Johdatus IT-oikeuteen; harjoitustehtävät 1-3, 7-10 1. Työpaikan sähköpostiohjeistus Helsingin yliopiston tietojenkäsittelytieteen laitos 2001 Dosentti, OTT Tuomas Pöysti, Helsingin yliopisto Neuvotteleva virkamies, Valtiovarainministeriö 1.12.2001/1 1.12.2001/2 Perusteet Ohjeistuksella tasapainotetaan ja sovitetaan yhteen työnantajan tarpeet, intressit ja oikeudet sekä työntekijälle kuuluva oikeus luottamuksellisen viestin suojaan Työntekijöiden tulee olla selkeästi tietoisia työnantajan sähköpostin käyttöä koskevasta politiikasta ajantasainen, saatavilla oleva ohjeistus, sitovuuden selkeä määrittely Oikeudelliset perusteet; 1 / 2 Sähköpostiviesti on perustuslain luottamuksellisen viestinnän suojaa koskevassa säännöksessä tarkoitettua suojaa nauttiva luottamuksellinen viesti Luottamuksellisen viestin oikeudeton avaaminen on rikoslaissa säädetty rangaistavaksi Työnantajalla on työsopimuslain mukaan direktiooikeus eli oikeus antaa työsuhteessa työtehtäviä ja toimintaa työpaikalla koskevia määräyksiä työntekijälle 1.12.2001/3 1.12.2001/4 Oikeudelliset perusteet; 2 / 2 Työelämän tietosuojalaissa eli yksityisyyden suojasta työelämässä annetussa laissa suojataan niin ikään työntekijän oikeutta luottamukselliseen viestintään laissa todetaan, ettei työnantajalla ole yleistä oikeutta puuttua työntekijän saamaan luottamukselliseen viestiin Työnantaja ei saa avata sähköposteja ilman työntekijän lupaa perusoikeudesta ei kokonaan voi luopua eli rajoittamaton suostumus ei ole hyväksyttävissä Käytännön suosituksia Ohjeistuksesta tulee käydä ilmi, saako ja millä ehdoilla ja rajoituksilla työntekijä käyttää sähköpostia henkilökohtaisten viestien lähettämiseen ja vastaanottamiseen työnantajalla on direktio-oikeuden ja järjestelmän omistajan aseman perusteella oikeus kieltää Jos henkilökohtainen viestintä kiellettyä niin on varmistettava työntekijöiden tietoisuus ja sitoutuneisuus määräykseen allekirjoituksella vahvistetaan; ei ole kuitenkaan varsinainen sopimus 1.12.2001/5 1.12.2001/6 1
Sähköposti ja tietoturvallisuus Ohjeistuksessa myös selvitettävä sähköpostin käyttöön liittyvät turvallisuusseikat ja käytännöt Erityisesti ohjeistettava yrityssalaisuuden alaisten tietojen lähettämisestä avoimen tietoverkon yli 2. Sähköpostin tukkeutumisen selvittäminen 1.12.2001/7 1.12.2001/8 Käytännön ohjeita oikeudellisesta näkökulmasta Ripeästi tarvittavat tekniset selvitykset ja toimet Arvioidaan ongelman syyt ja välttäminen jatkossa Kunnioitetaan viestinnän luottamuksellisuutta ja siihen liittyviä oikeusperiaatteita ei avata viestejä suostumuksetta vain teknisesti välttämätön puuttuminen viesteihin; vaitiolopitovelvoite ja hyödyntämiskielto niiden sisällöstä ja olemassaolosta 3. Menettelyohjeet yrityssalaisuuden rikkomista tai virusten lähettämistä epäiltäessä 1.12.2001/9 1.12.2001/10 Yleisiä ohjeita Päättäväinen, rauhallinen ja harkittu toiminta Lainmukaiset menettelyt - yksityisellä ei rikostutkintavaltuuksia Vahinkojen rajoittaminen ja jatkovahinkojen estäminen Oikeudellisia perusteita Yrityssalaisuuden rikkominen rikoslakirikos - edellyttää tahallisuutta Virusten tahallinen levittäminen rikoslakirikos - tahallisuusedellytys Huolimattomuus voi olla moitittavaa työsopimussuhteessa noudatettavien velvoitteiden perusteella, Työoikeudelliset menettelyt ja seuraamukset huolimattomuudesta ja tahallisuudesta 1.12.2001/11 1.12.2001/12 2
Tapahtuneen selvittäminen Kerätään luottamuksellisen viestinnän suojaa rikkomatta luotettavalla tavalla aineisto tapahtuneesta Selvitetään tilannetta onko tahallisuutta Työsopimuslaissa säädetty kuuleminen 7. Tietojärjestelmän ylläpidon ulkoistamista koskeva sopimus Tärkeää määritellä haluttavat palvelut ja niiden toimitusaika ja noudatettava laatutaso tietoturvallisuustaso Noudatetaan yleisiä sopimuskäytäntöjä - ks. Tuomas Pöystin luento tietohallinnon sopimuksista 1.12.2001/13 1.12.2001/14 8. Tietoturvallisuussuunnitelman laadinta Yleisiä periaatteita Tietoturvallisuuspolitiikan ja sitä toteuttavien suunnitelmien ja käytännön menettelyohjeiden tarve Mitoitetaan organisaation informaatiovarantojen ja tietojenkäsittelyn riskien, informaation laadun ja arkaluontoisuuden sekä teknisten mahdollisuuksien ja turvallisuustoimenpiteistä aiheutuvien kustannusten mukaisesti oikeasuhtaiset turvallisuusratkaisut 1.12.2001/15 1.12.2001/16 Julkisuuslain soveltamisalalla huomattava Viranomainen, virasto, valtion laitos ja valtion liikelaitos noudattavat julkisuuslakia Julkisuuslaissa on erityissäännökset hyvästä tiedonhallintatavasta ja tietoturvallisuudesta; Muutoin virastoissa ja laitoksissa sovelletaan samoja oikeudellisia sääntöjä Tietoturvallisuussuunnittelun oikeudelliset perusteet Henkilötietolaki hyvä tietojenkäsittelytapa tietoturvallisuussäännös; henkilötietolain 32 riskeihin ja tietoihin nähden riittävät ja oikeasuhtaiset turvallisuustoimenpiteet otettava huomioon teknisen kehityksen taso 1.12.2001/17 1.12.2001/18 3
Tietoturvallisuussuunnittelun oikeudelliset perusteet 2 Eräitä yrityksiä koskeva erityislainsäädäntö teleyritysten velvoitteet televiestinnän tietosuojalaissa - > laajenemassa koskemaan yleensä viestintäpalveluja tarjoaviin yrityksiin luottolaitokset, vakuutusyhtiöt, rahoitusmarkkinalainsäädäntö Tietoturvallisuussuunnittelun oikeudelliset perusteet 3 Sopimuslojaliteetti ja sopimusvelvoitteet Immateriaalioikeudet Huolellisuus omistajaa kohtaan Työsopimuslaki ja salassapito/turvallisuussopimukset 1.12.2001/19 1.12.2001/20 Oikeudelliset lähtökohdat turvallisuustoimenpiteiden oikea ja oikeasuhtainen mitoitus suojattavat oikeudet ja informaation käyttötavat kohtuulliset kustannukset Organisatoriset toimet Tietoturvallisuus on johdon ja johtamisen kysymys Organisaation ja organisoinnin tuettava tietoturvallisuutta Lainsäädäntö edellyttää asianmukaisia organisatorisia toimia toimintojen eriyttäminen, Kiinan muurit (Chinese walls) silloin kuin yrityksen eri toiminnot eivät voi samalla tavalla käyttää informaatiovarantoja 1.12.2001/21 1.12.2001/22 Tekniset järjestelyt Tietoturvallisuuspolitiikan eri ulottuvuudet Henkilötietolaissa edellytetään tekniikan kehitykseen mitoitettuja turvallisuustoimenpiteitä 9. Kuluttajille tarjottavat on-line - sopimukset Sopimusoikeuden yleiset periaatteet EY:n sähköisen kaupankäynnin direktiivin periaatteet Käyttöliittymän laatu 1.12.2001/23 1.12.2001/24 4
o o o o Yksityisyyden suojan vaatimukset ja on-line Suojattu, ettei sivullinen pääse käyttämään toisen nimellä Suojattu henkilötietojen luvatonta paljastumista vastaan Yksityisyyttä suojaavien tekniikoiden käyttö- ei tarpeetonta tunnistautumista nimellä Tietosuojapolitiikka Suojattu, ettei sivullinen pääse käyttämään toisen nimellä Suojattu henkilötietojen luvatonta paljastumista vastaan Yksityisyyttä suojaavien tekniikoiden käyttö- ei tarpeetonta tunnistautumista nimellä Tietosuojapolitiikka On-line markkinointi Sähköisen kaupankäynnin direktiivi 2000/31/EY Palvelun tarjoajan yleinen tiedonantovelvoite Kaupallisen viestinnän tunnistettavuusvaatimus Oikeus kieltää ei-toivottu kaupallinen viestintä 1.12.2001/25 1.12.2001/26 Kaupallinen viestintä sähköisen kaupankäynnin direktiivin 6 artikla Kaupallisen viestinnän tunnistettavuus Palvelun tarjoajan tunnistettavuus Informaation hallintastrategia Ehtojen saatavuus, selkeys ja yksiselitteisyys Sijoittautumisvaltioperiaatteen mukainen sallittavuus Rajoitukset 3 artiklan ja EY-oikeuden yleisten oppien perusteella Sopimusmenettelyt verkossa Sähköisen kaupankäynnin direktiivi 2000/31/EY Yleinen tiedonantovelvoite hyvä markkinointitapa Sähköisen sopimusmenettelyn vaiheet ja tiedonantovelvoitteet epäsuorasti vaatimukset järjestelmälle ja sen toiminnalle etämyyntidirektiivin 97/7/EY asettamat vaatimukset kuluttajakaupassa 1.12.2001/27 1.12.2001/28 Sähköinen sopimus Tilaus verkkokaupassa Sähköisen kaupankäynnin direktiivin 9 artikla Sähköinen menettely tunnustettava päteväksi tietoturvallisuuskriteereillä arvioitavissa, onko oikeustoimesta ja sen sisällöstä riittävä näyttö Tiedonantovelvoite menettelystä sopimuksen solmimisen tekniset vaiheet sopimuksen arkistointi virheiden tunnistamisen ja korjaamisen tekniset menettelyt Sähköpostitse solmittavat sopimukset eivät kuulu direktiivin soveltamisalaan Sähköisen kaupankäynnin direktiivin 11 artikla Vastaanottoilmoitus tilauksesta tilaajalle Palvelun tarjoajan velvoite käyttää syöttövirheiden tunnistamisessa ja korjaamisessa teknisiä keinoja, jotka ovat asianmukaisia, tehokkaita ja helppokäyttöisiä Oikeussuojakeinot Markkinoinnin ja sopimusehtojen valvonta kuluttajakaupassa 1.12.2001/29 1.12.2001/30 5
10. Tietoturvallisuuspolitiikka, julkisuus ja salassapito julkisuuslain mukaan Julkisuuslain keskeiset periaatteet Julkisuus pääsääntö Salassapitoperusteet salassapito toteutettava Hyvä tiedonhallintatapa julkisuutta ja muita informaatioon kohdistuvia oikeuksia turvaava keskeinen periaate tietoturvallisuus osa hyvää tiedonhallintatapaa 1.12.2001/31 1.12.2001/32 Hyvä tiedonhallintatapa Tietoturvallisuussuunnitelma Laaja näkökulma informaation ja tietojärjestelmien laatuun Edellytetään tietoturvallisuuspolitiikkaa ja - suunnittelua informaatioon kohdistuvien riskien torjunta julkisuuden ja salassapidon sekä muiden informaation kohdistuvien oikeuksien tehokas toteuttaminen Käytännössä pakollinen Salassa pidettävissä julkisuuslain salassapitoperusteiden mukaan 1.12.2001/33 1.12.2001/34 6