Lausunto

Yhteisötilaajasääntely

Julkaistu

STTK:n lausunto liikenne- ja viestintäministeriölle

STTK pitää välttämättömänä, että sähköisen viestinnän tietosuojan lähtökohtaa ei heikennetä. Viestinnän luottamuksellisuus ja välitystietojen suoja eivät ole teknisiä yksityiskohtia, vaan osa perustuslaissa turvattua yksityiselämän ja luottamuksellisen viestin suojaa. Lainsäätäjän on turvattava luottamuksellisen viestin suoja myös yksityisten välisissä suhteissa, ei vain suhteessa viranomaisiin. Tämä on erityisen tärkeää työelämässä, jossa työntekijä on työnantajaan nähden alisteisessa asemassa.

Nykyistä sääntelyä arvioitaessa on siksi torjuttava ajatus, että tietosuojan “ajantasaistaminen” tarkoittaisi automaattisesti työnantajien tai muiden yhteisötilaajien käsittelyoikeuksien laajentamista. Sääntelyn selkeyttäminen voi olla tarpeen, mutta sen tulee vahvistaa oikeusvarmuutta, läpinäkyvyyttä ja suhteellisuutta, ei avata yleisluonteista mahdollisuutta seurata työntekijöiden viestintää, verkon käyttöä, sijaintia tai muuta digitaalista toimintaa.

Erityisesti työntekijöiden yksityisyyden suoja edellyttää tarkkarajaista sääntelyä. Työntekijän sähköinen viestintä voi sisältää paitsi työhön liittyviä tietoja myös yksityiselämän kannalta arkaluonteisia seikkoja: yhteydenpitoa perheeseen, terveyteen, luottamuksellisiin neuvotteluihin, ammatilliseen järjestäytymiseen tai muihin henkilökohtaisiin asioihin. Vaikka työnantaja omistaisi laitteen, verkon tai sähköpostijärjestelmän, se ei poista työntekijän perusoikeuksia. Työelämän tietosuojalain ja SVPL:n (Laki sähköisen viestinnän palveluista 917/2014) yhteensovittaminen on juuri siksi keskeistä: työpaikan tekninen valvonta, tietoverkon käytön järjestäminen ja työnantajalle kuuluvien sähköpostien käsittely muodostavat kokonaisuuden, jossa työntekijän oikeudet eivät saa jäädä hallinnollisen tehokkuuden tai kyberturvallisuusargumenttien alle.

Välitystiedot ansaitsevat vahvan suojan, vaikka ne eivät ole viestin sisältöä. Tiedot siitä, kuka viestii kenelle, milloin, mistä, millä laitteella, kuinka usein ja minkä palvelun kautta, voivat paljastaa ihmisestä hyvin paljon. Työpaikalla tällaiset tiedot voivat muodostaa yksityiskohtaisen kuvan työntekijän toiminnasta, verkostoista, työrytmeistä, poissaoloista, terveydentilaan liittyvistä vihjeistä tai esimerkiksi yhteydenpidosta luottamusmieheen. Siksi välitystietojen käsittelyä ei tule käsitellä kevyempänä tai vähemmän ongelmallisena vain siksi, ettei viestin sisältöä avata.

SVPL:n lähtökohta on, että muu kuin viestinnän osapuoli voi käsitellä sähköisiä viestejä ja välitystietoja vain viestinnän osapuolen suostumuksella tai lain nimenomaisen säännöksen perusteella. Tämä periaate on säilytettävä. Käsittelyperusteiden on oltava täsmällisiä, tarkoitussidonnaisia ja välttämättömyyteen sidottuja. Yleinen “riskienhallinta”, “toiminnan kehittäminen”, “tuottavuuden seuranta” tai “kyberturvallisuus” ei saa muodostua avoimeksi valtakirjaksi työntekijöiden digitaaliseen seurantaan.

Voimassa olevan SVPL:n 18 luvun yhteisötilaajaa koskeva erityissääntely osoittaa, että lainsäädännössä on jo tunnistettu tilanteet, joissa työnantajalla tai muulla yhteisötilaajalla voi olla rajattu tarve käsitellä välitystietoja väärinkäytösten tai liikesalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi. Tämä käsittelyoikeus ei kuitenkaan ole yleinen valvontavaltuus, vaan poikkeus viestinnän luottamuksellisuuden pääsäännöstä. Sen edellytykset on sidottu nimenomaisiin käyttötarkoituksiin, ennakollisiin huolehtimisvelvoitteisiin, käyttäjille annettaviin kirjallisiin ohjeisiin, käsittelijöiden rajaamiseen, yhteistoimintaan tai työntekijöiden kuulemiseen, dokumentointiin sekä tietosuojavaltuutetun ennakko- ja jälkivalvontaan.

STTK:n näkemyksen mukaan tätä 18 luvun rakennetta on pidettävä vähimmäistasona silloin, kun arvioidaan sähköisen viestinnän tietosuojasäännösten ajantasaisuutta. Jos sääntelyä uudistetaan, lähtökohtana ei saa olla näiden menettelyllisten takeiden purkaminen tai käsittelyperusteiden väljentäminen, vaan sen varmistaminen, että väärinkäytöksiin ja tietoturvauhkiin voidaan puuttua vain täsmällisesti rajatuissa, välttämättömissä ja oikeasuhtaisissa tilanteissa.

Kyberturvallisuuden merkitys on kiistaton. Digitalisaatio, etätyö, hyökkäyspinta-alan laajentuminen, tekoälyn tehostama tietojenkalastelu ja sisäpiiriuhat ovat muuttaneet toimintaympäristöä. Tämä ei kuitenkaan tarkoita, että yksityisyydensuojaa olisi heikennettävä. Päinvastoin: mitä laajempia teknisiä valvontamahdollisuudet ovat, sitä tärkeämpää on säätää tarkasti siitä, milloin viestejä, välitystietoja ja sijaintitietoja voidaan käsitellä, kuka niitä saa käsitellä, kuinka pitkään tietoja säilytetään, miten käsittelystä informoidaan ja millaiset oikeussuojakeinot työntekijöillä on.

Hankkeella on todettu olevan yhteys kehysriihessä keväällä 2025 tehtyyn päätökseen selvittää työelämän tietosuojalain muutostarpeita ja mahdollisuuksia hallinnollista taakkaa aiheuttavan Suomi-lisän kumoamiseksi. Jos sääntelyn ongelmia tarkastellaan pääosin työnantajien hallinnollisen taakan, kustannusten, kyberturvallisuustarpeiden tai järjestelmien käyttöönoton näkökulmasta, vaarana on, että työntekijöiden yksityisyyden suoja näyttäytyy esteenä eikä perusoikeutena. Sääntelyn uudistamista arvioitaessa palkansaajien näkemyksille olisi annettava vähintään yhtä suuri paino kuin työnantajien näkemyksille, koska juuri työntekijät ovat niitä henkilöitä, joiden viestintää, välitystietoja, sijaintitietoja ja muuta digitaalista toimintaa mahdollinen sääntelyn keventäminen käytännössä koskisi.

STTK katsoo, että sääntelyn mahdollinen uudistaminen tulisi rakentaa seuraaville periaatteille:

  1. Viestinnän luottamuksellisuus säilyy pääsääntönä. Poikkeusten tulee olla rajattuja, välttämättömiä ja laissa täsmällisesti määriteltyjä.
  2. Työntekijöiden suojaa ei saa heikentää. Työsuhteen alisteisuus merkitsee, ettei työntekijän suostumusta voida pitää ongelmattomana käsittelyperusteena erityisesti seurannan, paikantamisen tai viestinnän valvonnan tilanteissa.
  3. Välitystietojen käsittelylle tarvitaan korkea kynnys. Tunnistetiedot voivat paljastaa yhtä arkaluonteisia asioita kuin viestin sisältö, minkä vuoksi niiden käsittelyn edellytykset on säädettävä tarkasti.
  4. Kyberturvallisuustoimet on erotettava henkilöstön valvonnasta. Tietoturvan turvaaminen voi edellyttää teknistä havainnointia, mutta se ei saa laajentua työntekijöiden käyttäytymisen, tehokkuuden, verkostojen tai lojaliteetin seurantaan.
  5. Läpinäkyvyys, yhteistoiminta ja valvonta ovat välttämättömiä. Työntekijöiden ja henkilöstön edustajien on tiedettävä, mitä tietoja käsitellään, mihin tarkoitukseen ja millä perusteella. Valvontaviranomaisten roolin on oltava selkeä.
  6. Sijaintitietojen suoja on säilytettävä vahvana. Työntekijän paikantaminen, ajoneuvojen seuranta ja päätelaitteista saatavan sijaintitiedon hyödyntäminen merkitsevät olennaista puuttumista työntekijän yksityisyyden suojaan. Niiden käsittely ei saa perustua epämääräisiin tehokkuus- tai työnjohtoargumentteihin.
  7. Nykyisiä menettelyllisiä takeita ei saa heikentää. Yhteistoimintavelvoite, käyttäjälle annettava selvitys, työntekijöiden edustajalle annettava vuosittainen selvitys sekä tietosuojavaltuutetulle tehtävä ennakkoilmoitus ja vuosittainen jälkiselvitys ovat keskeisiä oikeusturvakeinoja. Niitä on tarvittaessa vahvistettava, ei korvattava kevyemmällä työnantajakohtaisella harkinnalla.

Erityisen ongelmallista olisi, jos rajattu väärinkäytössääntely muuttuisi käytännössä yleiseksi henkilöstön valvontaoikeudeksi. Kyberturvallisuuden, liikesalaisuuksien suojan tai järjestelmien hallinnan tarpeet eivät saa oikeuttaa ennakoivaa, massamuotoista tai varmuuden vuoksi tapahtuvaa työntekijöiden viestinnän, verkon käytön, kontaktien tai työrytmin seurantaa.

Sähköisen viestinnän tietosuojan “murentaminen” loisi työelämään rakenteellisen valvontariskin. Se voisi normalisoida tilanteen, jossa työnantajalla on tekninen ja oikeudellinen mahdollisuus seurata työntekijän viestintäverkkojen käyttöä laajemmin kuin on välttämätöntä. Tällainen kehitys heikentäisi luottamusta työpaikoilla, kaventaisi sananvapautta ja yhteydenpidon vapautta sekä voisi vaikuttaa myös työntekijöiden halukkuuteen käyttää oikeuksiaan, hakea apua tai olla yhteydessä henkilöstön edustajiin.

Siksi sähköisen viestinnän tietosuojaa ei tule purkaa, vaan vahvistaa ja selkeyttää. Ajantasainen sääntely voi mahdollistaa välttämättömät ja oikeasuhtaiset kyberturvallisuustoimet, mutta sen tulee samalla estää laajamittainen, ennakoiva tai varmuuden vuoksi tapahtuva työntekijöiden seuranta. Oikea lähtökohta ei ole valvontaoikeuksien laajentaminen, vaan tarkkarajainen sääntely, jossa luottamuksellinen viestintä, välitystietojen suoja, työntekijöiden yksityisyys sekä SVPL:n 18 luvun kaltaiset menettelylliset oikeusturvatakeet pysyvät vahvana pääsääntönä.

Lisätietoja STTK:ssa: Sanna Rantala, juristi

Lue lisää

Yhteistoiminta-asiamies Lausunto

Yhteistoiminta-asiamies

Palkansaajakeskusjärjestöjen SAK:n, STTK:n ja Akavan yhteinen lausunto työ- ja elinkeinoministeriölle Palkansaajakeskusjärjestöt SAK, STTK ja Akava eivät kannata yhteistoiminta-asiamiehen...

YT-asiamiehen toimiston lakkauttaminen ei tuo säästöjä Tiedote

YT-asiamiehen toimiston lakkauttaminen ei tuo säästöjä

Yhteistoiminta-asiamiehen toimiston lakkauttamista koskeva mietintö lähtee tänään lausunnolle. Lakiesitys liittyy hallituksen puoliväliriihessä päättämiin valtionhallinnon 130 miljoonan euron lisäsäästöihin....

Hallituksen esitys eduskunnalle laiksi yhteistoimintalain muuttamisesta, HE 198/2024 vp Lausunto

Hallituksen esitys eduskunnalle laiksi yhteistoimintalain muuttamisesta, HE 198/2024 vp

STTK:n lausunto eduskunnan työelämä- ja tasa-arvovaliokunnalle Yleiset huomiot Yhteistoimintalain kokonaisuudistus astui voimaan 1.1.2022. Lain vaikutuksia ei ole seurattu...