"Alussa tuli ehkä muutama ihmettely, että mitä tässä ajetaan takaa", kuvaa varaluottamusmies Seppo Lehto Fingridin henkilöstön reaktiota sähköpostien tunnistetietojen seulontaan. Taustalla lakimies Antti Kivipuro.

"Alussa tuli ehkä muutama ihmettely, että mitä tässä ajetaan takaa", kuvaa varaluottamusmies Seppo Lehto Fingridin henkilöstön reaktiota sähköpostien tunnistetietojen seulontaan. Taustalla lakimies Antti Kivipuro. Toni Määttä / Yle

Suomessa on kuusi työnantajaa, jotka ovat kertoneet tarkkailevansa työntekijöiden sähköpostiliikennettä entisen Lex Nokian varjolla.

Työnantajat saivat oikeuden sähköpostien tunnistetietojen seulomiseen vuonna 2009. Lakia edelsi erittäin kiihkeä keskustelu (siirryt toiseen palveluun), jossa vaakakupissa painoivat huoli kansalaisten perusoikeuksista ja yritysten tarve suojautua liikesalaisuuksien vuodoilta.

Kaiken kohun jälkeen laki näyttää jääneen pölyttymään hyllylle.

Ylen saaman, aiemmin julkaisemattoman listan mukaan lain vaatimia ennakkoilmoituksia on jätetty kymmenessä vuodessa 14 kappaletta. Niistäkin kaksi on peruttu ja lopuista osa on tullut samojen konsernien eri yrityksiltä:

Hämeenlinnan kaupunki (2012)

Volvo (VolvoFinland Ab ja VFS Finland Ab, 2013)

Toimintakeskus Sampola ry (perunut, 2014)

Istekki Oy (2014)

Innovaatiokeskus Tekes (nykyinen Business Finland, perunut, 2015)

DuPont (DuPont Suomi Oy, Finnfeeds Finland Oy, Finnfeeds Oy, Genencor International Oy, 2015)

AGCO (AGCO Power Oy, AGCO Suomi Oy, Valtra Oy Ab, 2016)

Fingrid Oyj (2019)

Mitä laki sallii ja mitä ei?

Lex Nokiaa ei enää ole, mutta sen ydin on mukana nykyisessä laissa sähköisen viestinnän palveluista. Se antaa yhteisötilaajalle oikeuden käsitellä välitystietoja automaattisesti, eli käytännössä seuloa viestejä esimerkiksi koon, määrän tai sähköpostiosoitteen perusteella.

Laki ei anna työnantajalle oikeutta lukea viestejä. Järjestelmä toimii niin, että automaattinen seulonta hälyttää työnantajalle, kun tietyt ehdot täyttyvät.

Alussa tuli ehkä muutama ihmettely, että mitä tässä ajetaan takaa. Seppo Lehto, Fingrid

Tämän jälkeen työnantaja saa tutkia epäilyttäväksi havaittujen viestien välitystietoja manuaalisesti. Viestistä voi katsoa esimerkiksi kenelle se lähti, milloin ja millä otsikolla.

Normaalisti nämä tiedot ovat kaikki lähettäjän ja vastaanottajan yksityisasioita. Viestintäsalaisuutta on käsitelty enemmän tässä jutussa.

Tarkoituksena on estää liikesalaisuuksien vuotamista, mutta myös torjua muita väärinkäytöksiä.

"Katsottiin että hetkonen, sähköpostiliikenteessä on jotain poikkeavaa"

Sähkön kantaverkkoa Suomessa hoitava Fingrid otti Lex Nokian mahdollistaman seulonnan käyttöön tänä vuonna. Ratkaisuun päädyttiin sen jälkeen, kun yrityksessä oli harjoiteltu toimimista erilaisissa uhkatilanteissa.

Tuoreessa muistissa oli etenkin tapaus, jossa Ukrainan sähköverkko kaadettiin haittaohjelmalla (siirryt toiseen palveluun). Fingridin lakimies Antti Kivipuro painottaakin, että tarkoitus ei ole seurata työntekijöiden viestittelyä, vaan varautua tietoturvauhkiin.

– Vastaamme siitä, että valot pysyvät päällä valtakunnassa. Halusimme varmistaa, että meillä on lain puitteissa mahdollisimman laajat oikeudet selvittää meihin kohdistuvia tietoturvauhkia.

Fingridin lakimies Antti Kivipuro sanoo, että tunnistetietojen tarkkailu on yhtiölle yksi pieni tietoturvan parantamisen tapa muiden joukossa. Toni Määttä / Yle

Fingridillä seula on hälyttänyt kaksi kertaa sen jälkeen, kun toiminto otettiin käyttöön alkuvuodesta 2019. Kumpikin osoittautui vääräksi hälytykseksi.

– Katsottiin että hetkonen, sähköpostiliikenteessä on jotain poikkeavaa. Mutta niihin oli lopulta luonnollinen selitys, lakimies Antti Kivipuro sanoo.

Yhtiö suhtautuu tietoturvaan vakavasti. Kivipuroa ei saa kuvata hänen työpisteellään. Yhtiöllä on ulkopuolinen palvelu, joka testaa työntekijöitä lähettelemällä työsähköposteiksi naamioituja "huijausviestejä". Harjoituksia järjestetään säännöllisesti. Välitystietojen seulonta on kokonaisuudessa vain pieni lisä.

"Kun asiasta informoitiin, kaikki hiljeni"

Lain mukaan työnantajan on ilmoitettava välitystietojen käsittelystä paitsi tietosuojavaltuutetulle, myös työntekijöille. Mutta kun Yle tavoitteli listalla mainittujen yritysten luottamusmiehiä, osalle tieto tuli uutena.

Hämeenlinnassa puolestaan työnantajan edustajat eivät aluksi olleet varmoja, miksi kaupunki löytyy tietosuojavaltuutetun listalta. Tietohallintojohtaja Jouni Jäkkö sanoo ensin luulleensa, että he ovat peruneet ilmoituksen. Näin ei kuitenkaan ole, vaikka asiaa pari vuotta sitten harkittiinkin.

Joka tapauksessa "urkintalakia" ei ole Jäkön mukaan Hämeenlinnassa käytetty.

– Ilmoitus tehtiin vain varmuuden vuoksi. Ei ole tullut tilannetta, että tietoja olisi tarvinnut lähteä tutkimaan.

En ole kuullut, että joku meistä vastustaisi sitä. Anita Mäkelä, Hämeenlinna

Hämeenlinnassa JHL:n paikallinen pääluottamusmies Anita Mäkelä on yllättynyt siitä, että Lex Nokia on käytössä heillä ainoana kuntana Suomessa.

– En ole pitänyt sitä äkkiseltään ihmeellisenä enkä ole kuullut, että joku meistä vastustaisi sitä. Olen vain ajatellut, että tietosuoja-asiat ovat kaikkien parhaaksi, hän sanoo.

Fingridin IT-järjestelmiä ylläpitävälle Seppo Lehdolle yllätys on ollut lähinnä se, miten vähän asia on herättänyt yhtiön työntekijöissä keskustelua. Hänen mukaansa työnantaja on ollut asiasta hyvin avoin.

– Alussa tuli ehkä muutama ihmettely, että mitä tässä ajetaan takaa. Mutta kun asiasta informoitiin, kaikki hiljeni. Ja uskon, että tämä on kaikkien mielestä jopa hyvä asia: se luo turvallisuutta yritykselle ja työntekijöille.