Työpaikan proxy purkaa SSL-suojauksen

[kahlekuningas]

Työpaikalla otettiin käyttöön uusi proxy, joka korvaa kaikkien sivujen SSL-sertifikaatit meidän omalla työpaikan sertifikaatilla. Käytännössä tuo proxy pystyy lukemaan kaiken SSL-suojatun liikenteen, mukaanlukien kaikki käyttäjätunnukset, salasanat ja henkilökohtaiset sähköpostit. Alla olevassa linkissä lisää tietoa tuon proxyn toiminnasta:

SSL Inspection

Onko tällainen toiminta ihan laillista Suomessa?

 

[Ormu]

Ei kai tässä varsinaisesti mitään laitonta ole... Liikenteen viestisisällön seuranta ei yleisesti ottaen ole laillista, mutta "Lex Nokia"-pykälät vissiin antoivat siihenkin jotain mahdollisuuksia (vai joko ne kumottiin?).


Jotenkin vastenmielinen kuva kyllä tulee tuosta Zscalerista, kun lukee niiden sivuja, joilla asiat on esitetty tähän tyyliin:

How big of a problem is the growth of SSL?

 

[kahlekuningas]

Tässä näyttää olevan joitain sivustokohtaisia poikkeuksia. Esimerkiksi verkkopankin salausta ei murreta. Hieman vastenmielinen olo tulee siitäkin, että tästä ei ole tiedotettu meille työntekijöille mitenkään. Meille kerrottiin vaan, että välityspalvelin vaihtuu...

 

[Kautium]

Ymmärrän kyllä että ahdistaahan se jos ajattelee tuon niin että työnantaja haluaa tietää mitä työntekijät töissään tekevät. Tässä kannattaa kuitenkin laittaa jäitä hattuun, sillä ensinnäkään verkkoliikenteen seuranta tuossa tarkoituksessa ei ole laillista. Kyttäämisen sijaan näissä järjestelyissä on käytännössä ideana se että voidaan ensinnäkin poistaa haittaohjelmat jo ennen kuin ne pääsevät yrityksen sisäverkkoon (ja sama toiseen suuntaan), sekä tarvittaessa voidaan valvoa kattavammin ettei firman salaisuuksia vuodeta maailmalle. Muitakin teknisia perusteita tälle on, mutta ei niitä kannata tässä sen syväällisemmin ruotia.

Tiedotus työntekijöille on vähän kaksiteräinen miekka. Avoimuuden ja huhujen lopettamisen nimissä se olisi tietenkin hyvä asia, mutta toisaalta ei tällaisen tietämisestä ole välttämättä loppukäyttäjälle mitään lisäarvoa, mutta se riippuu toki aika paljon yksilöistä ja firman toimialasta.

Pari olennaista lainausta aiheeseen liittyen tietosuojavaltuutetun näkökulmasta:

Internetin käytön ja työntekijöiden verkkoselailun eli ns. verkkosurffailun valvonta työpaikalla - Tietosuojavaltuutettu

Tietosuojavaltuutettu on kannanottonaan ja yleisenä ohjauksena todennut, että työntekijöiden verkkoselailusta eli ns. verkkosurffailusta muodostuvia tunnistamistietoja ei saa käyttää työnantajan työn johto- ja valvontaoikeuden eli direktio-oikeuden nojalla siten, että työntekijöitä valvotaan, seurataan ja tarkkaillaan keräämällä ja/tai katsomalla näitä tunnistamistietoja. Tunnistamistiedoista muodostunee myös henkilörekisteri siltä osin kuin niistä tallentuu tunnistettavia luonnollisia henkilöitä koskevia henkilötietolain 3 § 1 kohdan tarkoittamia henkilötietoja.

Työnantaja voi kuitenkin direktio-oikeuden nojalla päättää tietoverkkojen käyttösäännöistä ja päättää siitä, saako työpaikalla verkkosurffailla ylipäätään tai vain tietyillä sivuilla. Työnantaja voinee myös estää joillekin sivuille pääsyn koko organisaatiossa tai tietyille tahoille organisaatiossa. Tältä osin työnantajan on kuitenkin huomioitava tasapuolinen kohtelu työpaikalla ja työsopimuslain (55/2001) 2 luvun 2 §:n tarkoittama syrjimättömyyden toteutuminen. Sääntöjen noudattamista voidaan valvoa myös perinteisin työnjohto-oikeudellisin keinoin siten, että työnantaja tai tätä edustava esimies huomatessaan työntekijän surffailevan kielletyillä sivuilla kieltää häntä näin tekemästä.

----------------

Lain perustelujen mukaan työnantajalla on oikeus työn johto ja valvontaoikeutensa perusteella päättää valvontatavoista, jos ne muutoin ovat sallittuja. Työnjohto ja valvontaoikeutta rajoittavat tietyt perusoikeudet, työlainsäädäntö ja työntekijöihin ja virkamiehiin ja heidän työnantajiinsa sovellettava muu lainsäädäntö. Keskeinen merkitys on rikoslainsäädännöllä, jonka perusteella työnantajat voidaan tuomita rangaistuksiin teoista, jotka kohdistuvat työntekijöihin. Lisäksi valvonnan avulla kerättävät tiedot rajoittuisivat vain sellaisiin, jotka ovat tarpeellisia.

Yhteistoimintamenettelyssäkään ei voida sopia lain vastaisesta teknisestä valvonnasta, tarpeettomien henkilötietojen käsittelystä tai viestinnän luottamuksellisuuden loukkaamisesta. Tietoverkkojen käyttösääntöjen yhteydessä työantaja voi kuitenkin määritellä säännöt verkkoselailun sallittavuudesta työpaikalla.

 

[Pakana]

Eipä tuo nykyaikana suuri ongelma ole, kun älypuhelin on jokatapauksessa taskussa. Ei käytä sitä duuninettiä mihinkään henkilökohtaiseen, vaan käyttää siihen luuriaan.

 

[leripe]

Jos samalla otettiin käyttöön esim. jotain kategoriasuodatuksia kuten vaikka peli ja pornosivut estetty, niin asiasta olisi pitänyt ennen käyttöönottoa pitää yt neuvottelu.

 

[Kautium]

Jos samalla otettiin käyttöön esim. jotain kategoriasuodatuksia kuten vaikka peli ja pornosivut estetty, niin asiasta olisi pitänyt ennen käyttöönottoa pitää yt neuvottelu.

Yli 30 hengen yrityksissä YT-neuvotteluvelvoite voi olla tosiaan olemassa, jos suodatuksia ollaan ottamassa käyttöön ja aiemmin hyväksytyissä tietoverkon käyttösäännöissä surffailu on ollut vapaata. En kuitenkaan onnistunut löytämään mitään lakipykälää tukemaan tätä vaatimusta.

Aiemmin linkittämässäni tietosuojavaltuutetun ohjeessakaan ei suoraan sellaista sanota, vaan pikemminkin siitä saa sellaisen kuvan että suodatus on kyllä ihan ok, kunhan sitä tehdään tasapuolisesti. Tilanne muuttuisi kokonaan laittomaksi, jos samalle kerättäisiin henkilöitä yksilöivää logia filtterin tapahtumista ja suoritettaisiin sitten jotain toimenpiteitä niiden perusteella.

Internetin käytön ja työntekijöiden verkkoselailun eli ns. verkkosurffailun valvonta työpaikalla - Tietosuojavaltuutettu

Työnantaja voi kuitenkin direktio-oikeuden nojalla päättää tietoverkkojen käyttösäännöistä ja päättää siitä, saako työpaikalla verkkosurffailla ylipäätään tai vain tietyillä sivuilla. Työnantaja voinee myös estää joillekin sivuille pääsyn koko organisaatiossa tai tietyille tahoille organisaatiossa. Tältä osin työnantajan on kuitenkin huomioitava tasapuolinen kohtelu työpaikalla ja työsopimuslain (55/2001) 2 luvun 2 §:n tarkoittama syrjimättömyyden toteutuminen.

 

[leripe]

Yli 30 hengen yrityksissä YT-neuvotteluvelvoite voi olla tosiaan olemassa, jos suodatuksia ollaan ottamassa käyttöön ja aiemmin hyväksytyissä tietoverkon käyttösäännöissä surffailu on ollut vapaata. En kuitenkaan onnistunut löytämään mitään lakipykälää tukemaan tätä vaatimusta.

Aiemmin linkittämässäni tietosuojavaltuutetun ohjeessakaan ei suoraan sellaista sanota, vaan pikemminkin siitä saa sellaisen kuvan että suodatus on kyllä ihan ok, kunhan sitä tehdään tasapuolisesti. Tilanne muuttuisi kokonaan laittomaksi, jos samalle kerättäisiin henkilöitä yksilöivää logia filtterin tapahtumista ja suoritettaisiin sitten jotain toimenpiteitä niiden perusteella.

Internetin käytön ja työntekijöiden verkkoselailun eli ns. verkkosurffailun valvonta työpaikalla - Tietosuojavaltuutettu

Joo tosiaan henkilöstön määrällä on merkitystä.

- Jos yritys on yt-lain piirissä (yli 20 tai tietyissä firmoissa yli 30 työntekijää) , niin ei pysty väistämään ko. velvoitetta;

- Laki yhteistoiminnasta yrityksissä 334/2007 - Säädökset alkuperäisinä - FINLEX ®

- ” 19 §Muuhun lainsäädäntöön perustuvien suunnitelmien, periaatteiden ja käytäntöjen käsittely

- Yhteistoimintaneuvotteluissa tulee käsitellä:

- … 3) työntekijöihin kohdistuvan kameravalvonnan, kulunvalvonnan ja muun teknisin menetelmin toteutettavan valvonnan tarkoitus, käyttöönotto ja näissä käytettävät menetelmät;

- 4) sähköpostin ja tietoverkon käytön periaatteet;…