Johdatus IT-oikeuteen; harjoitustehtävät 1-3, 7-10 Helsingin yliopiston tietojenkäsittelytieteen laitos 2001 Dosentti, OTT Tuomas Pöysti, Helsingin yliopisto Neuvotteleva virkamies, Valtiovarainministeriö
1. Työpaikan sähköpostiohjeistus
Perusteet Ohjeistuksella tasapainotetaan ja sovitetaan yhteen työnantajan tarpeet, intressit ja oikeudet sekä työntekijälle kuuluva oikeus luottamuksellisen viestin suojaan Työntekijöiden tulee olla selkeästi tietoisia työnantajan sähköpostin käyttöä koskevasta politiikasta ajantasainen, saatavilla oleva ohjeistus, sitovuuden selkeä määrittely
Oikeudelliset perusteet; 1 / 2 Sähköpostiviesti on perustuslain luottamuksellisen viestinnän suojaa koskevassa säännöksessä tarkoitettua suojaa nauttiva luottamuksellinen viesti Luottamuksellisen viestin oikeudeton avaaminen on rikoslaissa säädetty rangaistavaksi Työnantajalla on työsopimuslain mukaan direktio-oikeus eli oikeus antaa työsuhteessa työtehtäviä ja toimintaa työpaikalla koskevia määräyksiä työntekijälle
Oikeudelliset perusteet; 2 / 2 Työelämän tietosuojalaissa eli yksityisyyden suojasta työelämässä annetussa laissa suojataan niin ikään työntekijän oikeutta luottamukselliseen viestintään laissa todetaan, ettei työnantajalla ole yleistä oikeutta puuttua työntekijän saamaan luottamukselliseen viestiin Työnantaja ei saa avata sähköposteja ilman työntekijän lupaa perusoikeudesta ei kokonaan voi luopua eli rajoittamaton suostumus ei ole hyväksyttävissä
Käytännön suosituksia Ohjeistuksesta tulee käydä ilmi, saako ja millä ehdoilla ja rajoituksilla työntekijä käyttää sähköpostia henkilökohtaisten viestien lähettämiseen ja vastaanottamiseen työnantajalla on direktio-oikeuden ja järjestelmän omistajan aseman perusteella oikeus kieltää Jos henkilökohtainen viestintä kiellettyä niin on varmistettava työntekijöiden tietoisuus ja sitoutuneisuus määräykseen allekirjoituksella vahvistetaan; ei ole kuitenkaan varsinainen sopimus
Sähköposti ja tietoturvallisuus Ohjeistuksessa myös selvitettävä sähköpostin käyttöön liittyvät turvallisuusseikat ja käytännöt Erityisesti ohjeistettava yrityssalaisuuden alaisten tietojen lähettämisestä avoimen tietoverkon yli
2. Sähköpostin tukkeutumisen selvittäminen
Käytännön ohjeita oikeudellisesta näkökulmasta Ripeästi tarvittavat tekniset selvitykset ja toimet Arvioidaan ongelman syyt ja välttäminen jatkossa Kunnioitetaan viestinnän luottamuksellisuutta ja siihen liittyviä oikeusperiaatteita ei avata viestejä suostumuksetta vain teknisesti välttämätön puuttuminen viesteihin; vaitiolopitovelvoite ja hyödyntämiskielto niiden sisällöstä ja olemassaolosta
3. Menettelyohjeet yrityssalaisuuden rikkomista tai virusten lähettämistä epäiltäessä
Yleisiä ohjeita Päättäväinen, rauhallinen ja harkittu toiminta Lainmukaiset menettelyt - yksityisellä ei rikostutkintavaltuuksia Vahinkojen rajoittaminen ja jatkovahinkojen estäminen
Oikeudellisia perusteita Yrityssalaisuuden rikkominen rikoslakirikos - edellyttää tahallisuutta Virusten tahallinen levittäminen rikoslakirikos - tahallisuusedellytys Huolimattomuus voi olla moitittavaa työsopimussuhteessa noudatettavien velvoitteiden perusteella, Työoikeudelliset menettelyt ja seuraamukset huolimattomuudesta ja tahallisuudesta
Tapahtuneen selvittäminen Kerätään luottamuksellisen viestinnän suojaa rikkomatta luotettavalla tavalla aineisto tapahtuneesta Selvitetään tilannetta onko tahallisuutta Työsopimuslaissa säädetty kuuleminen
7. Tietojärjestelmän ylläpidon ulkoistamista koskeva sopimus Tärkeää määritellä haluttavat palvelut ja niiden toimitusaika ja noudatettava laatutaso tietoturvallisuustaso Noudatetaan yleisiä sopimuskäytäntöjä - ks. Tuomas Pöystin luento tietohallinnon sopimuksista
8. Tietoturvallisuussuunnitelman laadinta
Yleisiä periaatteita Tietoturvallisuuspolitiikan ja sitä toteuttavien suunnitelmien ja käytännön menettelyohjeiden tarve Mitoitetaan organisaation informaatiovarantojen ja tietojenkäsittelyn riskien, informaation laadun ja arkaluontoisuuden sekä teknisten mahdollisuuksien ja turvallisuustoimenpiteistä aiheutuvien kustannusten mukaisesti oikeasuhtaiset turvallisuusratkaisut
Julkisuuslain soveltamisalalla huomattava Viranomainen, virasto, valtion laitos ja valtion liikelaitos noudattavat julkisuuslakia Julkisuuslaissa on erityissäännökset hyvästä tiedonhallintatavasta ja tietoturvallisuudesta; Muutoin virastoissa ja laitoksissa sovelletaan samoja oikeudellisia sääntöjä
Tietoturvallisuussuunnittelun oikeudelliset perusteet Henkilötietolaki hyvä tietojenkäsittelytapa tietoturvallisuussäännös; henkilötietolain 32 § riskeihin ja tietoihin nähden riittävät ja oikeasuhtaiset turvallisuustoimenpiteet otettava huomioon teknisen kehityksen taso
Tietoturvallisuussuunnittelun oikeudelliset perusteet 2 Eräitä yrityksiä koskeva erityislainsäädäntö teleyritysten velvoitteet televiestinnän tietosuojalaissa - > laajenemassa koskemaan yleensä viestintäpalveluja tarjoaviin yrityksiin luottolaitokset, vakuutusyhtiöt, rahoitusmarkkinalainsäädäntö
Tietoturvallisuussuunnittelun oikeudelliset perusteet 3 Sopimuslojaliteetti ja sopimusvelvoitteet Immateriaalioikeudet Huolellisuus omistajaa kohtaan Työsopimuslaki ja salassapito/turvallisuussopimukset
Oikeudelliset lähtökohdat turvallisuustoimenpiteiden oikea ja oikeasuhtainen mitoitus suojattavat oikeudet ja informaation käyttötavat kohtuulliset kustannukset
Organisatoriset toimet Tietoturvallisuus on johdon ja johtamisen kysymys Organisaation ja organisoinnin tuettava tietoturvallisuutta Lainsäädäntö edellyttää asianmukaisia organisatorisia toimia toimintojen eriyttäminen, Kiinan muurit (Chinese walls) silloin kuin yrityksen eri toiminnot eivät voi samalla tavalla käyttää informaatiovarantoja
Tekniset järjestelyt Tietoturvallisuuspolitiikan eri ulottuvuudet Henkilötietolaissa edellytetään tekniikan kehitykseen mitoitettuja turvallisuustoimenpiteitä
9. Kuluttajille tarjottavat on-line -sopimukset Sopimusoikeuden yleiset periaatteet EY:n sähköisen kaupankäynnin direktiivin periaatteet Käyttöliittymän laatu
Yksityisyyden suojan vaatimukset ja on-line Suojattu, ettei sivullinen pääse käyttämään toisen nimellä Suojattu henkilötietojen luvatonta paljastumista vastaan Yksityisyyttä suojaavien tekniikoiden käyttö- ei tarpeetonta tunnistautumista nimellä Tietosuojapolitiikka
On-line markkinointi Sähköisen kaupankäynnin direktiivi 2000/31/EY Palvelun tarjoajan yleinen tiedonantovelvoite Kaupallisen viestinnän tunnistettavuusvaatimus Oikeus kieltää ei-toivottu kaupallinen viestintä
Kaupallinen viestintä sähköisen kaupankäynnin direktiivin 6 artikla Kaupallisen viestinnän tunnistettavuus Palvelun tarjoajan tunnistettavuus Informaation hallintastrategia Ehtojen saatavuus, selkeys ja yksiselitteisyys Sijoittautumisvaltioperiaatteen mukainen sallittavuus Rajoitukset 3 artiklan ja EY-oikeuden yleisten oppien perusteella
Sopimusmenettelyt verkossa Sähköisen kaupankäynnin direktiivi 2000/31/EY Yleinen tiedonantovelvoite hyvä markkinointitapa Sähköisen sopimusmenettelyn vaiheet ja tiedonantovelvoitteet epäsuorasti vaatimukset järjestelmälle ja sen toiminnalle etämyyntidirektiivin 97/7/EY asettamat vaatimukset kuluttajakaupassa
Sähköinen sopimus Sähköisen kaupankäynnin direktiivin 9 artikla Sähköinen menettely tunnustettava päteväksi tietoturvallisuuskriteereillä arvioitavissa, onko oikeustoimesta ja sen sisällöstä riittävä näyttö Tiedonantovelvoite menettelystä sopimuksen solmimisen tekniset vaiheet sopimuksen arkistointi virheiden tunnistamisen ja korjaamisen tekniset menettelyt Sähköpostitse solmittavat sopimukset eivät kuulu direktiivin soveltamisalaan
Tilaus verkkokaupassa Sähköisen kaupankäynnin direktiivin 11 artikla Vastaanottoilmoitus tilauksesta tilaajalle Palvelun tarjoajan velvoite käyttää syöttövirheiden tunnistamisessa ja korjaamisessa teknisiä keinoja, jotka ovat asianmukaisia, tehokkaita ja helppokäyttöisiä Oikeussuojakeinot Markkinoinnin ja sopimusehtojen valvonta kuluttajakaupassa
10. Tietoturvallisuuspolitiikka, julkisuus ja salassapito julkisuuslain mukaan
Julkisuuslain keskeiset periaatteet Julkisuus pääsääntö Salassapitoperusteet salassapito toteutettava Hyvä tiedonhallintatapa julkisuutta ja muita informaatioon kohdistuvia oikeuksia turvaava keskeinen periaate tietoturvallisuus osa hyvää tiedonhallintatapaa
Hyvä tiedonhallintatapa Laaja näkökulma informaation ja tietojärjestelmien laatuun Edellytetään tietoturvallisuuspolitiikkaa ja -suunnittelua informaatioon kohdistuvien riskien torjunta julkisuuden ja salassapidon sekä muiden informaation kohdistuvien oikeuksien tehokas toteuttaminen
Tietoturvallisuussuunnitelma Käytännössä pakollinen Salassa pidettävissä julkisuuslain salassapitoperusteiden mukaan