien avaaminen poikkeustapauksissa edellyttää lisäksi mm. sitä, että

  • työntekijää on pyritty tavoittamaan ja
  • työnantaja on noudattanut työelämän tietosuojalaissa säädettyjä työpaikan sähköisen viestinnän järjestämistä koskevaa huolehtimisvelvollisuutta (työntekijöiden käytettävissä on esimerkiksi automaattisen poissaoloviestin asettamisen mahdollisuus) ja
  • asiaa on käsitelty etukäteen työntekijöiden kanssa.

Lisäksi yrityksen on syytä huomioida, että työsuhteen päättyessä työnantajalla ei ole enää laillista perustetta käsitellä työntekijän sähköpostitiliä. Työntekijällä on oikeus vaatia sähköpostitilinsä sulkemista ja viestinnän luottamuksellisuuden turvaamiseksi työntekijän sähköpostitili tuleekin sulkea. Mikäli työntekijä ei ole enää yrityksen palveluksessa, edellä kuvatut poikkeusperusteiset pääsyoikeudet ole enää käytettävissä.

Yrityksen oikeus saada toiselta yritykseltä itseään koskevia tietoja

Yritykselle tarpeellisia tietoja saattaa olla toisen yrityksen, kuten tilitoimiston tai muun yhteistyökumppanin hallussa. Onko yrityksellä oikeus saada ulkopuoliselta taholta itseään koskevia sähköpostiviestejä – esimerkiksi tilitoimistoltaan entisen talousjohtajansa ja kirjanpitäjänsä välistä sähköpostikirjeenvaihtoa?

Myöskään yrityksen palveluntarjoajalla, kuten tilitoimistolla, ei lähtökohtaisesti ole oikeutta avata yksittäisen työntekijänsä käymää sähköpostikirjeenvaihtoa (eikä varsinkaan tilanteessa, jossa kirjanpitäjä ei ole enää työsuhteessa tilitoimistoon). Viestinnän luottamuksellisuus ei estä tilitoimistoa antamasta tietoja niitä pyytäneelle yritykselle, mikäli

  • viestinnän toisena osapuolena on yritys (jonka sähköpostiosoite on yleisessä muodossa, esimerkiksi kirjanpito@tilitoimisto.fi) tai
  • viestien sisältämä yritystä koskeva asiakirja-aineisto on arkistoitu muualle kuin yksittäisen työntekijän sähköpostilaatikkoon.

EU:n tietosuoja-asetus GDPR:n tarkastusoikeus ja viestintä

Yrityksen oikeuteen saada pääsy itseään koskeviin tietoihin vaikuttaa myös henkilötietojen suoja. Henkilötiedolla tarkoitetaan kaikkia tietoja, joista luonnollinen henkilö voidaan suoraan, tai muita tietoja kuten osoite- tai numerohakua apuna käyttäen, tunnistaa. Näitä ovat esimerkiksi henkilön nimi, puhelin­numero sekä koti- ja sähköpostiosoite. Henkilötietojen rekisterinpitäjä puolestaan on se organisaatio, jonka ­tarkoituksessa tietoja käsitellään, eli esimerkiksi organisaatio, jonka työn­tekijöiden, asiakkaiden tai toimittajien henkilötiedoista on kyse.

Rekisterinpitäjä on velvollinen suojaamaan henkilörekisterissään olevia tietoja. Kuitenkin niillä henkilöillä, joiden henkilötietoja yrityksen rekisterissä on – esimerkiksi asiakkailla ja työntekijöillä – on oikeus saada pääsy itseään koskeviin henkilötietoihin. Tätä kutsutaan henkilötietojensa tarkastusoikeudeksi. Tämän EU:n yleisen tietosuoja-asetuksen eli GDPR:n määrittelemän tarkastusoikeuden käyttämisen seurauksena yksittäiset, myös organisaation ulkopuoliset henkilöt, saattavat esittää perustellun pyynnön saada tietää organisaation hallussa olevista itseään koskevista tiedoista. Käytännössä tällainen yksilön tietopyyntö voisi kohdistua esimerkiksi kirjanpitoaineistoon liitettyihin tositteisiin, joista käy ilmi johonkin organisaation järjestämään tilaisuuteen osallistuneet.

Osa tarkastusoikeuden kohteeksi katsottavista tiedoista saattaa myös kuulua edellä käsitellyn viestintäsalaisuuden suojan piiriin. Tällöin viestintäsalaisuus rajoittaa pääsyoikeutta tietoihin myös tarkastusoikeutta käyttävän yksilön suhteen: ellei organisaation edustaja nimenomaisesti ja vapaaehtoisesti halua luopua viestintäsalaisuuden suojasta, ei hänen kirjeenvaihdon osapuolena sähköpostilaatikossaan säilyttämiä viestejä ole velvollisuutta antaa tiedoksi tarkastusoikeuttaan käyttävälle tieto­pyynnön esittäjälle.

Käytännön vinkit tiedon käsittelyyn ja jakamiseen

Viestinnän luottamuksellisuuden ja lakisääteisten velvoitteiden ohella käsiteltävään tietosisältöön liittyviä osapuolten, kuten tilitoimiston ja asiakasyrityksen välisiä, tietojenkäsittelyyn kohdistuvia oikeuksia ja velvollisuuksia voidaan määritellä myös osapuolten välisissä sopimusehdoissa. Tällaisia ehtoja voivat olla myös palvelun käyttöönoton yhteydessä hyväksytyt yleiset ehdot. Yrityksen onkin syytä huomioida asiakirjoihin ja muihin tietosisältöihin kohdistuvat tarpeensa myös eri osapuolten kanssa solmittavissa sopimuksissa.

1. Tietojen luovutuksesta sopiminen

Sopimusehdoissa voi olla tarpeen varmistaa esimerkiksi, että palveluntarjoaja, joka vastaanottaa yritykselle tarpeellista asiakirja-aineistoa, on tarvittaessa velvoitettu luovuttamaan tällaisen aineiston yritykselle takaisin. Tällaiset ehdot ovat tavallisia ja laillisia. Käytännössä tämä tarkoittaa sitä, että sitoumuksia tietojen säilyttämisestä ja luovuttamisesta antava taho tulee velvoitetuksi järjestämään oman sisäisen tietojenkäsittelynsä, erityisesti myös suhteessa työntekijöihinsä, tavalla, joka mahdollistaa sopimusvelvoitteiden noudattamisen käytännössä.

2. Sisäisten toimintatapojen kehittäminen – yleinen sähköpostilaatikko kriittiselle tiedolle

Yrityksen on suositeltavaa suunnitella sisäiset toiminta­tapansa kirjanpitoaineistoksi lukeutuvien ja muiden liiketoiminnan kannalta kriittisten tietojen hallinnan sekä muun säilyttämisen osalta etukäteen. Yrityksen onkin syytä välttää tilanteita, joissa tällaista aineistoa arkistoituisi ainoastaan yksittäisen työntekijän sähköpostilaatikkoon. Mikäli liiketoiminnan luonteesta johtuen yrityksen on tarpeen ottaa vastaan liiketoiminnan kannalta kriittisiä asiakirjoja sähköpostitse, on suositeltavaa, että sähköpostilaatikon osoite on muodoltaan yleinen tai että tiedot tallennetaan heti vastaanotettaessa erilliseen säilytyspaikkaan, joka ei ole sähköpostin saapuneet-kansio.

3. Asiakirjojen ja tietosisällön säilytys sekä arkistointi

Tarpeellisten asiakirjojen ja muiden tietosisältöjen säilyttäminen ja arkistointi kannattaa suunnitella etukäteen, niin että tiedot tallennetaan niille tarkoitettuun säilytyspaikkaan (kuten asianhallintajärjestelmään) jo ne vastaanotettaessa, jotta vältettäisiin tilanteet, joissa ennen yksittäisen työntekijän työsuhteen päättymistä työntekijä pyrkii siirtämään sähköpostiinsa toimitetuista tiedostoista muodostuneen ”arkiston” muualle talteen tai että tällainen aineisto tulisi tuhottavaksi. Suunnittelemalla tietojen säilytys etukäteen pystytään varmistamaan yrityksen pääsy tarpeellisiin asiakirjoihin myös äkillisten sairaustapausten tai muiden esteiden sattuessa ja turvaamaan organisaation liiketoiminnan jatkuvuus.

4. Tietojen käsittelyn käytäntöjen läpikäyminen etukäteen työntekijöiden kanssa

Sähköpostien ja muiden työntekijöiden henkilötietojen käsittelyn käytännöt tulee lain mukaan käsitellä yhteistoimintamenettelyssä yhdessä henkilöstön edustajien kanssa, ja niiden merkitystä korostaa se, että viestintäsalaisuuden loukkaukset työnantajan edustajan toimesta voivat herkästi täyttää rikoksen tunnusmerkistön.

 

Artikkeli kokonaisuudessaan:

Tilisanomat, Lång, J. & Hokkonen, E-L. 13.5.2021 (3/2021). Yritys, sinun tietosi eivät ole sinun.

Aukioloajat: ma-to klo 8.30 - 16.00 pe klo 9.00 - 15.00. Kesäaikana pe suljettu. Korona-aikaan olemme osittain etätyössä.