Tietokone-lehti 1/2000

Kuka lukee sähköpostiasi?

Sähköposti on levinnyt yrityksiin vaivihkaa. Työntekijät ovat saaneet eteensä uuden työvälineen, jota on alettu käyttää sen kummemmin pelisääntöjä tai lakeja pohtimatta. Moni uskoo, että omaan postilaatikkoon tulleet viestit ovat sekä teknisesti että juridisesti suojassa ulkopuolisilta. Näin ei välttämättä ole.

Kirjesalaisuus on kansalaisen perusoikeuksia. Sen tarkoituksena on varmistaa, ettei iso veli ala lukea kansalaisten toisilleen lähettämiä kirjeitä, vaan että jokaisella on oikeus yksityiseen viestintään.

Teknisen kehityksen myötä kirjesalaisuuden käsitettä on laajennettu. Harva meistä enää lähettää kirjeitä, joten rikoslain 38 luku puhuukin nykyisin viestintäsalaisuudesta. Suljettu viesti nauttii lain suojaa riippumatta siitä, ilmeneekö se sähköpostina, kännykän tekstiviestinä vai perinteisenä kirjeenä.

Laki suojaa aukotta myös tietoverkossa kulkevaa suojattua viestiä. Ongelmia syntyy vasta kun aletaan pohtia, mikä ylipäätänsä on suljettu viesti ja millaisia oikeuksia työnantajalla on työntekijöidensä sähköpostiin.

Suudelmin suljetut viestit?

Suljettuna voidaan pitää mitä tahansa viestiä, joka on jollain tavalla suojattu. Pelkkiä suudelmia ei kuitenkaan lasketa.

Kirjeessä suojauksena toimii kuori, joka estää viestin sisältöä näkymästä vahingossa ulkopuolisille. Kuoren avaaminen vaatii aina tarkoituksellista tekoa, ja juuri sen laki kieltää. Lisäksi avaamisesta jää aina jälki.

Postikortissa mitään suojausta ei ole. Kotona kuka tahansa perheenjäsen tai työpaikalla sisäinen lähetti voi lukea postikortin sisällön, joko tarkoituksella tai vahingossa. Siksi postikortti ei ole suojattua viestintää eikä kukaan kirjoita siihen suuria salaisuuksia.

Myös yrityksen faksi voidaan rinnastaa postikorttiin. Kaukaloon tulostuva sivu on kenen tahansa luettavissa, ennen kuin joku huomaa viedä sen faksin yläreunassa mainitulle henkilölle. Kaikki tuntevat faksin toimintaperiaatteen eivätkä siksi lähetä mitään luottamuksellista ainakaan yrityksen faksiin.

Sähköposti onkin sitten hankalampi tapaus. Ellei viestiä ole erityisesti salattu, sen sisältö saattaa vahingossa paljastua esimerkiksi verkkoa valvovalle tai postipalvelimen virhettä etsivälle tukihenkilölle.

Jotta tärkeä viesti varmasti laskettaisiin riitatilanteessa suojatuksi, se pitäisi salata jollain tavalla. Salausmenetelmällä itsessään ei ole mitään merkitystä; pääasia on, että viestin avaaminen vaatii tarkoituksellista yritystä eikä voi tapahtua vahingossa.

Sähköposti on hankala toisestakin syystä. Sähköpostiohjelmassa on yleensä sekaisin avaamattomia ja avattuja viestejä. Viime mainituista ohjelma muodostaa automaattisesti arkiston, joka vastaa lähinnä sitä, että vastaanottaja tallentaa saapuneet kirjeet mappiin luettuaan ne. Näitä avattuja viestejä viestintäsalaisuus ei enää koske.

Ero avatun ja avaamattoman viestin välillä on sähköpostissa veteen piirretty viiva. Luetun viestin kun voi napin painalluksella merkitä lukemattomaksi ja päinvastoin.

Yrityksen posti ongelmallinen

Lähes kaikissa suomalaisissa yrityksissä on nykyään sähköposti. Useimmissa tapauksissa sen käyttöä ei ole ohjeistettu mitenkään. Työntekijät käyttävät postia surutta omien henkilökohtaisten asioittensa hoitoon, välittäen sähköpostilla rakkauskirjeitä, työpaikkahakemuksia, vitsejä ja jopa hauskoiksi tarkoitettuja videoleikkeitä, pilaohjelmia, musiikkipätkiä ja silkkaa pornoa. Ylimääräinen liikenne tukkii sähköpostipalvelinten levyjä ja on tietoturvauhka.

Tuoreen amerikkalaisarvion mukaan joka tuhannes sähköpostiviesti sisältää viruksen. Ei ihme.

Saksassa on yleistä, että yritys kieltää sähköpostin käytön muuhun kuin työasioiden hoitoon. Postiosoitetta ei edes saa antaa muille kuin työkontakteille. Yhdysvalloissa taas on yleistä, että työnantaja lukee alaistensa postia. Meillä Suomessa työntekijän asema on perinteisesti ollut vahva, eikä sähköpostin ongelmallista asemaa ole määritelty missään.

Koska kallis sähköpostijärjestelmä on työnantajan omaisuutta, sillä on oikeus myös määrätä postin käytöstä, antaa ohjeita ja valvoa niiden noudattamista. Lähtökohta on, että posti on ensisijaisesti tarkoitettu työasioiden hoitoon, aivan kuten kännykkä tai yrityksen autokin. Näiden välineiden henkilökohtainen käyttö on mahdollista, mutta siitä peritään verotusarvo.

Juridisesti sähköpostin asema on hyvin epäselvä, koska laki ei ota kantaa yrityksen ylläpitämään postipalveluun.

Sähköpostissa kulkee nykyään tärkeitä asiakirjoja ja tarjouksia. Jos vastaanottava henkilö on esimerkiksi matkoilla, sairaana tai vaihtanut työpaikkaa, työnantajan on voitava lukea saapuneet viestit. Näin on myös silloin, kun epäillään väärinkäytöksiä, tietovuotoja tai jäljitetään virustartuntaa.

Ei ole olemassa mitään tapaa, jolla voitaisiin erotella postilaatikossa olevat yksityiset ja yrityksen käyttöön tarkoitetut viestit. Siksi lähtökohtana on pakko olla, että kaikki viestit on tarkoitettu yritykselle - onhan ne osoitettu yrityksen sähköpostiosoitteeseen. Henkilökohtaiset viestit on avaamisen jälkeen joko poistettava tai ne on pyydettävä lähettämään salattuna niin, ettei viestejä voi avata vahingossa.

Viesti on helppo salata esimerkiksi kirjoittamalla se tiedostoliitteeksi salasanasuojattuun Word-dokumenttiin. Tällöin vain salasanan tunteva henkilö voi lukea sen sisällön. Toisaalta Word-liitteiden käyttö ei ole suositeltavaa niiden suuren koon ja virusvaaran vuoksi.

Kirjepostin puolella on tapana merkitä vastaanottajan henkilönimi ennen yrityksen nimeä silloin, kun viesti on henkilökohtainen. Tämä on kuitenkin vain tapa, joka ei pohjaudu mihinkään lakiin.

Webmail apuun

Oikeuden ennakkopäätöksen puuttuessa on mahdoton sanoa, miten ensimmäisissä oikeusjutuissa tulee käymään. Varmuuden vuoksi kannattaa kuitenkin lähteä siitä, että yrityksen sähköposti on yrityksen omaisuutta.

Henkilökohtaista postiliikennettä varten pitäisikin hankkia selaimella luettava webmail-osoite. Hotmailin muutama vuosi sitten aloittama palvelu on saanut useita matkijoita. Suomessakin ilmaista osoitetta tyrkyttää ainakin tusina erilaista tarjoajaa: Jippii, Ilta-Sanomat, Sunpoint, Iobox, MTV 3 ym.

Webmailista on useita etuja. Sähköposti on taatusti henkilökohtainen ja nauttii viestintäsalaisuuden suojaa. Sen käyttö on ilmaista ja postia voi lukea yhtä hyvin kotoa, lomalta kuin työpaikaltakin, kun taas yrityksen posti vaatii yleensä yhteyttä omaan lähiverkkoon.

Parasta webmailissa on se, ettei osoitteesta käy ilmi työnantaja eikä osoite muutu, vaikka työpaikka vaihtuisikin. Juuri nyt henkilöiden vaihtuvuus yrityksissä on suuri ja moni haluaisi, että vanha työnantaja forwardoisi saapuneen sähköpostin uuteen työpaikkaan.

Tämä on kuitenkin mahdoton ajatus. Kun valtaosa viesteistä liittyy työasioihin, niitä ei voi forwardoida talon ulkopuolelle - ei varsinkaan, jos kyse on kilpailevasta firmasta.

Ainoa oikea menettely on poistaa tunnus heti, kun henkilön työsuhde päättyy. Mahdolliset postilähetykset palaavat silloin bumerangina takaisin lähettäjälle, jonka on sen jälkeen etsittävä yrityksestä uusi vastaanottaja tai henkilön uusi osoite, jos viesti oli luonteeltaan yksityinen.

Ongelmia jää silti

Vaikka edellä kuvattuja periaatteita noudatettaisiin, ongelmallisia kohtia jää silti.

Mikä on esimerkiksi oppilaitosten oikeus opiskelijoiden postiin? Joissakin yliopistoissa ylläpito on yksipuolisesti varannut itselleen oikeuden lukea "teknisistä syistä" opiskelijoiden postia ja tutkia heidän kotihakemistojaan. Oppilaitos omistaa postijärjestelmän, mutta yrityksen kaltaista intressiä postin lukemiseen sillä ei ole.

Toinen ongelmallinen alue ovat sähköpostin lokit. Niihin tallentuu yleensä jokaisen lähteneen viestin lähettäjä, vastaanottaja, otsikko, pituus, tiedostoliitteiden nimet ja aika. Esimerkiksi työntekijän osoitteeseen rekrytointi@yritys.fi otsikolla "Kiinnostunut paikanvaihdosta" lähettämä viesti kertoo jo kaiken, vaikkei sisältöä näkisikään.

Näitä lokeja pystyy usein lukemaan jo tavallinen mikrotukihenkilökin, eikä laki tunne niitä lainkaan.

Edes Webmail ei ole täysin ongelmaton; se vain siirtää valvonnan sähköpostista nettisurffauksen valvontaan. Ellei selainyhteys ole SSL-salattu, sähköpostiliikenne voi paljastua osana muuta nettikäyttöä.

Mikä on yrityksen oikeus seurata työntekijöidensä surffausta? Teknisesti seuranta on helppoa ja kustannusten vuoksi tarpeellistakin, mutta miten pitkälle sen voi viedä työntekijöiden yksityisyyden kärsimättä liiaksi?

Koska lait tai työmarkkinaosapuolet eivät ole antaneet asioista selkeitä pelisääntöjä, yritysten kannattaisi sopia niistä sisäisesti. Huonokin sisäinen sopimus on parempi kuin julkinen riitely oikeudessa.

<takaisin