Ennakkoratkaisu koskee erityisesti rajanvetoa rikoksen varsinaisen ja välillisen tekemisen kesken

Korkeimman oikeuden ratkaisun tiivistelmä on seuraava: ”Työnantajan edustaja A oli B:n työsuhteen päättymisen jälkeen pitänyt auki tämän työsähköpostiosoitetta ja antanut muiden työntekijöiden tehtäväksi seurata sähköpostia. Korkein oikeus katsoi A:n syyllistyneen viestintäsalaisuuden loukkaukseen tekijänä.”

Työntekijä B oli antanut suostumuksensa siihen, että työnantaja sai käyttää hänen työsähköpostiosoitettaan työsuhteen aikana työtehtävien hoitamista varten hänen poissa ollessaan. B ei ollut kuitenkaan antanut työsuhteensa päättymisen yhteydessä tai sen jälkeen erillistä suostumusta sähköpostiosoitteensa käyttöön.

Työnantajan edustaja A oli B:n työsuhteen päätyttyä pitänyt tämän sähköpostiosoitetta auki ja antanut muiden työntekijöiden tehtäväksi seurata viestejä. Asiassa ei ollut esitetty selvitystä siitä, että yksittäisiä viestejä olisi avattu. Kyseiset muut työntekijät eivät olleet syytteessä, eikä heitä ollut kuultu asiassa muutenkaan.

Käräjäoikeus ja hovioikeus olivat katsoneet, että kun A ei ollut itse hankkinut tietoa B:n viesteistä vaan oli antanut viestien seuraamisen muiden tehtäväksi, hänet voitiin tuomita rikoslain (39/1889) 38 luvun 3 §:n mukaisesta viestintäsalaisuuden loukkauksesta välillisenä tekijänä.

KKO kiinnitti kuitenkin huomiota siihen, että kun muita henkilöitä ei ollut edes kuultu, ei voitu arvioida, täyttyivätkö välillistä tekemistä koskevat rikoslain 5 luvun 4 §:n edellytykset, esimerkiksi teon varsinaisen tekijän (siis välikappaleena toimineen) erehtyminen teon oikeudenvastaisuudesta. KKO:n mukaan A:n menettelyä oli luontevinta arvioida varsinaisena tekemisenä.

Se, ettei A:ta voitu rangaista välillisenä tekijänä, on johdonmukaista, kun ei voitu edes lähtökohtaisesti ottaa kantaa siihen, täyttyivätkö muiden henkilöiden toiminnassa rikoslain 5 luvun 4 §:n edellytykset. Myös syyksi lukemista rikoksen varsinaisena tekijänä voidaan pitää perusteltuna, kun otetaan huomioon A:n toimenpiteet.

Viestintäsalaisuuden loukkausta ja tietomurtoa koskevia säännöksiä sovellettiin toistensa yhteydessä

Sovellettava rikostunnusmerkistö oli rikoslain 38 luvun 3 §:n 1 momentin 1 kohta. Säännöksen mukaan se, ”joka oikeudettomasti - - suojauksen murtaen hankkii tiedon sähköisesti tai muulla vastaavalla teknisellä keinolla tallennetusta, ulkopuoliselta suojatusta viestistä - -, on tuomittava viestintäsalaisuuden loukkauksesta sakkoon tai vankeuteen enintään kahdeksi vuodeksi”.

Suojauksen murtamista tarkoittava tekotapa on yhteydessä tietomurtoa koskevaan rikoslain 38 luvun 8 §:ään. Siinä tunkeutuminen tietojärjestelmään on kuvattu maininnoin, että tekijä käyttää hänelle kuulumatonta käyttäjätunnusta tai muuten murtaa turvajärjestelyn.

KKO:n julkaisema ratkaisuseloste tapauksessa käytössä olleesta turvajärjestelystä on yleisluonteinen. Selosteen mukaan työnantajan edustajana A oli pitänyt auki B:n työsähköpostiosoitetta. Hovioikeuden ratkaisun referoinnista selviää, että kirjautumisen yhteydessä oli ollut tarpeen käyttää käyttäjätunnusta tai salasanaa taikka näiden yhdistelmää, ja KKO:n selosteesta välittyy kuva, että sähköpostit olivat saatavissa nähtäville vain B:n käyttäjätunnuksen, tässä tapauksessa sähköpostiosoitteen, käyttämisellä.

Ratkaisussa katsottiin, että suojauksen murtamista koskeva tunnusmerkki täyttyy silloin, kun toiselle kuuluvaa käyttäjätunnusta käytetään luvatta. Käyttäjätunnuksen luvaton käyttäminen on jo itsessään riittävää, jos se mahdollistaa tiedon hankkimisen suojatusta viestistä. Erillistä käyttäjätunnuksen tai siihen liittyvän salasanan kirjaamistointa ei myöskään vaadita tunnusmerkistön täyttymiseksi.

Selosteessa ei kerrota, oliko itse tietojärjestelmä suojattu organisaation ulkopuolisilta. Todennäköisesti näin kuitenkin oli, joten tämä tunnusmerkki täyttyi. KKO ei vaikuta edellyttäneen, että B:n sähköpostit olivat suojattuja myös yhtiön muihin työntekijöiden nähden. Jos sähköposteihin oli mahdollista päästä vain käyttämällä B:n sähköpostiosoitetta käyttäjätunnuksena, ne eivät käytännön näkökulmasta olleet organisaation sisäisesti suojattuja.

Toisaalta rikoslain 38 luvun 8 §:n pohjalta suojauksen murtamistoimeksi riittää pelkkä tekijälle kuulumattoman käyttäjätunnuksen käyttäminen. Tunnuksen triviaaliudella ei ole merkitystä, ja sama koskee salasanoja. Tietomurto toteutuu myös heikon salasanan murtamisella, jos sen avulla tunkeudutaan ulkopuoliselta suojattuun tietojärjestelmään. KKO:n arviointia voidaan pitää rikoslain 38 luvun 8 §:n (ja 3 §:n) kannalta perusteltuna.

Ratkaisussa ei pohdittu viestintäsalaisuuden loukkauksen kahden eri tekotavan keskinäistä suhdetta

Rikoslain 38 luvun 3 §:n 1 momentti sisältää myös toisen tekotavan. Momentin 2 kohdan mukaan viestintäsalaisuuden loukkaukseen on mahdollista syyllistyä myös niin, että tekijä oikeudettomasti hankkii tiedon televerkossa tai tietojärjestelmässä välitettävänä olevan puhelun, sähkeen, tekstin-, kuvan- tai datasiirron taikka muun vastaavan televiestin sisällöstä taikka tällaisen viestin lähettämisestä tai vastaanottamisesta.

Suhteessa momentin 1 kohtaan tämä kohta antaa suojaa sekä välitettävänä olevan sähköisen viestin sisällölle että tiedolle viestin lähettämisestä tai vastaanottamisesta. Viimeksi mainittu suojaa paitsi sähköisen viestinnän palveluista annetun lain (917/2014) 3 §:n 40 kohdassa tarkoitettuja välitystietoja myös esimerkiksi päätelaitteelta löytyvää tietoa siitä, ketkä ovat olleet viestin osapuolia ja milloin viestintä on tapahtunut.

Sama koskee yksittäiseltä sähköpostitililtä ylipäätään avautuvaa näkymää lähetetyistä tai vastaanotetuista viesteistä. Rikoslain 38 luvun 3 §:n 1 momentin 2 kohdan tekotapa edellyttää oikeudettomuutta mutta ei tiedonhankinnan toteuttamista suojauksen murtamalla. Vaikka tietojärjestelmä tai päätelaite ei olisi ulkopuoliselta suojattu eikä murtamistoimea tarvittaisi, tiedon oikeudeton hankkiminen sähköisen viestin lähettämisestä tai vastaanottamisesta on rangaistavaa.

Nykyistä välitystietoa vastasi aikaisemmassa lainsäädännössä tunnistamistieto. Yksityisyyden suojasta työelämässä annetun lain (759/2004, työelämän tietosuojalaki) 18–20 §:n säännöksiä työnantajalle kuuluvien sähköpostiviestien hakemisesta ja avaamisesta valmisteltaessa katsottiin eri yhteyksissä tunnistamistiedoiksi joko kapeammin lähettäjä- ja vastaanottajatiedot tai laajemmin myös otsikkotiedot (ks. HE 162/2003 vp, s. 34–35, 54 ja 69–70, vrt. PeVL 10/2004 vp, s. 4).

Työelämän tietosuojalain 18–20 §:n säännöksissä ei ole kuitenkaan käytetty sanaa tunnistamistieto, vaan sallittu tiedonhankinta on porrastettu niin, että ensi vaiheessa voidaan tarkastella viestin lähettäjää, vastaanottajaa tai otsikkoa koskevia tietoja ja myöhemmin avata itse viestejä. Ensi vaiheen tiedonhankinnasta on käytetty säännöksissä ilmaisua viestien esille hakeminen.

KKO katsoi ratkaisussaan, ettei sähköisen viestin avaaminen ole viestintäsalaisuuden loukkausta koskevan rikoslain 38 luvun 3 §:n 1 momentin 1 kohdan tekotavassa tunnusmerkistön täyttymisen edellytys. Riittävää on tältäkin osin pelkkä lähettäjää tai vastaanottajaa taikka viestin otsikkoa koskevan tiedon hankkiminen.

Ratkaisussa vaikuttaa siten omaksutun lähtökohta, että jo pelkkä lähettäjää tai vastaanottajaa koskeva tieto on sähköinen viesti tai osa sitä. Näin tulkittuna rikoslain 38 luvun 3 §:n 1 momentin 2 kohdan tekotavan viittaukselle tietoon viestin lähettämisestä tai vastaanottamisesta ei jää kovin paljon itsenäisen soveltamisen tarvetta. Tämä korostuu, kun otetaan huomioon, että KKO katsoi saman momentin 1 kohdan ulkopuoliselta suojattuna olemista ja suojauksen murtamista koskevien tunnusmerkkien täyttyvän suhteellisen herkästi.

Työelämän tietosuojalain säännösten sisäinen systematiikka jäsentyi ratkaisussa poikkeuksellisesti

Rikoslain 38 luvun 3 § edellyttää teolta oikeudettomuutta, mikä tarkoittaa käytännössä, ettei tunnusmerkistö täyty esimerkiksi silloin, kun työnantaja hankkii tietoa työntekijän sähköposteista siten kuin työelämän tietosuojalain 18–20 §:ssä on säädetty. Sama koskee sitä, jos työntekijä on antanut toimenpiteelle suostumuksensa (ja suostumusta voidaan pitää pätevästi annettuna).

KKO viittasi ratkaisussaan työelämän tietosuojalain säännöksiin ja referoi erikseen lain 18 §:ää työnantajan huolehtimisvelvollisuuksista. Pykälässä mainitaan kolme vaihtoehtoista tapaa, joiden avulla voidaan ennakollisesti huolehtia, ettei työnantajan tarvitse turvautua lain 19–20 §:n mukaiseen tiedonhankintaan. Säännöksen sanamuodosta ei ilmene yksiselitteisesti, onko vaihtoehdot tarkoitettu ensisijaisesti työnantajalle valittaviksi vai onko työntekijälle annettava kaikki vaihtoehdot, joista hän voi valita mieluisimman.

Esitöistä (HE 162/2003 vp, s. 54–57) välittyy kuitenkin vaikutelma, että työnantaja on täyttänyt huolehtimisvelvollisuutensa, jos hän on tarjonnut vähintään yhden vaihtoehdon. Tätä tulkintaa puoltaa lisäksi se, että vaihtoehtoihin sisältyy myös menettelytapa, jota voidaan pitää tietoturvallisuuden kannalta ongelmallisena (se, että työntekijä voisi ohjata saapuvat viestit toiseen omassa käytössään olevaan työnantajan hyväksymään osoitteeseen, jolla on lakia säädettäessä tarkoitettu käytännössä webmail-osoitteita; ks. yksityiskohtaisemmin Klaus Nyblin, Työelämän sähköposti, Talentum 2009, 3., uudistettu painos, s. 139–152).

KKO vaikuttaa kuitenkin omaksuneen tulkinnan, että työnantajan olisi tarjottava työntekijälle kaikkia työelämän tietosuojalain 18 §:ssä lueteltuja vaihtoehtoja – tai ainakin niistä kolmantena mainittua eli sitä, että työntekijä voi antaa suostumuksensa siihen, että hänen poissa ollessaan hänen valitsemansa (ja työnantajan hyväksymä) toinen henkilö voi ottaa saapuvat viestit seurattavakseen. Ratkaisun kohdasta 9 välittyy käsitys, että tämän vaihtoehdon tarjoaminen olisi aina edellytys työelämän tietosuojalain 19–20 §:n mukaisten oikeuksien käyttämiselle.

Tästä KKO:n tulkinnasta ja sille ratkaisussa annetusta oikeudellisesta merkityksestä voidaan kuitenkin olla perustellusti myös eri mieltä – paitsi työelämän tietosuojalain 18 §:n sanamuodon pohjalta myös laajemmin tarkasteltuna.

Referoituaan työelämän tietosuojalain 18 §:ää KKO viittasi ratkaisunsa kohdassa 10 hallituksen esityksen (HE 162/2003 vp, s. 59) lausumaan siitä, että työsuhteen päättämistilanteissakin työnantajan on ”tarjottava 18 §:ssä tarkoitettuja vaihtoehtoja - - henkilölle ennen viestien esille hakemisen aloittamista”. Hallituksen esityksen mukaan ”[n]äin työntekijä, jonka työsuhde on purettu tai irtisanottu, voi itse omilla toimenpiteillään vaikuttaa siihen, että hänen luottamuksellisen sähköpostiviestinsä suoja toteutuu esimerkiksi poistamalla tällaiset viestit”.

Hallituksen esityksen selostus on ollut jo itsessään tulkinnanvarainen ja osin myös ongelmallinen. Se, että työntekijälle työsuhteen päättämistilanteessa avautuu mahdollisuus poistaa yksityisiä sähköpostejaan, edellyttää käytännössä, että työntekijä on edelleen työsuhteessa eikä häneltä ole poistettu teknisiä käyttöoikeuksia. Jos työsuhde on jo päättynyt, harva työnantaja pitää perusteltuna – tai edes laillisena –, että työntekijälle annetaan mahdollisuus käsitellä sähköposteja, jotka voivat sisältää paitsi työnantajan itsensä myös tämän yhteistyökumppaneiden liikesalaisuuksia taikka asiakkaiden henkilötietoja.

Hallituksen esityksen selostus jättää epäselväksi myös sen, onko työnantajan tarjottava työsuhteen päättämistilanteissa vielä uudelleen työelämän tietosuojalain 18 §:n mukaisia menettelyvaihtoehtoja, jos niitä on tarjottu jo aikaisemmin, siis työsuhteen aikana muuten. Pykälän sanamuoto ei puolla tulkintaa, että vaihtoehtojen uudelleen tarjoamiseen olisi velvollisuus, mutta KKO vaikuttaa arvioineen toisin.

Tapauksen selosteesta nimittäin ilmenee, että työnantajalla oli ollut B:n suostumus käyttää tämän sähköpostiosoitetta työsuhteen aikana työtehtävien hoitamista varten tämän ollessa poissa. Vaikka suostumus olisi annettu työnantajalle, sen asema on käytännössä sama kuin jos suostumus olisi annettu jollekulle B:n erikseen valitsemalle työntekijälle. Nämä olosuhteet huomioon ottaen vaikuttaa siltä, että ainakin työsuhteen aikana työnantaja oli täyttänyt huolehtimisvelvollisuutensa. KKO vaikuttaa siten katsoneen, että työnantajan olisi pitänyt vielä uudelleen työsuhteen päättämistilanteessa (tai sen jälkeen) täyttää samat velvollisuudet.

Ratkaisun kohdassa 12 on nimittäin todettu, että ”työsuhteen päättymisen yhteydessä tai sen jälkeen B ei - - ole antanut erillistä suostumusta työsähköpostiosoitteensa käyttöön”. KKO:n mukaan ”[a]siassa ei ole edes väitetty, että [B:lle] olisi tarjottu mahdollisuus tällaisen suostumuksen antamiseen”. Tämä on puolestaan johtanut seuraavaan päätelmään ratkaisun kohdassa 13:

”Ottaen huomioon mitä edellä on lausuttu työntekijän suostumuksen merkityksestä, asiassa ei ole enemmälti tarvetta arvioida, onko A:lla ollut ollut [työelämän tietosuojalain] 19 §:ssä tarkoitettu tarve saada viesteistä tieto.”

Tämä päätelmä ja sen perusteet vaikuttavat poikkeavan siitä, mitä työelämän tietosuojalain säännöksissä on tarkoitettu. Se, että työnantajan pitäisi täyttää lain 18 §:n mukaiset huolehtimisvelvollisuutensa saman työntekijän kohdalla useammin kuin kertaalleen, ei perustu pykälän sanamuotoon. Lisäksi huolehtimisvelvollisuuksien sisältö on ylipäätään kirjoitettu lakiin silmällä pitäen olosuhteita, joissa työntekijän työsuhde on normaalisti voimassa.

Sekä työelämän tietosuojalain 19 §:n 1 momentissa (tilapäiset poissaolot) että 2 momentissa (pysyvät poissaolot, kuten työsuhteen päättyminen) on säädetty suostumuksesta vielä erikseen. Jos työnantaja aikoo hakea poissa olevan työntekijän sähköpostiviestejä esille, työntekijää on koetettava tavoittaa siinä tarkoituksessa, että hän antaisi suostumuksensa. Kysymys on menettelyllisestä vaatimuksesta siinä yhteydessä, kun ollaan ryhtymässä viestien esille hakemiseen.

KKO:n ratkaisussa tehdyn syyksi lukemisen perusteet olisi siten ollut mahdollista – ja itse asiassa johdonmukaisempaa – jäsentää niin, että työnantaja oli täyttänyt työelämän tietosuojalain 18 §:n mukaiset huolehtimisvelvollisuutensa (kun kerran B oli jopa antanut työsuhteen aikaista tilannetta koskeneen suostumuksen). Silti B:n sähköpostien luetuttaminen muilla oli ollut oikeudetonta, kun B:n erillistä suostumusta ei ollut tältä osin saatuna eikä asiassa myöskään noudatettu lain 19–20 §:ssä säädettyä menettelyä.

Suostumuksen antamisesta kieltäytymisen merkitys jää edelleen avoimeksi

Lähes kaikki käytännön tapaukset, joissa työnantajat pohtivat turvautumista työelämän tietosuojalain 19–20 §:ssä säädettyihin oikeuksiin, liittyvät tilanteeseen, jossa työntekijän työsuhde on jo päättynyt ja osapuolten välit ovat tavalla tai toisella tulehtuneet. Tilanteelle on tyypillistä, ettei työntekijältä ole etukäteen suostumusta sähköpostien läpi käymiseen eikä työntekijä myöhemminkään anna suostumusta sitä erikseen pyydettäessä.

Työelämän tietosuojalain 19 §:n 2 momentissa on säädetty yhdeksi viestien esille hakemisen edellytykseksi, ettei työntekijän suostumusta voida saada. Tätä edellytystä lakiin kirjattaessa on pohdittu sitä, ettei työntekijän suostumusta voida saada sen takia, että työntekijää ei pystytä tavoittamaan tai työntekijä on esimerkiksi menehtynyt. Säännöksen perusteluissa ei ole otettu kantaa siihen, mikä on työnantajan tiedonhankintaoikeus siinä tapauksessa, että työntekijä nimenomaisesti kieltäytyy suostumuksen antamisesta.

Yleensä jos lainsäädännön perusteella on tarpeen pyytää joltakulta suostumus, kieltäytyminen sen antamisesta johtaa siihen, ettei toimenpiteeseen ole oikeutta. Toinen vaihtoehto tulkita työelämän tietosuojalain säännöksiä on, että pyrkimyksenä on ollut kaikissa tilanteissa perustaa sähköpostien käsittely suostumukseen, mutta jos sitä ei voida saada, toimenpiteeseen voi silti olla oikeus – siis siinäkin tapauksessa, että työntekijä kieltäytyy suostumuksen antamisesta (ks. Nyblin, emt. s. 165–170 ja 213–215).

KKO:n ratkaisemassa tapauksessa ei ollut tarpeen ottaa kantaa suostumusta koskevaan edellytykseen työntekijän sen antamisesta erikseen kieltäytyessä. Tämä on sikäli harmillista, että edellä kerrottu kysymyksenasettelu on työelämän tietosuojalain 18–20 §:n säännösten kokonaisuudessa ehkä kaikkein merkityksellisin yksityiskohta, jonka suhteen ennakkoratkaisulle olisi tarvetta.

Työelämän tietosuojalain sähköpostia koskevat pykälät pitäisi uudistaa – yksinkertaisemmiksi

Kun työelämän tietosuojalakia koskeva hallituksen esitys oli eduskunnassa käsiteltävänä, työelämä- ja tasa-arvovaliokunta korosti (TyVM 8/2004 vp, s. 5) työelämää koskevan lainsäädännön helppolukuisuudelle ja selkeydelle asetettavia erityisiä vaatimuksia. Lain informatiivisuudelle ja selkeydelle tuli asettaa erityisen korkeat vaatimukset siinä säädeltyjen keskeisten työelämän pelisääntöjen takia. Valiokunta piti tärkeänä, että jokainen voi tarvittaessa selvittää laista oikeutensa ja velvollisuutensa ilman lainopillista apua.

Työelämän tietosuojalain 18–20 §:n säännökset sähköpostiviesteistä ovat olleet voimassa jo lähes 20 vuotta, ja aivan yhtä kauan niiden soveltaminen työpaikoilla on aiheuttanut päänvaivaa. Säännökset ovat poikkeuksellisen vaikeaselkoisia, ja KKO:n ratkaisu osoittaa osaltaan myös sen, että säännöksiä voi lukea eri tavoin eikä pykälien sisäinen systematiikka ole yksiselitteinen tai johdonmukainen.

Työelämässä ja muuten käytettävät viestintätavat ovat kehittyneet ja muuttuneet huomattavasti vuoden 2004 jälkeen. Toisaalta sähköpostia käytetään edelleen samantyyppisesti kuin työelämän tietosuojalain säätämisen aikaan. Työntekijöiden tarve käyttää juuri työnantajan sähköpostitiliä yksityisiin tarkoituksiin on kuitenkin koko ajan vähentynyt, kun viestintään on käytettävissä monia muitakin tapoja. Toisaalta työsähköpostia käytetään edelleen paljon myös yksityiseen viestintään ja moni itsessään työtehtävän hoitamiseksi lähetetty viesti voi sisältää yksityiseksi tarkoitettuja osuuksia.

Nykyisin voimassa olevia työelämän tietosuojalain 18–20 §:n säännöksiä voidaan syystä sanoa huonosti käytännössä toimiviksi. Laissa säädetty menettely poissa olevan tai entisen työntekijän sähköpostiviestien esille hakemiseksi ja avaamiseksi on monimutkainen ja vaikeaselkoinen. Moni työnantaja ei ilmeisen perustellussakaan tilanteessa uskalla turvautua tähän menettelyyn sen takia, että erehtyminen jostakin menettelyn yksityiskohdasta voi johtaa rikosprosessin alkamiseen.

Työ- ja elinkeinoministeriössä olisi tarpeen harkita säännösten uudistamista. Jos uudistamiseen ryhdytään, sääntelystä pitäisi tehdä tällä kertaa huomattavasti selkeämpää. Ensin pitäisi selvittää, mitkä ovat ne tyypilliset ongelmatilanteet, joita työpaikoilla aiheutuu. Valtaosa tapauksista on hoidettavissa yhteisymmärryksessä sopimalla, ja sääntelyä tarvitaan nimenomaan niitä tilanteita varten, joissa sopiminen ei onnistu. Itse säännökset pitäisi kirjoittaa nykyisiä selvästi yksinkertaisemmiksi.

Myös perusoikeudet voivat toteutua paremmin, jos säännökset osataan kirjoittaa lyhyemmiksi. Mitä monimutkaisempaa ja kerroksellisempaa sääntely on, sitä vaikeammaksi käy lainsäätäjälle itselleenkin säilyttää kokonaisuus otteessaan. Tavoitteena tulisi olla, että sääntelyn sisältö voidaan ymmärtää oikein myös työpaikoilla.

Klaus Nyblin
asianajaja, osakas
HPP Asianajotoimisto Oy