LAPPEENRANNAN KAUPUNKI Tietohallintotyöryhmä LAPPEENRANNAN KAUPUNGIN SÄHKÖPOSTIN JA INTERNET-YHTEYKSIEN KÄYTTÖSÄÄNNÖT 27.2.2002 (Päivitetty 30.12.2004)
LAPPEENRANNAN KAUPUNKI 27.2.2002 2 LAPPEENRANNAN KAUPUNGIN SÄHKÖPOSTIN JA INTERNET-YHTEYKSIEN KÄYTTÖSÄÄNNÖT SISÄLLYSLUETTELO TIIVISTELMÄ 1 Työntekijän/viranhaltijan sähköpostin käyttö 1 Menettely poissaolojen aikana ja palvelussuhteen päättyessä 1 Työnantajan oikeudet sähköpostiviestien lukemiseen 2 Väärään osoitteeseen saapuneet sähköpostiviestit 2 Internetin käyttöperiaatteet 2 Vastuu järjestelmien käytöstä yksityisiin tarkoituksiin ja väärinkäytöksistä 3 1. YLEISTÄ 4 1.1. Työnantajan työjohto-oikeus 4 1.2. Käyttöoikeudet 4 1.3. Tietojärjestelmistä kerättävät tiedot ja valvonta 5 1.4. Ylläpitohenkilökunnan oikeudet ja vaitiolovelvollisuus 5 1.5. Tekijänoikeudet järjestelmissä oleviin tietoihin 6 2. TIETOTURVALLISUUDEN TOTEUTTAMINEN 6 3. OHJEET SÄHKÖPOSTIN KÄYTÖSTÄ 8 3.1. Sähköpostin käyttöperiaatteet 8 3.2. Sähköpostin kielletty käyttö ja tietosisältö 8 3.3. Sähköpostien salaus ja salausjärjestelmän käyttö 9 3.4. Menettely viranhaltijan/työntekijän poissaolojen aikana ja palvelussuhteen päättyessä 9 3.5. Työnantajan oikeudet sähköpostiviestien lukemiseen 10 3.5.1. Työnantajalle kuuluvan viestin selvittäminen 10 3.5.2. Väärinkäytösten ym. selvittäminen 11 3.5.3. Menettely sähköposteja avattaessa ja vaitiolovelvollisuus 11 3.6. Väärään osoitteeseen saapuneet / lähetetyt sähköpostiviestit 12 4. OHJEET INTERNET-YHTEYKSIEN KÄYTÖSTÄ 12 4.1. Internetin käyttöperiaatteet 12 4.2. Internet -tiedostojen ja ohjelmien siirto 13 4.3. Muutosten teko kaupungin www-palvelimen sivuihin 13 5. VASTUU JÄRJESTELMIEN KÄYTÖSTÄ YKSITYISIIN TARKOITUKSIIN JA VÄÄRINKÄYTÖKSISTÄ 14 6. LISÄTIEDOT JA KÄYTTÖSÄÄNTÖJEN PÄIVITYS 14
LAPPEENRANNAN KAUPUNKI 27.2.2002 1 TIIVISTELMÄ Työntekijän/viranhaltijan sähköpostin käyttö Kaupungilla on oikeus työnantajana määrätä, mihin kaupungin tietoverkkoa saa käyttää ja mihin ei kuitenkin siten, että viranhaltijoille/työntekijöille lainsäädännön nojalla kuuluva yksityisyydensuoja ja luottamuksellisen viestin salaisuus on turvattu. Työntekijällä/viranhaltijalla on oikeus käyttää kaupungin virkasähköpostia henkilökohtaiseen käyttöön, kuitenkin siten, että se ei saa häiritä asianomaisen työtehtävien suorittamista ja siinä tulee olla yleisesti pidättyväinen. Henkilökohtaiset/ luottamukselliset viestit on tarkoituksenmukaista merkitä otsikko-kohdassa tekstillä henkilökohtainen. Epäasiallisten ja vahingollisten viestien ja tietojen lähettäminen on kiellettyä. Luottamuksellisten ja salaisten tietojen lähettäminen sähköpostitse on kiellettyä ilman salausjärjestelmän käyttöä. Sähköpostin automaattinen ohjaaminen toiseen erityisesti kaupungin tietoverkon ulkopuoliseen sähköpostiosoitteeseen on kiellettyä tietoturvallisuuden vuoksi. Menettely poissaolojen aikana ja palvelussuhteen päättyessä Poissaolojen aikana viranhaltijan/työntekijän tulee käyttää sähköpostin mahdollistamaa automaattista poissaolotiedotetta. Poissaolotiedotteessa on suositeltavaa ilmoittaa sen henkilön yhteystiedot, johon viestin lähettäjä voi ottaa yhteyttä poissaolevan viranhaltijan/työntekijän sijaan. Viranhaltija/työntekijä voi myös poikkeuksellisesti antaa kirjallisen suostumuksen nimetylle henkilölle lukea hänelle saapuneita sähköposteja poissaolon aikana. Palvelussuhteen päättyessä esimiehen tulee hyvissä ajoin ilmoittaa tietohallintoyksikölle, että sähköpostiosoite on poistettava käytöstä. Esimiehen tulee kehottaa viranhaltijaa/työntekijää hyvissä ajoin poistamaan henkilökohtaiset viestit ja ilmoittamaan viestintäkumppaneilleen sähköpostiosoitteen poistamisesta palvelussuhteen päättyessä. Mikäli edellä mainitulla tavoin ei ole ehditty toimia esimerkiksi yllättävässä ja äkillisessä palvelussuhteen päättymistilanteessa, on esimiehen välittömästi ilmoitettava tietohallintoyksikölle palvelussuhteen päättymisestä. Viranhaltijan / työntekijän sähköpostiin tulleiden työnantajalle kuuluvien viestien esille hakemiseen ja avaamiseen sovelletaan mitä yksityisyyden suojasta työelämässä annetun lain 18-20 :ssä säädetään.
LAPPEENRANNAN KAUPUNKI 27.2.2002 2 Työnantajan oikeudet sähköpostiviestien lukemiseen Järjestelmien ja niiden sisältämien tietojen turvallisuuden varmistamiseksi sekä järjestelmien toiminnan ylläpitämiseksi järjestelmien ylläpitohenkilökunnalla on oikeus valvoa järjestelmien käyttöä ja tarvittaessa oikeus päästä järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä käsitellä niitä. Työantajalla on oikeus lukea työntekijän /viranhaltijan viestejä epäiltäessä väärinkäytöksiä/rikollista toimintaa, riitatilanteissa ja kuolemantapauksen, vakavan onnettomuuden tai vastaavan johdosta. Milloin on tarpeen selvittää työntekijän / viranhaltijan sähköpostiviestejä, on esimiehen aina tällaisessa tilanteessa otettava yhteyttä tietohallintoon tarvittavien toimenpiteiden toteuttamiseksi. Ensisijaisesti sähköpostiviestien avaaminen edellyttää viranhaltijan/ työntekijän kirjallista suostumusta tai tosiasiallisen mahdollisuuden tarjoamista olla läsnä tilaisuudessa. Henkilökohtainen merkinnällä merkittyjä viestejä ei saa avata ilman ao. henkilön yksilöityä suostumusta. Mikäli viranhaltijan/ työntekijän suostumusta ei voida saada, on työnantajalla yksityisyyden suojasta työelämässä annetun lain 18-20 :ssä määritellyin tavoin oikeus hakea esille työnantajalle kuuluva viesti ja avata se. Väärään osoitteeseen saapuneet sähköpostiviestit Sähköpostiviestin lähettäjällä on pääasiallinen vastuu viestin perillemenosta. Ilmeisestä erehdyksestä tai tietämättömyydestä viranomaiselle lähetetty ao. viranomaisen toimivaltaan kuulumaton asia on siirrettävä sähköisestä asioinnista viranomaistoiminnassa annetun lain 15 :n ja hallintolain 21 :n mukaisesti toimivaltaiseksi katsotulle viranomaiselle, jos se on tiedossa. Siirrosta on ilmoitettava viestin lähettäjälle. Muut sähköpostiviestit, jotka eivät selvästi kuulu sille organisaatiolle tai vastaanottajalle, joka ne on vastaanottanut, palautetaan lähettäjälle ja tuhotaan. Ns. roskapostit tai muutoin epäilyttävät viestit poistetaan avaamatta niitä. Internetin käyttöperiaatteet Internet-yhteyksien käyttö henkilökohtaisiin tarkoituksiin, kuten esim. yksityinen sähköinen asiointi on sallittu, mutta siinä tulee olla pidättyväinen eikä se saa häiritä työtehtävien hoitoa. Internetissä olevia tietoja saa siirtää vain hyötykäyttöön kuten oman tehtäväalueensa lisätietojen hankintaan ja yleiseen tutustumiseen. Siirrossa on noudatettava kaupungin erillisiä tietoturvaohjeita.
LAPPEENRANNAN KAUPUNKI 27.2.2002 3 Kaikkien ohjelmien asennuksesta verkossa oleviin laitteisiin sovitaan tietohallintoyksikön henkilöstön kanssa. Työasemien tunnistetietojen (osoite, nimi...) muuttaminen on ehdottomasti kielletty. Jos virusvalvonta mikrossa hälyttää, on mikron käyttö lopetettava ja otettava yhteys tietohallintoyksikköön tai mikrotukihenkilöön. Www-palvelimeen tehdään muutokset ja lisäykset kaupunginkanslian ja toimialajohtajien antamien ohjeiden mukaisesti. Omien koti- ja tietosivujen tekeminen kaupungin järjestelmiin ilman erillistä lupaa on kielletty. Vastuu järjestelmien käytöstä yksityisiin tarkoituksiin ja väärinkäytöksistä Järjestelmän yksityinen käyttö on tietyssä määrin sallittua, mutta se on viranhaltijan/työntekijän omalla vastuulla. Kaupunki ei vastaa yksityisen käytön viranhaltijalle/työntekijälle aiheuttamasta vahingosta.
LAPPEENRANNAN KAUPUNKI 27.2.2002 4 1. YLEISTÄ Lappeenrannan kaupungin tietoverkko on tarkoitettu kaupungin sisäisen ja ulkoisen viestinnän välineenä tehostamaan ja joustavoittamaan kaupungin toimintaa sekä kehittämään tiedonkulkua ja yhteistyötä sisäisesti sekä ulkoisesti. Lappeenrannan kaupunki kunnioittaa viranhaltijoillensa/työntekijöillensä lainsäädännön nojalla kuuluvaa yksityisyydensuojaa ja luottamuksellisen viestin salaisuutta. Kaupungilla on kuitenkin työnjohdollisin perustein oikeus säännellä ja valvoa kaupungin tietoverkkojen käyttöä. Näitä sähköpostin ja internetin käyttösääntöjä on tarkoitettu noudatettavaksi myönnettäessä käyttöoikeuksia sekä käytettäessä kaupungin sähköpostia ja tietoliikenneverkkoa ja niihin osana kuuluvia järjestelmiä sekä käsiteltäessä, valvottaessa tai avattaessa järjestelmissä kulkevaa tietoa. Niissä on mm. selvitetty, millainen sähköpostin ja internetin käyttö on luvallista ja millaisia rajoituksia käyttöön on tehty. Käyttösääntöjä sovelletaan myös intranetin käyttöön soveltuvin osin. 1.1. Työnantajan työjohto-oikeus 1.2. Käyttöoikeudet Työnantajalla on oikeus johtaa ja valvoa työn tekemistä. Tämä merkitsee myös työnantajan omistamien ja henkilöstön käyttöön annettujen viestintävälineiden ja tietoverkkojen käytön sääntelyä ja valvontaa. Tietoverkkoa on välttämätöntä seurata sen toiminnan varmistamiseksi ja kehittämiseksi. Seurantaa tarvitaan muun muassa tietoverkon ylikuormittumisen välttämiseksi, tietoliikenteen toimivuuden varmistamiseksi sekä tietoturvallisuuden toteutumisen varmistamiseksi. Toisaalta oikeus luottamuksellisen viestin salaisuuteen kuuluu perusoikeutena jokaiselle. Perustuslain takaama oikeus luottamuksellisen viestin salaisuuteen ei kuitenkaan tarkoita sitä, että työnantajalla olisi velvollisuus pitää henkilöstölleen tarjolla mahdollisuuksia rajattomaan sähköiseen viestintään. Tietoverkon omistaa ja sitä hallinnoi Lappeenrannan kaupunki. Tämän vuoksi Lappeenrannan kaupungilla työnantajana on oikeus määrätä, mihin kaupungin tietoverkkoa saa käyttää ja mihin ei. Käyttöoikeudet kaupungin sähköpostin ja tietoliikenneverkkojen käyttöön myöntää tulosalueen tai yksikön esimies. Myöntämisperusteena tulee olla tarve ko. palveluihin asianomaisen työn hoidon kannalta. Erityisesti lyhytaikaisten työsuhteiden osalta
LAPPEENRANNAN KAUPUNKI 27.2.2002 5 (esim. harjoittelijat) käyttöoikeuksien myöntämiselle tulee olla selkeät työtehtäviin liittyvät perusteet ja myönnettäessä tulee huomioida myös tietoturvanäkökulma. Käyttöoikeudet haetaan erillisellä lomakkeella, johon tulee sekä esimiehen että hakijan allekirjoitukset. Lomakkeessa on eräitä sitoumuksia, jotka on käyttöoikeuksia haettaessa tiedostettava. Käyttölupahakemus löytyy intranetistä. Hakemus lähetetään sähköisesti tietohallintoon ja tulostetaan erikseen allekirjoitusta varten. Allekirjoitettu versio lähetetään vielä tietohallintoyksikön operointiin. 1.3. Tietojärjestelmistä kerättävät tiedot ja valvonta Tietojärjestelmien turvallisuuden valvonnan, toiminnan ja tietojen varmistamisen sekä järjestelmän yleisen hallinnan perusteella tietojärjestelmien käytöstä kerätään seuraavia tietoja: - Sähköposti: lähtevät ja saapuvat viestit, lähettäjän ja vastaanottajan sähköpostiosoitteet sekä lähettävän ja vastaanottavan järjestelmän IP-osoite. Lokitiedostoihin tallentuvissa tiedoissa ei näy viestin otsikkoa tai viestin sisältöä. - Internetin käyttöä seurataan käyttäjäkohtaisesti ja palvelukohtaisesti. Väärinkäytöksiä selvitettäessä voidaan tietojärjestelmistä kerätä myös muita tarvittavia tietoja. Tietoja säilytetään palvelimella enintään kuuden kuukauden ajan. Tiedoista raportoidaan pääasiallisesti vain väärinkäytösten ilmetessä. Raportointi suoritetaan ao. viranhaltijan / työntekijän esimiehelle. 1.4. Ylläpitohenkilökunnan oikeudet ja vaitiolovelvollisuus Kaupungin sähköpostijärjestelmällä on nimetyt vastuuhenkilöt sekä ylläpitohenkilökunta. Ylläpitohenkilökuntaan kuuluvat vastuuhenkilöiden lisäksi ne henkilöt, jotka joutuvat työnsä takia tekemisiin lokitietojen ja toisten ihmisten viestien kanssa. Järjestelmien ja niiden sisältämien tietojen turvallisuuden varmistamiseksi sekä järjestelmien toiminnan ylläpitämiseksi järjestelmien vastuuhenkilöillä on oikeus valvoa järjestelmien käyttöä ja tarvittaessa oikeus päästä järjestelmien sisältämiin viesteihin ja muihin tietoihin sekä käsitellä niitä.
LAPPEENRANNAN KAUPUNKI 27.2.2002 6 Ylläpitohenkilökunta käyttää työnantajalle kuuluvien sähköisten viestien esille hakemisessa ja avaamisessa lainsäädännössä tarkoitettuja tietojärjestelmän pääkäyttäjän valtuuksia. Ylläpitohenkilökuntaa sitoo ehdoton vaitiolovelvollisuus, eivätkä heidän oikeutensa kumoa luottamuksellisen viestin suojaa. 1.5. Tekijänoikeudet järjestelmissä oleviin tietoihin Työnantaja saa työntekijänsä luomaan teokseen normaalin toimintansa edellyttämän käyttöoikeuden. 2. TIETOTURVALLISUUDEN TOTEUTTAMINEN Tietoturvaa ei voida rakentaa pelkästään laitetekniikalla, vaan se pohjautuu suurelta osin käyttäjien toimintaan verkossa. Käyttäjän kannalta olennaisimmat tietoturvaan vaikuttavat tekijät ovat salasanojen arvattavuus, luovutus toiselle, ohjelmien oikea käyttö ja muut vastaavat asiat. Internet soveltuu ainoastaan julkisen tiedon välitykseen. Tämä koskee kaikkea tietoliikennettä eli sähköpostia, pääteyhteyksiä ja tiedonsiirtoa. Yhteydet Internetiin voivat olla joko salattuja tai salaamattomia. Salaamattomilla yhteyksillä saa käsitellä vain julkista tietoa. Esimerkiksi henkilörekisterilain mukaisten tietojen käsittelyyn on aina käytettävä salattuja yhteyksiä. Järjestelmien käytössä tarvittavat käyttäjätunnukset, tunnussanat ja salausavaimet on tarkoitettu vain kaupungin viranhaltijoiden /työntekijöiden henkilökohtaiseen käyttöön. On kiellettyä ottaa yhteys tai yrittää päästä sellaisiin järjestelmien osiin, joiden käyttöön viranhaltijalla/työntekijällä ei ole omaa tunnusta tai joita ei ole tarkoitettu hänen käyttöönsä. Samoin kaikki toimenpiteet, jotka estävät tai häiritsevät järjestelmien käyttöä on kielletty. Järjestelmien tietoturvallisuudessa havaituista aukoista, virheistä tai puutteista on ilmoitettava välittömästi tietohallintopäällikölle. Toisille henkilöille osoitettujen tai heille kuuluvien viestien tai muiden tietojen etsiminen, avaaminen tai lukeminen tai näiden toimien yritys on kielletty. Jos järjestelmät antavat tällaista tietoa viranhaltijan/työntekijän käyttöön tai hän muuten vahingossa saa tällaista tietoa, sitä ei saa käyttää, kopioida, lähettää, ilmaista tai muuten siirtää. Asiasta on viipymättä ilmoitettava tietohallintopäällikölle. Muilta osin tietoturva-asioissa noudatetaan erillistä kaupungin tietoturvaohjetta. Samat ohjeet ja säännökset koskevat myös
LAPPEENRANNAN KAUPUNKI 27.2.2002 7 järjestelmien käyttöä etäyhteyksillä joko hyväksytyillä kotiyhteyksillä tai kannettavilla tietokoneilla ja mobiililaitteilla. Virusvaara tulee huomioida kaikessa toiminnassa.
LAPPEENRANNAN KAUPUNKI 27.2.2002 8 3. OHJEET SÄHKÖPOSTIN KÄYTÖSTÄ 3.1. Sähköpostin käyttöperiaatteet Sähköpostin käytössä voidaan eritellä organisaatiokäyttö, virkakäyttö, yksityiskäyttö ja henkilökohtainen käyttö. Organisaatiokäytöllä tarkoitetaan organisaation sähköpostiosoitteeseen (esim. kirjaamo@lappeenranta.fi) lähetettyjä viranomaistoimenpiteitä edellyttäviä viestejä. Virkakäytöllä tarkoitetaan työnantajan viranhaltijan/työntekijän työkäyttöön antamaan virkasähköpostiosoitteeseen (etunimi.sukunimi@lappeenranta.fi) lähetettyjä viestejä, jotka edellyttävät ko. viranhaltijalta/työntekijältä työtehtäviinsä liittyviä toimenpiteitä. Henkilökohtaisella käytöllä tarkoitetaan työnantajan viranhaltijan/työntekijän työkäyttöön antamaan sähköpostiosoitteeseen (yleensä sama kuin henkilön virkasähköpostiosoite) liittyviä henkilökohtaisia viestejä ja yksityisellä käytöllä viranhaltijan/työntekijän omaan käyttöönsä hankkimaan yksityiseen sähköpostiosoitteeseen liittyviä viestejä. Sähköpostiviestiin sisältyvät myös sen liitteet (esim. liitetiedostot). Kaupungin organisaatiosähköpostia saa käyttää vain viranomaistehtävissä ja sen käyttöoikeudet määritellään aina erikseen. Organisaatio- ja virkasähköpostiin toimitetun viranomaistoimintaan liittyvän sähköisen asiakirjan vastaanottamisesta on ilmoitettava viipymättä viestin lähettäjälle siten kuin sähköisestä asioinnista viranomaistoiminnassa annetun lain 12 :ssä säädetään. Kaupungin virkasähköpostin käyttö henkilökohtaiseen käyttöön on sallittu, kuitenkin siten, että se ei saa häiritä asianomaisen työtehtävien suorittamista. Järjestelmissä ei ole kuitenkaan tarkoituksenmukaista lähettää, vastaanottaa tai säilyttää mitään sellaista yksityistä tietoa, jota ei ole tarkoitettu muiden tietoisuuteen. Yleisenä suosituksena on lisäksi, että henkilökohtaiset / luottamukselliset viestit merkitään otsikko-kohdassa tekstillä henkilökohtainen. 3.2. Sähköpostin kielletty käyttö ja tietosisältö Virkasähköpostin käytössä muihin kuin työtehtävien hoitamiseen, eli henkilökohtaisessa käytössä, tulee olla yleisesti ottaen pidättyväinen, koska jokainen viranhaltija/työntekijä edustaa
LAPPEENRANNAN KAUPUNKI 27.2.2002 9 omalta osaltaan kaupunkia toimiessaan kaupungin myöntämän käyttöluvan turvin ja kaupungin tietojärjestelmien kautta. Myös postituslistoille ilmoittautumisessa tulee olla erittäin pidättyväinen. Erityisesti tulee ottaa huomioon, että saapuvan postin määrä pysyy kohtuullisena ja saadusta postista on myös ammatillista hyötyä. Keskustelu- ym. forumeilla tulee käyttäytyä siten, ettei esitetyt kommentit ole ristiriidassa kaupungin edun kanssa. Roskapostitulvan välttämiseksi sähköpostiosoitetta ei tule keskustelu- ym. foorumeilla ilmaista. Epäasiallisten ja vahingollisten viestien ja tietojen lähettäminen sähköpostitse on kiellettyä. Tällaisia viestejä ja tietoja ovat mm. : - virukset tai muut automaattisesti leviävät viestit, tiedostot tai ohjelmat - nimettömät viestit, ketjukirjeet ja massapostitukset tuntemattomille henkilöille - uskonnollisesti, poliittisesti tai muuten siihen verrattavalla tavalla propagandistinen/loukkaava viestintä - toiseen henkilöön kohdentuvat loukkaavat tai halventavat viestit - viestien ja tietojen edelleen jakelu ilman lähettäjän lupaa silloin, kun edelleen jakelu saattaisi aiheuttaa vahinkoa tai haittaa lähettäjälle. Sähköpostin käytössä on erityisesti kiinnitettävä huomiota myös lähetettävien tietosisältöjen luottamuksellisuuteen, mikäli käytössä ei ole salausjärjestelmää. Sähköpostiviestit kulkevat tietoverkoissa avoimina ja selväkielisinä ja siitä syystä luottamuksellisten ja salaisten tietojen lähettäminen sähköpostitse ilman salausjärjestelmän käyttöä on kiellettyä. Sähköpostin automaattinen ohjaaminen toiseen erityisesti kaupungin tietoverkon ulkopuoliseen sähköpostiosoitteeseen on kiellettyä tietoturvallisuuden vuoksi. 3.3. Sähköpostien salaus ja salausjärjestelmän käyttö Mikäli on tarvetta lähettää sähköisesti luottamuksellista/salaista tietoa yleisen Internet verkon välityksellä, on tieto salakirjoitettava. Salauksessa on käytettävä vahvaa salausta, johon on käytettävissä ns. julkisen avaimen salaus (esim. HST-kortti). 3.4. Menettely viranhaltijan/työntekijän poissaolojen aikana ja palvelussuhteen päättyessä Työantajalle kuuluvien viestien käsittely tulee ensisijassa pyrkiä ohjaamaan organisaatiosähköpostiin.
LAPPEENRANNAN KAUPUNKI 27.2.2002 10 Poissaolojensa aikana työntekijän/viranhaltijan tulee huolehtia automaattisen poissaoloilmoituksen käyttämisestä. Automaattista poissaolotiedotetta on suositeltavaa käyttää aina viranhaltijan/työntekijän ollessa pois työpaikaltaan pidempään kuin yhden työpäivän. Poissaolotiedotteessa on hyvä ilmoittaa sen henkilön yhteystiedot, johon viestin lähettäjä voi ottaa yhteyttä poissaolevan viranhaltijan/työntekijän sijaan. Viranhaltija/työntekijä voi myös poikkeuksellisesti antaa kirjallisen suostumuksensa siihen, että poissaolon aikana tietty työnantajan tehtävään hyväksymä henkilö voi ottaa vastaan poissa olevalle lähetetyt viestit työnantajan toiminnan kannalta tärkeiden viestien sisällön selvittämiseksi. Tällöinkään selvästi henkilökohtaiseksi merkittyä viestiä ei saa toisen puolesta avata. Organisaatiosähköpostin, virkasähköpostin ja henkilökohtaisen sähköpostin käyttöoikeudet päättyvät palvelussuhteen päättyessä. Palvelussuhteen päättyessä esimiehen on hyvissä ajoin ilmoitettava tietohallintoyksikölle, että sähköpostiosoite on poistettava käytöstä. Esimiehen tulee kehottaa viranhaltijaa/työntekijää hyvissä ajoin poistamaan henkilökohtaiset viestit ja ilmoittamaan viestintäkumppaneilleen sähköpostiosoitteen poistamisesta palvelussuhteen päättyessä. Suositeltavaa on käyttää sähköpostiohjelman automaattista vastaus ominaisuutta, jonka avulla informoidaan viestintäkumppaneita sähköpostiosoitteen poistumisesta. Viranhaltijan/työntekijää kohdanneessa kuolemantapauksessa henkilön sähköpostitunnukset tulee poistaa ja henkilökohtaiset viestit palauttaa niiden lähettäjälle. Menettelyssä tulee noudattaa kohdan 3.5. mukaisia ohjeita. 3.5. Työnantajan oikeudet sähköpostiviestien lukemiseen 3.5.1. Työnantajalle kuuluvan viestin selvittäminen Jos viranhaltija/työntekijä on estynyt suorittamasta työtehtäviään, ja on ilmeistä, että työnantajan toiminnan kannalta tärkeitä viestejä ei ole saatu työnantajan käyttöön, on työntekijältä / viranhaltijalta pyydettävä mahdollisuuksien mukaan suostumus työnantajalle kuuluvien viestien selvittämiseen ja tarvittaessa avaamiseen. Mikäli suostumusta ei voida saada, on työnantajalla kuitenkin oikeus selvittää, onko työntekijän/viranhaltijan sähköpostiin lähetetty tämän poissa ollessa tai onko tämä lähettänyt tai vastaan-
LAPPEENRANNAN KAUPUNKI 27.2.2002 11 ottanut välittömästi ennen poissaoloaan työnantajalle kuuluvia viestejä, jollei työntekijän/viranhaltijan hoitamien asioiden selville saaminen ja työnantajan toiminnan turvaaminen ole muilla keinoin mahdollista. Jos työntekijältä ei esimerkiksi vakavan vammautumisen, kuolemantapauksen tai muutoin voida saada suostumusta edellä mainittujen tietojen selvittämiseen, on työnantajalla yksityisyyden suojasta työelämässä annetun lain 19 ja 20 :ssä tarkemmin säädetyin edellytyksin oikeus hakea esille ja avata ilmeisimmin työnantajalle kuuluva viesti. 3.5.2. Väärinkäytösten ym. selvittäminen Epäiltäessä väärinkäytöksiä, rikollista toimintaa taikka riitatilanteissa on työnantajalla oikeus lukea viranhaltijalle/työntekijälle lähetettyjä tai hänen lähettämiään sähköpostiviestejä saatuaan suostumuksen ao. henkilöltä tai muuten kirjallisesti sovittuaan asiasta hänen kanssaan. Suostumus voidaan pyytää myös etukäteen käyttöoikeuksia myönnettäessä. Väärinkäyttötilanteina pidetään pääsääntöisesti tilanteita, joilla on tarkoitus tai jotka ovat omiaan aiheuttamaan vahinkoa jollekin taholle. Mikäli viranhaltija / työntekijä ei ole antanut em. suostumusta, on työnantajalla kuitenkin edellä mainituissa tapauksissa oikeus avata ao. henkilön sähköposteja sillä edellytyksellä, että viranhaltijalle/työntekijälle on varattu tosiasiallinen mahdollisuus olla läsnä sähköpostien avaustilaisuudessa. Tilaisuuteen voidaan kutsua myös luottamusmies. Mikäli viranhaltijan / työntekijän sähköpostiviestin otsikosta on selkeästi havaittavissa, että viesti on asiasisällöltään henkilökohtainen/luottamuksellinen, ei sitä saa avata kuin siinä tapauksessa, että ao. henkilö antaa siihen yksilöidyn suostumuksen. 3.5.3. Menettely sähköposteja avattaessa ja vaitiolovelvollisuus Sähköisten viestien esille hakeminen ja avaaminen, silloin kun se on välttämätöntä, suoritetaan aina ylläpitohenkilöstön toimesta. Viranhaltijalle / työntekijälle on mahdollisuuksien mukaan ilmoitettava em. toimenpiteen suorittamisesta ja varattava tilaisuus olla mahdollisuuksien mukaan läsnä toimenpidettä suoritettaessa. Toimenpiteestä on aina laadittava siihen osallistuneiden henkilöiden allekirjoittama selvitys, mistä ilmenee miksi viestiä on haettu, mikä viesti on avattu ja miksi, toimenpiteen ajankohta, toimenpiteen suorittaneet henkilöt, sekä se, kenelle mahdollisesti avatun viestin sisällöstä on annettu tieto. Selvitys on mahdolli-
LAPPEENRANNAN KAUPUNKI 27.2.2002 12 suuksien mukaan ilman aiheetonta viivytystä toimitettava työntekijälle ja mahdollisesti avatut viestit on säilytettävä. Tietoja käsitelleet henkilöt eivät saa ilmaista toimenpiteen johdosta tietoonsa tulleita tietoja sivullisille palvelussuhteen aikana eikä sen päättymisen jälkeen lukuun ottamatta väärinkäyttötapauksia. 3.6. Väärään osoitteeseen saapuneet / lähetetyt sähköpostiviestit Sähköpostiviestin lähettäjällä on pääasiallinen vastuu viestin perillemenosta. Mikäli viranhaltija/työntekijä saa sähköpostiviestin, joka on ao. viranomaisen toimivaltaan kuulumaton, ilmeisestä erehdyksestä tai tietämättömyydestä viranomaiselle lähetetty, on se siirrettävä sähköisestä asioinnista viranomaistoiminnassa annetun lain 15 :n ja hallintolain 21 :n mukaisesti toimivaltaiseksi katsotulle viranomaiselle, jos se on tiedossa. Siirrosta on ilmoitettava viestin lähettäjälle. Muut sähköpostiviestit, jotka eivät selvästi kuulu sille organisaatiolle tai vastaanottajalle, joka ne on vastaanottanut, palautetaan lähettäjälle ja tuhotaan. Ns. roskapostit tai muutoin epäilyttävät viestit poistetaan avaamatta niitä. Väärälle vastaanottajalle lähetetyn viestin tietoonsa saaneella henkilöllä on vaitiolovelvollisuus ja hyväksikäyttökielto viestin sisällöstä ja olemassaolosta. 4. OHJEET INTERNET-YHTEYKSIEN KÄYTÖSTÄ 4.1. Internetin käyttöperiaatteet Internet-yhteydet on tarkoitettu käytettäväksi kaupungin toimintaa palvelevissa työtehtävissä. Internet-yhteyksien käyttö henkilökohtaisiin tarkoituksiin, kuten esim. yksityinen sähköinen asiointi on sallittu, mutta siinä tulee olla pidättyväinen eikä se saa häiritä työtehtävien hoitoa. Internetin kautta postituslistoille ilmoittautumisessa tulee olla erittäin pidättyväinen. Erityisesti tulee ottaa huomioon, että saapuvan postin määrä pysyy kohtuullisena ja saadusta postista on myös ammatillista hyötyä. Keskustelu ym. forumeilla tulee käyttäytyä siten, etteivät esitetyt kommentit ole ristiriidassa kaupungin edun kanssa. Roskapostitulvan välttämiseksi sähköpostiosoitetta ei tule keskustelu- ym. foorumeilla ilmaista.
LAPPEENRANNAN KAUPUNKI 27.2.2002 13 Internet-yhteyksien käyttöön liittyvissä epäselvissä kysymyksissä tulee kääntyä kaupungin tietohallintoyksikön puoleen. 4.2. Internet -tiedostojen ja ohjelmien siirto Internetissä olevia tietoja saa siirtää vain hyötykäyttöön kuten oman tehtäväalueensa lisätietojen hankintaan ja yleiseen tutustumiseen. Siirrossa on noudatettava kaupungin erillisiä tietoturvaohjeita. Internetistä poimittuja ohjelmia ei saa asentaa mikroihin ilman tietohallintoyksikön/ -vastaavan lupaa. Tietohallintoyksikkö ei myöskään tue tällaisia ohjelmia eikä hoida niiden tekijänoikeusmaksuja. Lähes kaikilla Internetistä yleisesti saatavilla ohjelmilla on myös tekijänoikeussuoja. Työasemien osalta tulee huomioida seuraavat asiat: - Kaikkien ohjelmien asennuksesta verkossa oleviin laitteisiin sovitaan tietohallintoyksikön henkilöstön kanssa. - Työasemille saa asentaa vain sellaisia ohjelmia, joiden tekijänoikeusmaksu on kunnossa. - Työasemille ei saa asentaa mitään tietoturvaa heikentävää ohjelmaa, kuten verkon liikenteenseurantaohjelma tai vastaavat. - Työasemien tunnistetietojen (osoite, nimi...) muuttaminen on ehdottomasti kielletty. Käyttäjän on tarkistettava ulkoa tuomansa levykkeet sekä muut mediat tai tiedostot hyväksytyllä virustarkistusohjelmalla ennen niiden käyttöä. Tietohallintoyksikön henkilöstöltä saa tarkemmat ohjeet virustorjunnan hoitamiseen. - Jos virusvalvonta mikrossa hälyttää, on mikron käyttö lopetettava ja otettava yhteys tietohallintoyksikköön tai mikrotukihenkilöön. - Työasemille ei saa asentaa modeemeja tai vastaavia laitteita ilman tietohallintoyksikön kirjallista lupaa. 4.3. Muutosten teko kaupungin www-palvelimen sivuihin Www-palvelimeen tehdään muutokset ja lisäykset kaupunginkanslian ja toimialajohtajien antamien ohjeiden mukaisesti. Omien koti- ja tietosivujen tekeminen kaupungin järjestelmiin ilman erillistä lupaa on kielletty ja mikäli henkilöstö tekee muutoin omia kotisivujaan ei niistä saa olla viitteitä kaupungin virallisille wwwsivuille. Kaupungin nimissä ei myöskään saa tehdä infosivuja yleisille ilmoitustauluille.
LAPPEENRANNAN KAUPUNKI 27.2.2002 14 5. VASTUU JÄRJESTELMIEN KÄYTÖSTÄ YKSITYISIIN TARKOITUKSIIN JA VÄÄRINKÄYTÖKSISTÄ Kuten edellä on todettu, järjestelmän yksityinen käyttö on tietyssä määrin sallittua, mutta se on viranhaltijan/työntekijän omalla vastuulla. Kaupunki ei vastaa mistään yksityisen käytön viranhaltijalle/työntekijälle aiheuttamasta vahingosta. Käyttäjä vastaa Internetistä tai muualta hakemiensa tiedostojen /ohjelmien turvallisuudesta, itse asennettujen ohjelmien aiheuttamista ylläpitokustannuksista ja lisenssimaksuista (myös saatuaan luvan tietohallintoyksiköltä em. toimenpiteisiin) sekä levytilan käytöstä ja levyllä säilytettävien tietojen tietosuojasta ja varmuuskopioinnista sekä siitä, että työaseman levyllä ei säilytetä mitään luottamuksellista/salaista tietoa. Näiden sääntöjen vastaisesta järjestelmien käytöstä on ilmoitettava välittömästi tietohallintopäällikölle. Sääntöjen rikkomisesta voi olla seurauksena järjestelmien käyttöoikeuksien sulkeminen. Virkavelvollisuuksien vastaisesta menettelystä on viranhaltijan osalta säännökset kunnallisen viranhaltijan palvelussuhdeturvasta annetussa laissa sekä virkasäännössä. Työntekijän velvollisuuksista ja niiden rikkomisesta on puolestaan säännökset työsopimuslaissa. Vakava tietosuojarikkomus voi olla jopa palvelussuhteen irtisanomis- tai purkuperuste. Monet tietoturvaan liittyvät rikkomukset ovat myös rikosoikeudellisesti rangaistavia. 6. LISÄTIEDOT JA KÄYTTÖSÄÄNTÖJEN PÄIVITYS Näiden sähköpostin ja internet-yhteyksien käyttösääntöjen soveltamisen, siihen liittyvien ongelmatilanteiden tai muiden käyttösäännöissä mainittujen asioiden osalta lisätietoja antaa pääasiallisesti kaupungin tietohallintoyksikkö. Po. asiaan liittyvissä palvelusuhdeasioissa lisätietoja antaa henkilöstöyksikkö. Käyttösääntöjen päivityksestä vastaa tietohallintotyöryhmä. LIITE Laki yksityisyyden suojasta työelämässä :t 18 20. Hyväksytty tietohallintotyöryhmässä 27.2.2002. Hyväksytty valmistelutyöryhmässä 19.6.2002 Hyväksytty kaupunginhallituksen hallinto- ja henkilöstöjaostossa 9.8.2002 Päivitykset hyväksytty 30.12.2004.
LAPPEENRANNAN KAUPUNKI 27.2.2002 15 Laki yksityisyyden suojasta työelämässä 13.8.2004/759 (www.finlex.fi) Liite 6 luku Työnantajalle kuuluvien sähköpostiviestien hakeminen ja avaaminen 18 Työnantajan huolehtimisvelvollisuudet Työnantajalla on oikeus hakea esille tai avata työnantajan työntekijän käyttöön osoittamaan sähköpostiosoitteeseen lähetettyjä tai työntekijän tällaisesta sähköpostiosoitteesta lähettämiä sähköpostiviestejä ainoastaan silloin, jos hän on suunnitellut ja järjestänyt työntekijälle tämän nimellä lähetettyjen ja tämän lähettämien sähköpostiviestien suojan toteuttamiseksi tarpeelliset toimenpiteet ja tässä tarkoituksessa erityisesti huolehtinut siitä, että: 1) työntekijä voi käytettävän sähköpostijärjestelmän automaattisen vastaustoiminnon avulla lähettää viestin lähettäjälle ilmoituksen poissaolostaan ja sen kestosta sekä tiedon henkilöstä, joka hoitaa poissa olevalle työntekijälle kuuluvia tehtäviä; tai 2) työntekijä voi ohjata viestit toiselle työnantajan tähän tehtävään hyväksymälle henkilölle tai toiseen omassa käytössään olevaan työnantajan hyväksymään osoitteeseen; taikka 3) työntekijä voi antaa suostumuksensa siihen, että työntekijän poissa ollessa tämän valitsema työnantajan tehtävään hyväksymä toinen henkilö voi ottaa vastaan työntekijälle lähetetyt viestit sen selvittämiseksi, onko työntekijälle lähetetty sellainen viesti, joka on selvästi tarkoitettu työnantajalle työtehtävien hoitamiseksi ja josta työnantajan on toimintansa tai työtehtävien asianmukaisen järjestämisen vuoksi välttämätöntä saada tieto. Edellä 1 momentissa tarkoitettujen sähköpostiviestien esille hakemisen tai avaamisen edellytyksenä on lisäksi, mitä 19 ja 20 :ssä säädetään. 19 Työnantajalle kuuluvien sähköisten viestien esille hakeminen Työnantajalla on oikeus tietojärjestelmän pääkäyttäjän valtuuksia käyttävän henkilön avulla ottaa viestin lähettäjää, vastaanottajaa tai viestin otsikkoa koskevien tietojen perusteella selville, onko työntekijälle lähetetty tämän poissa ollessa tai onko työntekijä välittömästi ennen poissaoloaan lähettänyt tai vastaanottanut työnantajalle kuuluvia viestejä, joista työnantajan on toimintaansa liittyvien neuvottelujen loppuun saattamiseksi, asiakkaiden palvelemiseksi tai toimintojensa turvaamiseksi muutoin välttämätöntä saada tieto, jos:
LAPPEENRANNAN KAUPUNKI 27.2.2002 16 1) työntekijä hoitaa tehtäviä itsenäisesti työnantajan lukuun eikä työnantajan käytössä ole järjestelmää, jonka avulla työntekijän hoitamat asiat ja niiden käsittelyvaiheet kirjataan tai saadaan muutoin selville; 2) työntekijän tehtävien ja vireillä olevien asioiden vuoksi on ilmeistä, että työnantajalle kuuluvia viestejä on lähetetty tai vastaanotettu; 3) työntekijä on estynyt tilapäisesti suorittamasta työtehtäviään eikä työnantajalle kuuluvia viestejä siitä huolimatta, että työnantaja on huolehtinut 18 :ssä tarkoitetuista velvollisuuksistaan, voida saada työnantajan käyttöön; ja 4) työntekijän suostumusta ei voida saada kohtuullisessa ajassa ja asian selvittäminen ei kestä viivytystä. Jos työntekijä on kuollut taikka jos hän on pysyväisluonteisesti estynyt suorittamasta työtehtäviään eikä hänen suostumustaan voida saada, työnantajalla on 1 momentin 1 ja 2 kohdassa säädetyin edellytyksin oikeus ottaa viestin lähettäjää tai vastaanottajaa taikka viestin otsikkoa koskevien tietojen perusteella selville työnantajalle kuuluvat viestit, jollei työntekijän hoitamien asioiden selville saaminen ja työnantajan toiminnan turvaaminen ole muilla keinoilla mahdollista. Jollei viestin esille hakeminen johda viestin avaamiseen, siitä on laadittava siihen osallistuneiden henkilöiden allekirjoittama selvitys, josta ilmenee, miksi viestiä on haettu, hakemisen ajankohta ja sen suorittajat. Selvitys on ilman aiheetonta viivytystä toimitettava työntekijälle, jollei 2 momentista muuta johdu. Viestin lähettäjä- tai vastaanottajatietoja taikka otsikkotietoja ei saa käsitellä laajemmin kuin on välttämätöntä viestin esille hakemisen tarkoituksen vuoksi, eivätkä tietoja käsittelevät henkilöt saa ilmaista näitä tietoja sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen.
LAPPEENRANNAN KAUPUNKI 27.2.2002 17 20 Työnantajalle kuuluvien sähköisten viestien avaaminen Jos sähköisen viestin lähettäjää tai vastaanottajaa taikka viestin otsikkoa koskevan tiedon perusteella on ilmeistä, että työntekijälle lähetetty tai työntekijän lähettämä viesti on selvästi työnantajalle kuuluva viesti, jonka sisällöstä työnantajan on toimintaansa liittyvien neuvottelujen loppuun saattamiseksi, asiakkaiden palvelemiseksi tai toimintojensa turvaamiseksi välttämätöntä saada tieto, eikä viestin lähettäjään tai vastaanottajaan saada yhteyttä viestin sisällön selvittämiseksi tai sen lähettämiseksi työnantajan osoittamaan osoitteeseen, työnantaja saa avata viestin 19 :ssä tarkoitetuissa tapauksissa tietojärjestelmän pääkäyttäjän valtuuksia käyttävän henkilön avulla toisen henkilön läsnä ollessa. Avaamisesta on laadittava siihen osallistuneiden henkilöiden allekirjoittama selvitys, josta ilmenee, mikä viesti on avattu, miksi viesti on avattu, avaamisen ajankohta, avaamisen suorittajat sekä kenelle avatun viestin sisällöstä on annettu tieto. Selvitys on ilman aiheetonta viivytystä toimitettava työntekijälle, jollei 19 :n 2 momentista muuta johdu. Avattu viesti on säilytettävä eikä sen sisältöä ja lähettäjätietoja saa käsitellä laajemmin kuin on tarpeen viestin avaamisen tarkoituksen vuoksi, eivätkä tietoja käsittelevät henkilöt saa ilmaista viestin sisältöä sivulliselle työsuhteen aikana eikä sen päättymisen jälkeen. Työnantajan palveluksessa olevalla tai tämän toimeksiannosta toimivalla, jolle työntekijä on ohjannut sähköpostinsa 18 :n 1 momentin 2 kohdassa tarkoitetulla tavalla tai joka voi 18 :n 1 momentin 3 kohdassa tarkoitetulla tavalla työntekijän suostumuksen mukaan ottaa vastaan hänen nimellään lähetettyjä viestejä, on oikeus avata viesti noudattaen, mitä 2 momentissa säädetään, jollei työntekijä ole antanut suostumustaan muuhun menettelyyn.