LIIKENNE- JA VIESTINTÄVALIOKUNNAN MIETINTÖ 19/2008 vp

LiVM 19/2008 vp - HE 48/2008 vp

Tarkistettu versio 2.0

Hallituksen esitys sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta

JOHDANTO

Vireilletulo

Eduskunta on 29 päivänä huhtikuuta 2008 lähettänyt liikenne- ja viestintävaliokuntaan valmistelevasti käsiteltäväksi hallituksen esityksen sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta (HE 48/2008 vp).

Lausunnot

Eduskunnan päätöksen mukaisesti perustuslakivaliokunta, hallintovaliokunta ja työelämä- ja tasa-arvovaliokunta ovat antaneet asiasta lausunnot (PeVL 29/2008 vp, HaVL 32/2008 vp ja TyVL 14/2008 vp), jotka on otettu tämän mietinnön liitteiksi.

Asiantuntijat

Valiokunnassa ovat olleet kuultavina

perustuslakivaliokunnan puheenjohtaja, kansanedustaja Kimmo Sasi

valiokuntaneuvos Petri Helander, eduskunta

neuvotteleva virkamies Sanna Helopuro, liikenne- ja viestintäministeriö

lainsäädäntöneuvos Helena Hynynen, oikeusministeriö

hallitusneuvos Raila Kangasperko, työ- ja elinkeinoministeriö

tietosuojavaltuutettu Reijo Aarnio, Tietosuojavaltuutetun toimisto

lakimies Antti Innanen, Viestintävirasto

rikosylitarkastaja Marko Viitanen, Keskusrikospoliisi

lakimies Mikko Niva, Nokia Oyj

toimitusjohtaja Petteri Järvinen, Petteri Järvinen Oy

lakimies Paula Ilveskivi, Akava ry

asiantuntija Mikko Nyyssölä, Elinkeinoelämän keskusliitto EK

päälakimies Timo Koskinen, Suomen Ammattiliittojen Keskusjärjestö SAK

johtaja Satu Kangas, Viestinnän Keskusliitto

varapuheenjohtaja Ville Oksanen, Electronic Frontier Finland ry EFFI

lakiasioiden päällikkö Marko Lahtinen, FiCom

asianajaja Klaus Nyblin

Lisäksi kirjallisen lausunnon ovat antaneet

  • sisäasiainministeriö
  • Elisa Oyj
  • TeliaSonera Oyj
  • Finnet-liitto ry
  • Toimihenkilökeskusjärjestö STTK ry
  • Helsingin seudun kauppakamari

HALLITUKSEN ESITYS

Esityksessä ehdotetaan muutettavaksi sähköisen viestinnän tietosuojalakia. Yksityisyyden suojasta työelämässä annettuun lakiin, yhteistoiminnasta yrityksissä annettuun lakiin sekä yhteistoiminnasta valtion virastoissa ja laitoksissa annettuun lakiin ehdotetaan lisäksi eräitä lähinnä teknisiä muutoksia.

Yhteisötilaajien oikeuksia käsitellä tunnistamistietoja teknistä kehittämistä varten sekä maksullisten tietoyhteiskunnan palvelujen ja viestintäverkkojen luvattoman käytön tai viestintäpalvelujen ohjeiden vastaisen käytön selvittämiseksi selkeytettäisiin. Teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja automaattisen tietojenkäsittelyn avulla tilastollista analyysiä varten.

Yhteisötilaajille annettaisiin tietyin edellytyksin oikeus käsitellä tunnistamistietoja, jos epäillään elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista. Yhteisötilaajat saisivat käsitellä tietoa muun muassa sähköpostiviestien lähettäjästä ja vastaanottajasta sekä lähetysajasta, mutta eivät viestin sisältöä.

Ehdotuksella parannettaisiin teleyritysten, lisäarvopalvelun tarjoajien ja yhteisötilaajien mahdollisuutta huolehtia viestintäverkkojen ja -palvelujen tietoturvasta.

Tietosuojavaltuutettu valvoisi yhteisötilaajien tunnistamistietojen käsittelyä väärinkäytöstilanteissa. Lisäksi Viestintävirastolla olisi aikaisempaa laajempi oikeus luovuttaa tietoja tietoturvaloukkausten ehkäisemiseksi ja selvittämiseksi.

Lait on tarkoitettu tulemaan voimaan 1 päivänä tammikuuta 2009.

VALIOKUNNAN KANNANOTOT

Yleisperustelut

Hallituksen esityksen perusteluista ilmenevistä syistä ja saamansa selvityksen perusteella valiokunta pitää esitystä tarpeellisena ja tarkoituksenmukaisena. Valiokunta puoltaa lakiehdotusten hyväksymistä seuraavin huomautuksin ja muutosehdotuksin.

Yleistä.

Sähköisen viestinnän tietosuojalaki on hyväksytty eduskunnassa kesäkuussa 2004. Lain tarkoituksena on turvata sähköisen viestinnän luottamuksellisuuden ja yksityisyyden suojan toteutuminen sekä edistää sähköisen viestinnän tietoturvaa ja monipuolisten sähköisen viestinnän palvelujen tasapainoista kehittymistä. Lain 13 §:ssä on säädetty viestien ja tunnistamistietojen käsittelystä väärinkäytöstapauksissa. Sen mukaan teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voivat käsitellä tunnistamistietoja, jos se on tarpeen verkkopalvelun, viestintäpalvelun tai lisäarvopalvelun yksittäisten maksullisten palvelujen käyttöä maksutta tai muiden siihen rinnastuvien käyttöä koskevien väärinkäytösten havaitsemiseksi, estämiseksi ja selvittämiseksi sekä esitutkintaan saattamiseksi.

Liikenne- ja viestintävaliokunta on mietinnössään (LiVM 13/2004 vp) todennut muun muassa, että ehdotettu momentti oikeuttaa havainnoimaan ja estämään väärinkäytöksiä, mutta jättää rikoksen esitutkinnan yksinomaan esitutkintaviranomaisille. Mietinnön mukaan väärinkäytösten havaitsemista voidaan käytännössä toteuttaa vain mm. automaattisin kapasiteetin käyttömittarein tai tunkeutumisenestosovelluksin. Sinänsä samoja teknisiä sovelluksia käytetään myös automaattiseen vika- ja häiriötilanteiden havaitsemiseen. Vasta havainnon syyn täsmällisemmällä selvittämisellä voidaan arvioida, onko kysymys ollut väärinkäytöksestä vai vikatilanteesta. Väärinkäytösten havaitseminen edellyttää mietinnön mukaan tunnistamistietojen käsittelyä, joten tunnistamistietojen käsittely on välttämätöntä väärinkäytösten havaitsemiseksi.

Käsiteltävänä olevassa hallituksen esityksessä on arvioitu nykyisen lainsäädännön toimivuutta. Esityksen mukaan erityisesti sähköisen viestinnän tietosuojalain 13 § on osoittautunut muotoilultaan niin suppeaksi, ettei se takaa yhteisötilaajille riittäviä toimintamahdollisuuksia. Esityksen mukaan voimassaolevan lain ei ole katsottu sallivan yhteisötilaajien kerätä väärinkäytöksistä itse näyttöä, eikä televalvontakaan ole useimmissa tapauksissa ollut käytettävissä. Valiokunnan saaman käsityksen mukaan nykyisen sähköisen viestinnän tietosuojalain säännökset viestien ja tunnistamistietojen käsittelystä väärinkäytöstapauksissa ovat tulkinnanvaraiset ja sallivat jo ainakin osin tunnistamistietojen käsittelyn.

Tiedustelutoimintaa kartoittavissa yritysturvallisuustutkimuksissa noin 10 % vastanneista yrityksistä on ilmoittanut havainneensa ja 18 % epäilleensä laitonta tiedonhankintaa viimeisen kahden vuoden aikana. Yrityksillä on käytännössä ollut puutteelliset mahdollisuudet saattaa poliisin tutkittavaksi yrityssalaisuuksien luvattomia luovutuksia, jos luovutus on tehty sähköisessä muodossa. Yritysten toimet selvittää asiaa ovat voineet johtaa oikeustilan epäselvyyden johdosta jopa syytteisiin lainvastaisesta toiminnasta.

Valiokunnan käsityksen mukaan hallituksen esitys varmistaa yritysten toimintaedellytyksiä kattamalla sen lainsäädännöllisen aukon, joka yrityssalaisuuksien suojassa tällä hetkellä sähköisessä viestintäympäristössä on auki. Esitys selkeyttää nykyistä epäselvää tilannetta, asettaa tiukat ennakkoehdot tunnistamistietojen käsittelylle ja edistää yhteisötilaajien tietoturvan parantamista.

Valiokunta toteaa, että voimassa olevan lain 13 §:n tunnistamistietojen käsittely ei edellytä minkäänlaista ennakollista toimenpidettä ennen käsittelyyn ryhtymistä. Esityksen sisältämät sanktioidut tiedottamisvelvoitteet sekä ennen käsittelyn aloittamista että jälkikäteen merkitsevät valiokunnan käsityksen mukaan nykyiseen verrattuna merkittävää parannusta myös käyttäjien tietoturvaan ja henkilökohtaiseen oikeusturvaan.

Kansainvälisen vertailun perusteella sähköisen viestinnän tietosuojan sääntely on hyvin tiukkaa Suomessa verrattuna esimerkiksi muihin Euroopan unionin jäsenvaltioihin. Nyt esitetyt sähköisen viestinnän tietosuojalain muutokset merkitsevät ennen kaikkea säännösten selkeytymistä sekä yhteisötilaajien että käyttäjien kannalta eivätkä julkisuudessa esitetyin tavoin romuta sähköisen viestinnän tietoturvaa.

Valiokunta suhtautuu esitykseen kokonaisuudessaan kriittisen myönteisesti, mutta toteaa sen avaavan käytännössä mahdollisuuksia myös toimivaltuuksien väärinkäyttöön. Tätä tasapainottaa osittain väärinkäytön selkeä sanktiointi. Valiokunta on erityisesti paneutunut yhteisötilaajan käsitteen rajaamismahdollisuuksiin, yrityssalaisuuden sisältöön, merkittävän haitan käsitteeseen ja uudistuksen vaikutukseen työsuhteen jatkumiseen. Valiokunta painottaa tietosuojan kehittämistä ja tunnistetietojen käsittelyn viimesijaisuutta, pakkokeinolain uudistamisen tärkeyttä sekä tietosuojavaltuutetun valvontaresurssien riittävyyttä.

Perustuslakivaliokunnan lausunto.

  Lausunnossaan perustuslakivaliokunta on esittänyt, että lakiehdotukset voidaan käsitellä tavallisen lain säätämisjärjestyksessä. Viestin tunnistamistietojen on perustuslakivaliokunnan vakiintuneessa käytännössä katsottu jäävän luottamuksellisen viestin salaisuutta suojaavan perusoikeuden ydinalueen ulkopuolelle (PeVL 23/2006 vp, s. 2—3, PeVL 3/2008 vp, s. 2/I). Toisaalta myös tunnistamistietojen salaisuuden suojaan puuttuvan sääntelyn on täytettävä perusoikeuksien rajoittamisen yleiset edellytykset (PeVL 23/2006 vp, s. 3). Valiokunta katsoo, että keskeisten yrityssalaisuuksien liiketaloudellinen merkitys saattaa olla yrityksen kannalta niin suuri, että tällaiset yritysvarallisuuden arvon ja elinkeinotoiminnan taloudellisten edellytysten turvaamiseen liittyvät seikat ovat hyväksyttäviä ja painavia perusteita tietoverkoissa harjoitettavaan viestintään kohdistuville rajoituksille. Sääntelyn oikeasuhtaisuuden näkökulmasta on olennaista, että sekä lakiehdotuksen 13 a—13 h §:n muodostaman kokonaisuuden että lain 8 §:n 3 momentin perusteella yrityssalaisuuksien luottamuksellisuuden turvaamisessa ensisijaisia ovat sellaiset keinot, joilla ei puututa käyttäjien luottamukselliseen viestintään.

Yhteisötilaajan käsittelyoikeuden osalta valiokunta on tähdentänyt, että käsittely on lain 8 §:n 3 momentinkin vaatimusten vuoksi sallittua ainoastaan sen tarkoituksen vaatimassa laajuudessa eikä käsittelyllä voida rajoittaa luottamuksellisen viestin suojaa enempää kuin on välttämätöntä. Käsittely on siten sallittua esimerkiksi ainoastaan siinä laajuudessa, että yhteisötilaaja pystyy riittävällä tavalla yksilöimään poliisille osoitettavan rikosilmoituksen tai tutkintapyynnön. Näin tulkittuna ja sovellettuna sääntely ei valiokunnan mielestä tältä osin muodostu ongelmalliseksi oikeasuhtaisuudesta johtuvien vaatimusten kannalta.

Valiokunta on esittänyt eräitä muutoksia hallituksen sähköisen viestinnän tietosuojalakia koskevaan lakiehdotukseen. Valiokunta on esittänyt 13 b §:n täsmentämistä tietoturvavelvoitteen osalta, 13 d §:n täsmentämistä siten, että erotettaisiin toisistaan kohdat, jotka voivat koskea käsittelyn edellytyksiä yrityssalaisuuksien luovuttamistilanteissa, ja kohdat, jotka soveltuvat muihin väärinkäytöstapauksiin.Valiokunta on myös pitänyt tärkeänä, että yrityssalaisuuden luovuttamistilanteissa tunnistamistietojen manuaalinen käsittely ehdotetun 13 d §:n 2 momentin mukaisesti on mahdollista vain, jos on myös olemassa perusteltu syy epäillä, että yrityssalaisuuksia on luovutettu nimenomaan viestintäverkon välityksellä. Valiokunta on lisäksi esittänyt yrityssalaisuuden käsitteen tarkentamista, 13 a §:ssä tarkoitetun luvattoman tai ohjeen vastaisen käytön tarkentamista sekä eräitä kielellisiä muutoksia 13 a ja 13 d §:ään.

Perustuslakivaliokunta on pitänyt tärkeänä, että hallituksen esityksen perusteluissa mainittu liikenne- ja viestintäministeriöön asetettava seurantaryhmä arvioi lain soveltamista myös perusoikeuksien kannalta. Tällöin on valiokunnan mielestä syytä kiinnittää huomiota siihen, miten laajasti työnantajat ovat turvautuneet lain mahdollistamiin oikeuksiin, miten tietosuojavaltuutetun valvontatehtävä on toiminut sekä miten työntekijöiden luottamuksellisten viestien salaisuuden suoja on toteutunut.

Liikenne- ja viestintävaliokunta pitää kattavaa seurantaa lain toimivuudesta välttämättömänä. Valiokunta ehdottaa asiasta lausumaa (Valiokunnan lausumaehdotus 1).

Yhteisötilaajan määritelmä.

Yhteisötilaajan käsite luotiin säädettäessä sähköisen viestinnän tietosuojalakia. Siinä yhteisötilaajalla tarkoitetaan viestintäpalvelun tai lisäarvopalvelun tilaajana olevaa yritystä tai yhteisöä, joka käsittelee viestintäverkossaan käyttäjien luottamuksellisia viestejä, tunnistamistietoja tai paikkatietoja. Laissa käytetty yhteisötilaajan käsite kattaa varsinaisten yritysten lisäksi myös yliopistoja ja erilaisia julkishallinnon yhteisöjä. Tällaisia ovat esimerkiksi elinkeinonharjoittaja, osuuskunta, osakeyhtiö, yhdistys, yliopisto tai valtion virasto.

Voimassa olevassa laissa on lähdetty siitä, että viestintä on luottamuksellista ja vain tietyissä lain sallimissa tapauksissa teleyritys, lisäarvopalvelun tarjoaja ja yhteisötilaaja voivat käsitellä tunnistamistietoja. Lain 3 luvussa annetaan teleyrityksille, lisäarvopalvelun tarjoajille ja yhteisötilaajille tunnistamistietojen käsittelyoikeudet ja -velvollisuudet. Yhteisötilaaja saa käsitellä tunnistamistietoja (9 §) palvelujen toteuttamiseksi ja käyttämiseksi sekä tietoturvasta huolehtimiseksi, (10 §) laskutusta varten, (12 §) teknistä kehittämistä varten, (13 §) väärinkäytöstapauksissa ja (14 §) teknisen vian tai virheen havaitsemiseksi. Kaikille yhteisötilaajille on annettu nämä käsittelyoikeudet tasapuolisesti, ja toisaalta myös velvollisuudet kohdistuvat kaikkiin yhteisötilaajiin, jotka käsittelyoikeuksia käyttävät. Rajoituksia ei ole tehty esimerkiksi yhteisötilaajan koon mukaan vaan on katsottu, että yhteisötilaaja pienimmästä suurimpaan on oikeutettu samanlaiseen kohteluun ja toisaalta velvoitettu samanlaisilla velvollisuuksilla.

Liikenne- ja viestintävaliokunta on mietinnössään (LiVM 13/2004 vp) todennut, että yhteisötilaaja on teleyrityksen tapaan sivullinen suhteessa viestinnän osapuoliin. Yhteisötilaaja tilaa viestintäpalvelun tai lisäarvopalvelun käyttäjiensä, esimerkiksi työntekijöidensä käytettäväksi. Tätä tarkoitusta varten yhteisötilaaja hallinnoi samalla järjestelmää, jossa käsitellään käyttäjien luottamuksellisia tunnistamistietoja ja paikkatietoja erilaisin palvelimin ja päätelaittein. Yhteisötilaajalle kertyy teknisiin järjestelmiin käyttäjien luottamuksellisia tunnistamistietoja ja esimerkiksi sähköpostijärjestelmissä myös luottamuksellisia viestejä. Yhteisötilaajat, kuten yritykset ja yliopistot, käsittelevätkin täsmälleen samoja luottamuksellisia tietoja ja samanlaisin teknisin järjestelmin kuin teleyrityksetkin. Siten yhteisötilaajan mahdollisuudet väärinkäytöksiin ja tarve yhtäläisiin käsittelyoikeuksiin ja velvollisuuksiin eivät mietinnön mukaan poikkea teleyrityksen mahdollisuuksista ja tarpeesta.

Valiokunta on paneutunut yhteisötilaajakäsitteen sisältöön ja merkitykseen käsittelyssä olevan hallituksen esityksen osalta ja selvittänyt mahdollisuutta rajata käsitettä tämän esityksen osalta. Saadun selvityksen mukaan on syytä erotella toisistaan yrityssalaisuuksien vuotamisen ja luvattoman käytön selvittäminen. Kaikkia yhteisötilaajia eivät koske yrityssalaisuuksien vuotamisen selvittämistä koskevat säännökset yksinkertaisesti siitä syystä, että niillä ei ole suojattavia yrityssalaisuuksia. Toisaalta luvattoman käytön selvittäminen puolestaan voi olla ihan pienimmällekin yhteisötilaajalle hyvin merkittävää. Huomattavaa kuitenkin on, että niin yliopistot kuin kirjastot ja taloyhtiötkin voivat joutua väärinkäytösten kohteiksi. Niiden viestintäverkkoa ja tarjoamia palveluja voidaan käyttää väärin. Näiden toimijoiden kohdalla kyse on siten käyttäjien luvattomasta käytöstä.

Valiokunta ei katso mahdolliseksi rajata tässä tilanteessa yhteisötilaajia eri ryhmiin, mutta toteaa, että esitetyt säännökset tiukentavat huomattavasti puuttumista viestintäverkon ja palvelujen luvattomaan käyttöön. Ennen kuin yksikään kirjasto, taloyhtiö tai yliopisto voi ryhtyä käsittelemään tunnistamistietoja, on sen esityksen mukaan laitettava tietoturva kuntoon, määriteltävä mm., miten sen viestintäverkkoa tai palvelua saa käyttää, annettava kirjalliset ohjeet käyttäjälle, nimettävä ne ylläpidosta, tietoturvasta tai turvallisuudesta vastaavat henkilöt, jotka tunnistamistietoja voivat käsitellä, tiedotettava menettelystä ja käytännöistä, ilmoitettava tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta ja annettava tietosuojavaltuutetulle myös vuosittainen raportti käsittelystä. Jokaisen yhteisötilaajan on täytettävä nämä laajamittaiset oikeusturvan takeet.

Valiokuntaa yhtyy työelämä- ja tasa-arvovaliokunnan kantaan, että esityksen voidaan katsoa edistävän arjen tietoyhteiskuntakehityksen kannalta välttämätöntä oikeutta tietoturvallisuuteen. Koska Suomi on tuotekehityksen ja korkean teknologian johtavia maita, Suomella on erityinen kansallinen intressi suojella myös yrityssalaisuuksia.

Yrityssalaisuus.

Hallituksen esityksen perusteluista ilmenee, että sähköisen viestinnän tietosuojalakiin ehdotetussa uudessa 13 a §:ssä tarkoitetaan yrityssalaisuuden käsitteellä rikoslain 30 luvun 11 §:n yrityssalaisuuden määritelmää. Sen mukaan yrityssalaisuudella tarkoitetaan liike- tai ammattisalaisuutta taikka muuta vastaavaa elinkeinotoimintaa koskevaa tietoa, jonka elinkeinonharjoittaja pitää salassa ja jonka ilmaiseminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko hänelle tai toiselle elinkeinonharjoittajalle, joka on uskonut tiedon hänelle. Valiokunta selventää lakiehdotusta lisäämällä lakiviittauksen suoraan pykälään.

Yrityssalaisuuden käsite on katsottu asianmukaisimmaksi käsitteeksi, koska tähän käsitteeseen liittyy kiinteästi elinkeinonharjoittajan oma salassapitotahto, ja koska säännökset vaikuttavat yksityisten osapuolten välillä. Uuden täysin sisällöllisesti rikoslain omaksuttua käsitettä vastaavan määritelmän tuominen tässä esityksessä olisi omiaan vain sekoittamaan lain soveltajia ja tulkitsijoita.

Valiokunta toteaa myös, että hallituksen esityksessä asetetaan selkeitä vaatimuksia yrityssalaisuuksien käsittelyjärjestelmälle. Yrityssalaisuuden käsittely on tosiasiallisesti suojattava ulkopuolisilta tahoilta. Käytännössä organisaatiossa vain tiettyjä tehtäviä hoitavat käyttäjät pääsevät yrityssalaisuuksiin käsiksi. Yhteisötilaajan on määriteltävä, miten yrityssalaisuuksia saa siirtää, luovuttaa tai muutoin käsitellä ja minkälaisiin kohdeosoitteisiin yrityssalaisuuksia käsittelemään oikeutetut henkilöt eivät ole oikeutettuja lähettämään viestejä. Valiokunta toteaa, että nämä toimet omalta osaltaan määrittelevät käyttäjille, mitä yhteisötilaaja pitää keskeisinä yrityssalaisuuksinaan.

Merkittävä haitta.

Esityksen 13 d §:n 3 momentissa asetetaan sekä automaattiselle että manuaaliselle tunnistamistietojen käsittelylle merkittävän haitan edellytys. Tämä edellytys on tarkoitettu kohdistumaan nimenomaan luvattoman käytön eli niiden yhteisötilaajan laatimien ohjeiden vastaisen käytön tilanteisiin. Esityksen perusteluissa todetaan, että säännöksessä tarkoitettua merkittävää haittaa voisi muun muassa olla lisääntyneet kustannukset tai sellainen lisääntynyt tiedonsiirtokapasiteetin käyttö, tietoturvauhka tai muu vastaava syy, joka vaarantaa, vaikeuttaa tai hidastaa viestintäverkon tai palvelujen käyttöä niille suunniteltuun käyttötarkoitukseen.

Merkittävän haitan edellytys konkretisoituu 13 b §:n tarkoittamilla ohjeilla ja sillä, mitä yhteisötilaajan tulee kirjallisiin ohjeisiin todeta. Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista 1) rajoitettava pääsyä viestintäverkkoonsa ja viestintäpalveluunsa ja niiden käyttöön sekä ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein ja 2) määriteltävä, minkälaisia viestejä sen viestintäverkon kautta saa välittää ja hakea sekä miten sen viestintäverkkoa ja viestintäpalvelua saa muutoin käyttää ja minkälaisiin kohdeosoitteisiin viestintää ei saa harjoittaa.

Yhteisötilaajia on monenlaisia, ja niiden viestintäverkon ja palveluiden käyttö on moninaista. Luvaton käyttö ja sen merkittävyys yhteisötilaajalle määrittyy yhteisötilaajan omasta toiminnasta käsin.

Tietosuojan kehittäminen ja tunnistetietojen käsittelyn viimesijaisuus.

  Valiokunta korostaa, että ensisijainen keino viestintäverkon ja viestintäpalvelun käytön asianmukaisuuden turvaamisessa ovat tietoturvasta huolehtiminen sekä verkkojen ja palvelujen käyttäjille annetut ohjeet ja niiden noudattamisen automaattisesti tapahtuva seuranta. Ehdotetussa 13 b §:n 1 momentissa on lueteltu ne laajat toimenpiteet, joihin yhteisötilaajan on ryhdyttävä ennen tunnistamistietojen käsittelyn aloittamista. Näiden toteuttaminen voi valiokunnan saaman käsityksen mukaan merkittävästi nostaa tietoturvan tasoa maamme yrityksissä ja yhteisöissä. Asiantuntijakuulemisessa on tuotu esille EU:n komission julkaiseman tietosuojaa koskevan Eurobarometri-tutkimuksen tulos, jonka mukaan 23 % suomalaisista rekisterinpitäjistä (yhteisöt) ei ole edes kuullut tietoturvatekniikoista.

Työelämä- ja tasa-arvovaliokunta on lausunnossaan painottanut erityisesti, että työpaikoilla tulee käsitellä tietoturvatarpeita ja viestinnän pelisääntöjä mahdollisimman avoimesti yhteistoimintalainsäädännön tarkoittamalla tavalla yhdessä kaikkien niiden työntekijöiden kanssa, joita asia koskee. Laaja käsittely ja pelisääntöjen laatiminen yhdessä henkilöstön kanssa luovat hyvän pohjan sääntöjen tuntemiselle ja noudattamiselle, jolloin tarvetta väärinkäytösten selvittämiselle ei tule.

Sekä työnantajan että työntekijöiden kannalta on tärkeää avoimesti ja ennakkoluulottomasti keskustella ja pohtia, mitä hyötyjä ja haittoja on siitä, että työntekijä käyttää työnantajan antamia työvälineitä myös omien asioidensa hoitoon, ja sopia sitten sellaisista käyttöohjeista, jotka vastaavat juuri kyseisen yrityksen ja sen työntekijöiden tarpeita. Laki koskee samalla tavoin pieniä ja suuria yrityksiä ja kaikkia toimialoja. Tästä johtuen samat säännöt eivät sovellu kaikkiin tilanteisiin.

Liikenne- ja viestintävaliokunta pitää tärkeänä, että lainsäädännön sisällöstä tiedotetaan laajasti ja selkeästi eri toimijoiden taholta ja että korostetaan lakiesitykseen sisällytettyä tunnistamistietojen käsittelyn viimesijaisuutta.

Uudistuksen tekninen laajuus.

Esitetyllä uudistuksella sääntelyä ehdotetaan täsmennettäväksi siten, että yhteisötilaajalla olisi tietyin edellytyksin oikeus käsitellä sähköisen viestinnän tunnistamistietoja viestintäverkkonsa ja maksullisten tietoyhteiskunnan palvelujen luvattoman käytön ja viestintäpalvelujen ohjeen vastaisen käytön selvittämiseksi. Yhteisötilaaja voisi käsitellä tietyin edellytyksin tunnistamistietoja myös, kun kyse olisi elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien oikeudettomasta paljastamisesta. Käsittely tapahtuisi ensisijaisesti automaattisesti ennalta määriteltyjen tekijöiden perusteella.

Tunnistamistietojen käsittelyllä yhteisötilaaja ei saisi selville muiden kuin omien viestintäpalveluidensa kautta lähetettyjen ja vastaanotettujen viestien tunnistamistiedot. Kaupallisesti tarjolla olevien sähköposti-, verkkopankki- tai muiden teknisesti suojattujen palveluiden käytöstä tunnistamistiedot paljastaisivat vain käytetyn palvelun osoitteen, käytön ajankohdan ja keston. Kiinteän ja matkapuhelinverkon puheluihin, tekstiviesteihin ja muihin vastaaviin viesteihin liittyvät tunnistamistiedot on rajattu käsittelyoikeuden ulkopuolelle. Viestien sisältöä ei väärinkäytöstapauksissa saisi käsitellä lainkaan, eikä tunnistamistietoja saisi käsitellä lähdesuojan murtamiseksi.

Valiokunta toteaa, että nykylainsäädännön puitteissa voidaan jo laillisesti seurata suurelta osin käyttäjän toimia tietoverkossa. Yrityssalaisuuksien oikeudettoman paljastamisen selvittämisessä ovat käytettävissä tietohallinnolliset keinot, kuten käyttäjätietolokien tarkastaminen, pääsyä rajoittaviin järjestelmiin kirjautuvien tietojen tarkastaminen sekä järjestelmien teknisessä ylläpidossa kerätyt tiedot. Näistä tiedoista käy ilmi, kuka on tallentanut mitäkin tietoja, missä muodossa, koska ja mille tallenteelle, kuten kovalevylle tai siirrettävälle tallenteelle. Siirrettäviä tallenteita ovat esimerkiksi muistitikut ja cd-levyt. Myös aineiston muuta käsittelyä, kuten tulostamista, koskevat tiedot voidaan tallentaa. Näiden tietojen käsittelylle sähköisen viestinnän tietosuojalaissa ei aseteta rajoituksia. Eräillä työpaikoilla on käytössä jopa kameraseuranta.

Vaikutus työsuhteen jatkumiseen.

  Sähköisen viestinnän tietosuojalaki ei sääntele seuraamuksista yrityssalaisuuden vuodon tapauksissa. Se ei sääntele niitä seuraamuksia, jotka voivat seurata yrityssalaisuuden rikkomisesta — olivat ne työoikeudellisia tai rikosoikeudellisia — eikä myöskään tiedonsaajan vastuista asiassa.

Työ- tai virkasuhteen päättäminen tai varoitusmenettely määräytyisivät erikseen työ- ja virkaoikeudellisin perustein kokonaisharkinnan pohjalta. Muun muassa työntekijän henkilöön liittyvistä irtisanomisperusteista ja varoituksesta säädetään työsopimuslain 7 luvun 2 §:ssä ja purkuperusteista 8 luvun 1 §:ssä. Kokonaisharkinta merkitsee kussakin yksittäistapauksessa intressivertailua, jossa vastakkain asetetaan toisaalta irtisanomisperusteen täyttymistä puoltavat ja toisaalta sitä vastaan puhuvat seikat. Vertailussa huomioon otettavien tekijöiden painoarvo joudutaan arvioimaan kussakin tapauksessa valitsevat erityispiirteet huomioon ottavalla tavalla. Työnantajan on näytettävä toteen irtisanomisperusteet.

Valiokunta kiinnittää huomiota siihen, että keskeiset työnmarkkinakeskusjärjestöt kannattavat hallituksen esitystä. Asiantuntijakuulemisessa on tuotu esiin, että toimintatavat työpaikoilla tietosuoja-asioissa vaihtelevat ja esitys toteutuessaan selkeyttäisi nykyisin vallitsevaa epäselvää tilannetta. Ehdotukseen on pitkään kestäneen valmistelun myötä sisällytetty useita työntekijän oikeusturvaa varmistavia säännöskohtia. Lausunnoissa on pidetty keskeisenä sitä, että lakiesityksellä ei heikennetä työntekijän työsuhdeturvaa. Esitys ei aiheuta muutoksia työ- tai virkasuhteen päättämiseen, vaan ne ratkaistaan   edelleenkin   työ- ja   virkaoikeudellisten omien säännösten ja käytäntöjen mukaan.

Pakkokeinolain uudistaminen.

  Valiokunnan saaman selvityksen mukaan esitystä valmisteltaessa arvioitiin seikkaperäisesti mahdollisuutta antaa väärinkäytösten selvittäminen yksin poliisin tehtäväksi. Yhteisötilaajien määrän, vikatilanteiden ja väärinkäytösten moninaisuuden, järjestelmien erilaisuuden ja tehtävän vaatimien resurssien laajuuden vuoksi tätä vaihtoehtoa ei pidetty lainkaan toteuttamiskelpoisena.

Kyse on yhteisötilaajien omien viestintäjärjestelmien päivittäiseen ylläpitoon liittyvistä tehtävistä, joista kunkin yhteisötilaajan on välttämätöntä huolehtia itse. Samalla yhteisötilaaja pystyisi rajaamaan mahdollisen poliisille osoitettavan esitutkintapyynnön niin, ettei esitutkinta (ml. poliisin haltuun tutkinnan ajaksi siirrettävät tietokoneet ja palvelimet) vaarantaisi koko yrityksen toiminnan jatkuvuutta. Rikosten esitutkinnan suorittaisi poliisi.

Valiokunta yhtyy hallintovaliokunnan lausunnossa esitettyyn, että yhteisötilaajan suorittama tunnistamistietojen käsittely voi olla sallittua ainoastaan siinä laajuudessa, että yhteisötilaaja pystyy riittävällä tavalla yksilöimään poliisille osoitettavan rikosilmoituksen tai tutkintapyynnön. Valiokunta kuitenkin muistuttaa, että yrityssalaisuuksiin kohdistuvat rikokset ja luvaton käyttö ovat niin sanottuja asianomistajarikoksia, joten säännökset eivät voi edellyttää asian esitutkintaan saattamista.

Sisäasiainministeriö on lausunnossaan katsonut, että nyt säänneltäväksi ehdotetut yhteisötilaajan eräänlaiset oman toimintansa suojaamiseen liittyvät valvontaoikeudet sekä toisaalta poliisin toimintavaltuudet ja niiden taustalla olevat kriminalisoinnit on syytä pitää jo käsitteellisestikin selvästi erossa toisistaan, kuten esityksessä onkin pyritty tekemään.

Valiokunnan mielestä esityksellä ei näin siirrettäisi poliisin tehtäviä yrityksille, ja perustuslakivaliokunnan lausunto tukee tätä kantaa. Asiantuntijalausunnon mukaan, jos työntekijä lähettää työsähköpostistaan yrityssalaisuuksia ulos, työnantaja ei nykyisellään voi käsitellä hallussaan olevia sähköpostilokitietoja vuotajan selvittämiseksi. Toisaalta yrityssalaisuusrikoksen uhriksi joutunut yritys ei myöskään voi luovuttaa rikoksen selvittämiseksi tarvittavia todisteita poliisille, sillä yhteisötilaajana yritys on toiminut sivullisen sähköpostipalveluntarjoajan roolissa. Todisteet saadakseen poliisin tulisi hakea tuomioistuimesta televalvontalupa, mutta yrityssalaisuusrikoksessa televalvonnan edellytykset eivät täyty (pakkokeinolaki 450/1987 5 a luku). Saadakseen tuomioistuimesta televalvontaluvan poliisin tulisi myös pystyä yksilöimään tapahtuma. Kun yritys ei voi nykyisen lain mukaan käsitellä tunnistamistietoja ja siten yksilöidä tapahtumaa, ei poliisikaan voi toimittaa tuomioistuimelle vaadittua yksilöintiä.

Valiokunta pitää välttämättömänä, että tämän lakiesityksen esiin nostamat mahdolliset puutteet tai epäselvyydet poliisin toimintavaltuuksissa, esimerkiksi selvitettäessä yrityssalaisuuksiin liittyviä väärinkäytöksiä ja rikoksia, selvitetään pikaisesti ja tarvittaessa jo ennen pakkokeinolainsäädännön laajempia uudistuksia. Valiokunta ehdottaa asiasta lausumaa (Valiokunnan lausumaehdotus 2).

Valvontaresurssit.

Esitetty uudistus toisi tietosuojavaltuutetulle uuden työlään valvontatehtävän. Ehdotuksella lisättäisiin tietosuojavaltuutetun tehtäviin valvoa 13 a—13 k §:ssä tarkoitettua yhteisötilaajan tunnistamistietojen käsittelyä maksullisen tietoyhteiskunnan palvelun tai viestintäverkon luvattoman käytön taikka viestintäpalvelun ohjeen vastaisen käytön ja yrityssalaisuuksien oikeudettoman paljastamisen tilanteissa.

Tietosuojavaltuutetun tehtävänä on valvoa henkilötietolain mukaisesti henkilötietojen käsittelyä, ja työelämän tietosuojalakia valvovat työsuojeluviranomaiset yhdessä tietosuojavaltuutetun kanssa. Koska yksi suurimmista yhteisötilaajan ryhmistä on yritykset työnantajina, on johdonmukaista, että tietosuojavaltuutettu valvoo osin myös tämän lain noudattamista.

Tietosuojavaltuutetun toimistolle, jolla ei pienenä yksikkönä ole mahdollisuuksia sisäisin järjestelyin kohdentaa resursseja uuteen valvontatehtävään, ehdotuksen mukaisen valvonnan toteuttaminen edellyttää hallituksen esityksen mukaan kahden erityisasiantuntijan ja yhden toimistohenkilön ja näihin liittyvien lisämenojen, alustavasti arvioiden vuositasolla yhteensä 260 000 euron vuotuista määrärahalisäystä.

Valvonnasta aiheutuvista toimenpiteistä voidaan periä maksu yhteisötilaajalta. Maksullisista toimenpiteistä ja maksun suuruudesta päätettäisiin oikeusministeriön asetuksella valtion maksuperustelaissa (150/1992) säädettyjen perusteiden mukaisesti. Maksuvelvollisuuden tulee olla oikeassa suhteessa valvottavan kokoon ja toiminnan luonteeseen.

Liikenne- ja viestintävaliokunta pitää välttämättömänä, että tietosuojavaltuutetun toimiston resursseja lisätään vastaamaan tästä lainuudistuksesta aiheutuvia uusia tehtäviä. Valvonnan korkea taso ja valvontaresurssien riittävyys on eräs uudistuksen hyväksyttävyyden keskeisiä ehtoja.

Yksityiskohtaiset perustelut

1. lakiehdotus

Johtolause.

Valiokunta on alla lisännyt lakiin 13 e §:n, minkä vuoksi johtolausetta muutetaan vastaavasti.

13 a §. Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa.

  Perustuslakivaliokunnan lausuntoon viitaten valiokunta on lisännyt pykälän 1 momenttiin viittauksen rikoslain 30 luvun 11 §:ään ja muuttanut momentissa olevaa pykäläviittausta vastaamaan muita ehdotettuja muutoksia. Valiokunta on myös korjannut kielellisesti 1 ja 2 momentin sanamuotoa.

Valiokunta on lisännyt 1 momenttiin sanan ehkäisemiseksi sanan selvittämiseksi lisäksi. Automaattinen käsittely on tarkoitettu jatkuvaksi toiminnaksi, joka voidaan ottaa käyttöön, kun sille asetetut edellytykset täyttyvät. Automaattisessa hakutoiminnossa havaittu poikkeama on yksi tapa, jolla yrityssalaisuuden paljastamisen selvittäminen manuaalisesti voi alkaa.

Valiokunta on perustuslakivaliokunnan lausuntoon viitaten täsmentänyt pykälän 2 momenttia koskien siinä tarkoitettua luvatonta tai ohjeen vastaista käyttöä. Momentin esimerkkiluetteloon on lisätty pääsyn avaaminen sivulliselle oikeudettomasti yhteisötilaajan viestintäverkkoon tai viestintäpalveluun.

13 b §. Yhteisötilaajan huolehtimisvelvollisuus väärinkäytöstapauksissa.

Valiokunta on täsmentänyt pykälän 1 momenttia 13 a §:n 1 ja 2 momenteissa tehdyllä vastaavalla kielellisellä korjauksella.

Perustuslakivaliokunnan lausuntoon viitaten valiokunta on täsmentänyt pykälän 2 momenttia tarkentamalla sen 1 kohtaa siten, että siinä mainitaan selkeästi velvoite viestintäverkon ja viestintäpalvelun käytön ja tietojen suojaamiseen asianmukaisin tietoturvallisuustoimenpitein.

13 c §. Yhteisötilaajan suunnittelu- ja yhteistoimintavelvoite väärinkäytöstapauksissa.

  Valiokunta on korjannut pykälän 2 momentin 1 kohdan ja 4 momentin pykäläviittaukset vastaamaan ehdotettuja muita muutoksia.

13 d §. Yhteisötilaajan käsittelyoikeuden edellytykset väärinkäytöstapauksissa.

  Perustuslakivaliokunnan lausuntoon viitaten valiokunta on jakanut pykälän kahteen osaan siten, että 13 d §:ssä säännellään yhteisötilaajan käsittelyoikeus maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön selvittämiseksi ja uudessa 13 e §:ssä yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi. Uuteen pykälään on koottu 2 momentin lause yrityssalaisuuden luvattomasta antamisesta ulkopuoliselle, 2 momentin 4 kohta, 2 momentin 5 kohdan lause ulkopuoliselle luvattomasti annetusta yrityssalaisuudesta, 3 momentin 2 kohta sekä 4 momentin lause väärinkäytöksen ja siitä vastuussa olevien selvittämisestä.

Valiokunta on tehnyt vastaavat muutokset pykälän otsikkoon ja täsmentänyt 2 momentin uuden 4 kohdan (ent. 5 kohta) sanamuotoa.

13 e §. Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi (Uusi).

Perustuslakivaliokunnan lausuntoon viitaten valiokunta on laatinut 13 d §:n rakennetta toistavan uuden 13 e §:n, johon on koottu yhteisötilaajalle yrityssalaisuuksien paljastamisen selvittämiseksi annetun käsittelyoikeuden sääntely.

Valiokunta on lisännyt pykälän 2 momenttiin vaatimuksen, että tunnistamistietojen manuaalinen käsittely on mahdollista momentissa mainituissa tapauksissa vain, jos on myös olemassa perusteltu syy epäillä, että yrityssalaisuuksia on luovutettu nimenomaan viestintäverkon välityksellä. Valiokunta on tehnyt 2 momentin 3 kohtaan vastaavan kielellisen täsmennyksen kuin 13 d §:n 2 momentin uuteen 4 kohtaan.

13 f §. Käsittelyoikeuden erityiset rajoitukset väärinkäytöstapauksissa.

Valiokunta on muuttanut pykälän numeron vastaamaan aiempia muutoksia.

13 g §. Yhteisötilaajan tiedonantovelvollisuus käyttäjälle väärinkäytöstapauksissa.

Valiokunta on muuttanut pykälän numeron ja 1 ja 2 momentin pykäläviittaukset vastaamaan aiempia muutoksia.

13 h §. Yhteisötilaajan tiedonantovelvollisuus työntekijöiden edustajalle väärinkäytöstapauksissa.

Valiokunta on muuttanut pykälän numeron ja 1 momentin pykäläviittauksen vastaamaan aiempia muutoksia.

13 i §. Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa.

Valiokunta on muuttanut pykälän numeron ja 1 momentin pykäläviittauksen vastaamaan aiempia muutoksia.

13 j §. Yhteisötilaajan oikeus säilyttää tunnistamistietoja väärinkäytöstapauksissa.

Valiokunta on muuttanut pykälän numeron ja pykäläviittauksen vastaamaan aiempia muutoksia.

13 k §. Yhteisötilaajan oikeus tietojen luovuttamiseen väärinkäytöstapauksissa.

Valiokunta on tarkistanut pykälän numeron ja pykäläviittauksen vastaamaan aiempia muutoksia.

32 §. Tietosuojavaltuutetun tehtävät.

  Valiokunta on tarkistanut 1 momentin 1 kohdan pykäläviittauksen vastaamaan aiempia muutoksia.

34 §. Valvontaviranomaisten vaitiolovelvollisuus.

Valiokunta on tarkistanut 1 momentin pykäläviittauksen vastaamaan aiempia muutoksia.

42 §. Rangaistussäännökset.

Valiokunta on tarkistanut 1 momentin ja 2 momentin 9 kohdan pykäläviittaukset vastaamaan aiempia muutoksia.

2. lakiehdotus

2 §. Soveltamisala.

Valiokunta on muuttanut ehdotetun 3 momentin sanamuodon vastaamaan 1. lakiehdotuksen 13 a §:ssä tehtyä muutosta.

Päätösehdotus

Edellä esitetyn perusteella liikenne- ja viestintävaliokunta ehdottaa,

että 3. ja 4. lakiehdotus hyväksytään muuttamattomina,

että 1. ja 2. lakiehdotus hyväksytään muutettuina (Valiokunnan muutosehdotukset) ja

että hyväksytään kaksi lausumaa (Valiokunnan lausumaehdotukset).

Valiokunnan muutosehdotukset

1.

Laki

sähköisen viestinnän tietosuojalain muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan 16 päivänä kesäkuuta 2004 annetun sähköisen viestinnän tietosuojalain (516/2004) 9, 12—14, 20 ja 32 §, 33 §:n 3 momentin johdantokappale, 34 § ja 42 § sekä

lisätään lakiin uusi 12 a, 13 a—13 k ja 34 a § seuraavasti:

9—13 §

(Kuten HE)

13 a §

Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa

Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön taikka rikoslain (39/1889) 30 luvun 11 §:n tarkoittaman yrityssalaisuuksien paljastamisen ehkäisemiseksi ja selvittämiseksi siten kuin 13 b—13 k §:ssä säädetään.

Viestintäverkon tai viestintäpalvelun luvatonta käyttöä voi olla laitteen, ohjelman tai palvelun asentaminen yhteisötilaajan viestintäverkkoon, sivulliselle oikeudettomasti pääsyn avaaminen yhteisötilaajan viestintäverkkoon tai viestintäpalveluun taikka muu näihin rinnastuva viestintäverkon tai viestintäpalvelun käyttö, jos se on käytöstä laadittujen 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaista.

(3 mom. kuten HE)

13 b §

Yhteisötilaajan huolehtimisvelvollisuus väärinkäytöstapauksissa

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön ehkäisemiseksi:

(1 ja 2 kohdat kuten HE)

Yhteisötilaajan on ennen tunnistamistietojen käsittelyn aloittamista yrityssalaisuuksien paljastamisen ehkäisemiseksi:

1) rajoitettava pääsyä yrityssalaisuuksiin ja ryhdyttävä muihin toimenpiteisiin viestintäverkkonsa ja viestintäpalvelunsa käytön ja tietojen suojaamiseksi asianmukaisin tietoturvallisuustoimenpitein; ja

(2 kohta kuten HE)

(3 mom. kuten HE)

13 c §

Yhteisötilaajan suunnittelu- ja yhteistoimintavelvoite väärinkäytöstapauksissa

(1 mom. kuten HE)

Jos yhteisötilaaja on yhteistoimintalainsäädännön piiriin kuuluva työnantaja, on hänen:

1) käsiteltävä 13 a—13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt yhteistoiminnasta yrityksissä annetun lain (334/2007) 4 luvussa, yhteistoiminnasta valtion virastoissa ja laitoksissa annetussa laissa (651/1988) ja työnantajan ja henkilöstön välisestä yhteistoiminnasta kunnissa annetussa laissa (449/2007) tarkoitetussa yhteistoimintamenettelyssä; ja

(2 kohta kuten HE)

(3 mom. kuten HE)

Jos yhteisötilaaja ei ole työnantaja, on yhteisötilaajan tiedotettava käyttäjille 13 a—13 k §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavista menettelyistä ja käytännöistä.

13 d §

Yhteisötilaajan käsittelyoikeus maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön selvittämiseksi

(1 mom. kuten HE)

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.) ja jos:

(1—3 kohta kuten HE)

(4 kohta poist.)

4) (poist.) yksittäistapauksessa muusta 1—3 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että viestintäverkkoa, viestintäpalvelua tai maksullista tietoyhteiskunnan palvelua käytetään 13 b §:n 3 momentissa tarkoitettujen ohjeiden vastaisesti (poist.).

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että (poist.) tapahtuma tai teko todennäköisesti aiheuttaa yhteisötilaajalle merkittävää haittaa tai vahinkoa (poist.).

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä luvattoman käytön ja siitä vastuussa olevien selvittämiseksi sekä luvattoman (poist.) käytön lopettamiseksi.

13 e § (Uusi)

Yhteisötilaajan käsittelyoikeus yrityssalaisuuksien paljastamisen selvittämiseksi

Yhteisötilaaja saa käsitellä tunnistamistietoja automaattisen hakutoiminnon avulla, joka voi perustua viestien kokoon, yhteenlaskettuun kokoon, tyyppiin, määrään, yhteystapaan tai kohdeosoitteisiin.

Yhteisötilaaja saa käsitellä tunnistamistietoja manuaalisesti, jos on perusteltu syy epäillä, että yrityssalaisuus on viestintäverkkoa tai viestintäpalvelua käyttämällä luvattomasti annettu ulkopuoliselle, ja jos:

1) automaattisen hakutoiminnon avulla on havaittu viestinnässä poikkeama;

2) yrityssalaisuus julkaistaan tai sitä käytetään luvatta; taikka

3) yksittäistapauksessa muusta 1 tai 2 kohtaan rinnastuvasta, yleisesti havaittavissa olevasta seikasta voidaan päätellä, että yrityssalaisuus on luvattomasti annettu ulkopuoliselle.

Edellä 1 ja 2 momentissa tarkoitetun käsittelyn edellytyksenä on, että epäilty yrityssalaisuuden paljastaminen kohdistuu yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin taikka teknologisen tai muun kehittämistyön tuloksiin, jotka todennäköisesti ovat merkittäviä elinkeinotoiminnan käynnistämisen tai sen harjoittamisen kannalta.

Edellä 2 momentissa tarkoitetun käsittelyn edellytyksenä on lisäksi, että tiedot ovat välttämättömiä yrityssalaisuuden paljastamisen ja siitä vastuussa olevien selvittämiseksi.

13 f (e) §

(Kuten HE)

13 g (f) §

Yhteisötilaajan tiedonantovelvollisuus käyttäjälle väärinkäytöstapauksissa

Yhteisötilaajan on laadittava 13 d §:n (poist.) 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta manuaalisesta tunnistamistietojen käsittelystä selvitys, josta käy ilmi:

(1—4 kohta kuten HE)

Käsittelyyn osallistuneiden henkilöiden on allekirjoitettava selvitys. Selvitys on säilytettävä vähintään kaksi vuotta 13 d §:ssä tai 13 e §:ssä tarkoitetun käsittelyn päättymisestä.

(3 mom. kuten HE)

13 h (g) §

Yhteisötilaajan tiedonantovelvollisuus työntekijöiden edustajalle väärinkäytöstapauksissa

Jos yhteisötilaaja on työnantaja, sen on annettava työntekijöiden edustajalle vuosittain 13 d §:n 2 momentissa ja 13 e §:n 2 momentissa tarkoitetusta tunnistamistietojen manuaalisesta käsittelystä selvitys, josta on käytävä ilmi, millä perusteella ja kuinka monta kertaa tunnistamistietoja on vuoden aikana käsitelty.

(2 ja 3 mom. kuten HE)

13 i (h) §

Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa

Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:

1) 13 d ja 13 e §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt;

(2 ja 3 kohta kuten HE)

(2 mom. kuten HE)

13 j (i) §

Yhteisötilaajan oikeus säilyttää tunnistamistietoja väärinkäytöstapauksissa

Mitä edellä 13 a—13 i §:ssä säädetään, ei oikeuta yhteisötilaajaa säilyttämään tunnistamistietoja rekisterissä kauempaa kuin lain mukaan muutoin on sallittua.

13 k (j) §

Yhteisötilaajan oikeus tietojen luovuttamiseen väärinkäytöstapauksissa

Sen estämättä, mitä 8 §:n 3 momentissa säädetään, yhteisötilaajalla on oikeus luovuttaa asianomistajana tekemänsä rikosilmoituksen tai tutkintapyynnön yhteydessä poliisille käsiteltäviksi 13 a—13 j §:n mukaisesti saamansa yhteisötilaajan viestintäverkon tai viestintäpalvelun käyttäjän viestejä koskevat tunnistamistiedot.

14 ja 20 §

(Kuten HE)

32 §

Tietosuojavaltuutetun tehtävät

Tietosuojavaltuutetun tehtävänä on valvoa:

1) 13 a—13 k §:ssä tarkoitettua yhteisötilaajan tunnistamistietojen käsittelyä;

(2—5 kohta kuten HE)

(2 mom. kuten HE)

33 §

(Kuten HE)

34 §

Valvontaviranomaisten vaitiolovelvollisuus

Viestintäviraston ja tietosuojavaltuutetun 33 §:n 3 momentin nojalla saamat tiedot luottamuksellisista viesteistä, tunnistamistiedoista ja paikkatiedoista sekä tietosuojavaltuutetun 13 i §:n nojalla saamat tiedot on pidettävä salassa.

(2 mom. kuten HE)

34 a §

(Kuten HE)

42 §

Rangaistussäännökset

Rangaistus viestintäsalaisuuden loukkaamisesta ja törkeästä viestintäsalaisuuden loukkaamisesta säädetään rikoslain 38 luvun 3 ja 4 §:ssä sekä rangaistus tietomurrosta rikoslain 38 luvun 8 §:ssä. Rangaistus 5 §:ssä säädetyn vaitiolovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 1 tai 2 §:n mukaan, jollei teko ole rangaistava rikoslain 40 luvun 5 §:n mukaan tai siitä muualla säädetä ankarampaa rangaistusta. Rangaistus 13 h §:n 3 momentissa säädetyn salassapitovelvollisuuden rikkomisesta tuomitaan rikoslain 38 luvun 2 §:n 2 momentin mukaan, jollei teosta muualla kuin rikoslain 38 luvun 1 §:ssä säädetä ankarampaa rangaistusta.

Joka tahallaan

(1—8 kohta kuten HE)

9) laiminlyö, mitä 13 g—13 i §:ssä säädetään selvityksen tai ennakkoilmoituksen laatimisesta ja antamisesta käyttäjälle, työntekijöiden edustajalle tai tietosuojavaltuutetulle

on tuomittava sähköisen viestinnän tietosuojarikkomuksesta sakkoon, jollei teosta muualla laissa säädetä ankarampaa rangaistusta.

(3 mom. kuten HE)

_______________

Voimaantulosäännös

(Kuten HE)

_______________

2.

Laki

yksityisyyden suojasta työelämässä annetun lain 2 ja 21 §:n muuttamisesta

Eduskunnan päätöksen mukaisesti

muutetaan yksityisyyden suojasta työelämässä 13 päivänä elokuuta 2004 annetun lain (759/2004) 2 §:n 3 momentti ja 21 §:n 1 momentti, sellaisena kuin niistä viimeksi mainittu on laissa 457/2007, seuraavasti:

2 §

Soveltamisala

- - - - - - - - - - - - - - - - - - -

Työnantajan oikeudesta tilaajana saada maksuvelvollisuuden selvittämiseksi työntekijän käyttöön annettua liittymää koskevat tunnistamistiedot ja oikeudesta käsitellä työntekijän sähköisen viestinnän tunnistamistietoja viestintäverkon tai viestintäpalvelun luvattoman käytön (poist.) tilanteissa ja yrityssalaisuuksien suojaamiseksi säädetään sähköisen viestinnän tietosuojalaissa (516/2004). Mitä mainitussa laissa säädetään paikkatietopalvelun käyttäjästä, sovelletaan työntekijään, jonka käyttöön työnantaja antaa paikkatietopalvelun. Henkilötietojen käsittelyyn sovelletaan henkilötietolakia (523/1999), jollei tässä laissa toisin säädetä.

- - - - - - - - - - - - - - - - - - -

21 §

(Kuten HE)

_______________

Voimaantulosäännös

(Kuten HE)

_______________

Valiokunnan lausumaehdotukset

1.

Eduskunta edellyttää, että tämän lainuudistuksen tavoitteiden toteutumista ja sen soveltamista, mm. yhteisötilaajien toimesta, seurataan ja arvioidaan kattavasti. Liikenne- ja viestintäministeriön on annettava liikenne- ja viestintävaliokunnalle asiasta selvitys vuoden 2010 loppuun mennessä.

2.

Eduskunta edellyttää, että tämän lakiesityksen esiin nostamat mahdolliset puutteet tai epäselvyydet poliisin toimintavaltuuksissa, esimerkiksi selvitettäessä yrityssalaisuuksiin liittyviä väärinkäytöksiä ja rikoksia, selvitetään pikaisesti ja tarvittaessa jo ennen pakkokeinolainsäädännön laajempaa uudistusta.

Helsingissä 12 päivänä joulukuuta 2008

Asian ratkaisevaan käsittelyyn valiokunnassa ovat ottaneet osaa

  • pj. Martti Korhonen /vas
  • vpj. Saara Karhu /sd
  • jäs. Mikko Alatalo /kesk
  • Leena Harkimo /kok
  • Lauri Kähkönen /sd
  • Mats Nylund /r
  • Reijo Paajanen /kok
  • Markku Pakkanen /kesk
  • Lyly Rajala /kok
  • Tero Rönni /sd
  • Janne Seurujärvi /kesk
  • Johanna Sumuvuori /vihr
  • Anne-Mari Virolainen /kok
  • vjäs. Pentti Tiusanen /vas
  • Mirja Vehkaperä /kesk
  • Henna Virkkunen /kok (osittain)

Valiokunnan sihteerinä on toiminut

valiokuntaneuvos Kaj Laine

VASTALAUSE 1

Perustelut

Sähköisten viestintävälineiden väärinkäyttö, esimerkiksi yrityssalaisuuksien vuotamiseen, on nykyisessä tietoyhteiskunnassa todellinen ongelma, johon pitää pyrkiä löytämään ratkaisuja. Väärinkäytösten ehkäisyssä ja selvittämisessä tulee kuitenkin mahdollisimman vähän puuttua keskeisinä perusoikeuksina pidettäviin yksityisyyden suojaan ja luottamuksellisen viestinnän suojaan. Valiokuntakäsittelyn jälkeenkään esitetty lakiuudistus ei tältä osin ole riittävän tarkkarajainen.

Perusoikeuksiin puututtaessa on tarkoin arvioitava saavutettavia hyötyjä suhteessa perusoikeuksien kaventamiseen. Lakiesityksen perusteluista ei käy ilmi, mitkä hyödyt puoltaisivat yhteisötilaajan oikeutta käsitellä tunnistamistietoja "maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön" tapauksissa suhteessa siihen perusoikeuksien kaventumiseen, jonka tällainen oikeus aiheuttaa. Lakiesityksen seurauksena aukeaa ainakin periaatteessa mahdollisuus, että tiettyjen ehtojen täyttyessä esimerkiksi taloyh-tiössä, kirjastoissa ja oppilaitoksissa voidaan lain perusteella käsitellä tunnistetietoja. Muun muassa se, että tietosuojavaltuutettu voi periä yhteisötilaajalta maksun valvonnasta aiheutuvista toimenpiteistä, saattaa tosin nostaa kynnystä valvonnan laajempaan käyttöön.

Näin ollen on perusteltua vähintäänkin rajata lakia siten, että yhteisötilaajalle annettaisiin oikeus käsitellä viestien tunnistetietoja vain ja ainoastaan yrityssalaisuuksien vuotamistapausten selvittämiseksi. Kuten perustuslakivaliokunnan lausunnon perusteella lakiin lisättiin, yrityssalaisuuksien paljastumisen on tällöin kohdistuttava rikoslain (39/1889) 30 luvun 11 §:n tarkoittamiin tietoihin ja edelleen kohdistuttava lakiesityksen 13 e §:n mukaisesti yhteisötilaajan tai sen yhteistyökumppanin elinkeinotoiminnan kannalta keskeisiin yrityssalaisuuksiin, jotka ovat merkittäviä elinkeinotoiminnan kannalta. Yhteisötilaajan oikeus käsitellä tunnistetietoja "maksullisen tietoyhteiskunnan palvelun, viestintäverkon tai viestintäpalvelun luvattoman käytön" selvittämiseksi siis poistettaisiin.

Näin rajattunakin on syytä epäillä lain toimivuutta käytännössä. On varsin epätodennäköistä, että koulutetut asiantuntijat vuotaisivat yrityssalaisuuksia työsähköpostistaan, kun käytettävissä on myös verkkopohjaisten sähköpostipalveluiden, usb-muistitikkujen ja polttavien cd-asemien kaltaisia keinoja tiedon kopioimiseksi ja eteenpäin toimittamiseksi. On myös aihetta epäillä, riittävätkö pelkät tunnistetiedot esitutkintakynnyksen ylittymiseen.

Yrityssalaisuuksien suojaaminen voitaisiin hoitaa lisäämällä poliisin toimivaltuuksia pakkokeinolain uudistuksen yhteydessä, jolloin tunnistetietojen käsittely olisi selkeämmin laillisuusvalvonnan piirissä.

Ehdotus

Edellä olevan perusteella ehdotan,

että valiokunnan mietintöön sisältyvät lakiehdotukset hyväksytään muutoin valiokunnan mietinnön mukaisina paitsi 1. lakiehdotuksen 13 a §, 13 b §, 13 c § ja 13 i § muutettuina ja 13 d § poistettuna sekä 2. lakiehdotuksen 2 §:n 3 momentti muutettuna.

Vastalauseen muutosehdotukset
1. lakiehdotus
13 a §

Yhteisötilaajan käsittelyoikeus väärinkäytöstapauksissa

Yhteisötilaajalla on oikeus käsitellä tunnistamistietoja (poist.) rikoslain (39/1889) 30 luvun 11 §:n tarkoittaman yrityssalaisuuksien paljastamisen selvittämiseksi siten kuin 13 b—13 k §:ssä säädetään.

(2 mom. poist.)

Edellä 1 momentissa tarkoitettu oikeus ei koske kiinteän tai matkapuhelinverkon puhelinpalvelujen taikka internet-puheluiden tunnistamistietoja.

13 b §

Yhteisötilaajan huolehtimisvelvollisuus väärinkäytöstapauksissa

(1 mom. poist.)

(2 mom. kuten LiVM)

Yhteisötilaajan on edellä tarkoitettujen väärinkäytösten ehkäisemiseksi annettava kirjalliset ohjeet viestintäverkon tai viestintäpalvelun käyttäjälle.

13 c §

Yhteisötilaajan suunnittelu- ja yhteistoimintavelvoite väärinkäytöstapauksissa

(1—3 mom. kuten LiVM)

(4 mom. poist.)

13 d §

(Poist.)

13 i §

Ennakkoilmoitus ja vuosittainen selvitys tietosuojavaltuutetulle väärinkäytöstapauksissa

Yhteisötilaajan on ilmoitettava ennalta tietosuojavaltuutetulle tunnistamistietojen käsittelyn aloittamisesta. Ennakkoilmoituksesta on käytävä ilmi:

1) (poist.) 13 e §:ssä tarkoitetussa tunnistamistietojen käsittelyssä noudatettavien menettelyjen perusteet ja käytännöt;

(2 ja 3 kohta kuten LiVM)

(2 mom. kuten LiVM)

_______________

2. lakiehdotus
2 §

Soveltamisala

- - - - - - - - - - - - - - - - - - -

Työnantajan oikeudesta tilaajana saada maksuvelvollisuuden selvittämiseksi työntekijän käyttöön annettua liittymää koskevat tunnistamistiedot ja oikeudesta käsitellä työntekijän sähköisen viestinnän tunnistamistietoja (poist.) yrityssalaisuuksien suojaamiseksi säädetään sähköisen viestinnän tietosuojalaissa (516/2004). Mitä mainitussa laissa säädetään paikkatietopalvelun käyttäjästä, sovelletaan työntekijään, jonka käyttöön työnantaja antaa paikkatietopalvelun. Henkilötietojen käsittelyyn sovelletaan henkilötietolakia (523/1999), jollei tässä laissa toisin säädetä.

- - - - - - - - - - - - - - - - - - -

_______________

Helsingissä 12 päivänä joulukuuta 2008

  • Johanna Sumuvuori /vihr

VASTALAUSE 2

Perustelut

Hallituksen esityksessä työnantaja ja muu yhteisötilaaja saisi oikeuden tarkkailla ja käsitellä työntekijöiden sähköpostiliikenteen tunnistamistietoja epäillessään, että työntekijä on paljastanut tai aikoo paljastaa yrityssalaisuuksia sähköpostissa. Asiaan liittyvässä keskustelussa on jäänyt liian vähäiselle huomiolle, että yhteisötilaajan käsite on laaja. Yritysten lisäksi sähköpostiliikenteen tarkkailuoikeus annettaisiin tietyissä tilanteissa yliopistoille, virastoille, kirjastoille ja jopa taloyhtiöille, joilla on oma viestintäverkko.

Vähäiselle huomiolle on jäänyt myös se, että laki koskee lisäksi kaikkea ip-pohjaista liikennettä, kuten nettipuheluita ja pikaviestipalveluja, mikä laajentaa sen soveltamisaluetta. Nykyinen lainsäädäntö on koettu epämääräiseksi ja tulkinnanvaraiseksi. Ongelmaksi on koettu myös se, ettei viranomaisiltakaan saa tarvittaessa apua. Ehdotetulla muutoksella on haettu tilanteen selkiyttämistä.

Tietoturvallisuuden parantamiseen tähtääminen on myönteistä. Erittäin tärkeää on myös hakea välineitä yrityssalaisuuden suojaamiseen. Jokaisella yrityksellä on oltava oikeus työnsä tuloksiin ja yritykseen kertyneeseen aineelliseen ja aineettomaan pääomaan. Rikollisuus ja yritysvakoilu eivät ole missään nimessä hyväksyttäviä. Yritykset ovat kokeneet, että nykyisessä tietoturvaa koskevassa lainsäädännössä on sähköpostin mentävä aukko. Tämä laki ei mielestämme kuitenkaan ratkaise ongelmaa, sillä vilpillisellä on monia eri keinoja käytössään.

Lain lähtökohta on myös ongelmallinen, sillä rikosepäilyksen syntyessä kyseessä on mielestämme poliisiasia, jonka ratkaisemiseksi poliisilla pitää olla riittävät resurssit ja toimivaltuudet. Tällä hetkellä poliisi tarvitsee tunnistetietoja tarkkaillakseen oikeuden myöntämän luvan. Hallituksen esitys antaisi yhteisötilaajalle siis poikkeuksellisia valtuuksia kevyemmin kuin poliisille.

Kun vielä niin sanottu merkittävän haitan käsite jää liiaksi yhteisötilaajan oman arvion varaan, on yhteisötilaajalla varsin laajat oikeudet toimia ja tarkkailla verkkoa, kunhan lain vaatimat perusedellytykset täytetään. Perusteltua onkin kysyä, kuka valvoo valvojaa? Esitys avaa uusia epätarkkuuksia lainsäädäntöön ja mahdollisuuden toimivaltuuksien väärinkäyttöön. Tietosuojavaltuutetun mahdollisuudet valvoa uutta lainsäädäntöä ovat rajalliset.

Työmarkkinajärjestöt ovat hallituksen esityksen hyväksyneet ja sopineet pelisäännöt yhteistoimintamenettelyssään. Työnantajalla ja työntekijällä on muista yhteisötilaajista poikkeava erityissuhde. Näillä yhteisillä pelisäännöillä on voitava myös sopia työpaikalla työnantajan tarjoamassa verkossa tapahtuvan sähköpostiliikenteen tunnistamistietojen tarkkailusta, työntekijöiden luottamuksellisten viestien salaisuuden suojan kärsimättä.

Mielestämme esitys olisi tullut rajata koskemaan vain työnantajan työpaikalla tarjoamaa sähköpostiyhteyttä. Sen sijaan muiden yhteisötilaajien ottaminen mukaan esitetyn lain piiriin ei ole perusteltua ja vaatisi tietoturvankin osalta uuden, huolellisemman valmistelun.

Liikenne- ja viestintävaliokunta ei ole kuitenkaan katsonut mahdolliseksi rajata yhteisötilaajia eri ryhmiin. Valiokunnan käsittelyssä on ilmennyt, että lakiesitys ja sen sisältämät käsitteet jäävät epäselviksi. Tässä muodossa lakiesitystä ei voida hyväksyä, vaan aiheellista on valmistella laki uudelleen. Lopputuloksena pitää olla selkeämpi ja ymmärrettävä laki, jossa keskeiset käsitteet olisivat tarkkarajaisia, mikä osaltaan helpottaisi lain oikeaa soveltamista.

Ehdotus

Edellä olevan perusteella ehdotamme,

että lakiehdotukset hylätään ja

että hyväksytään yksi lausuma (Vastalauseen lausumaehdotus).

Vastalauseen lausumaehdotus

Eduskunta edellyttää, että hallitus valmistelee selkeät yrityssalaisuuden suojelua tarkoittavat säännökset rajaten ne koskemaan vain työnantajan työpaikalla tarjoamaa sähköpostiyhteyttä työmarkkinajärjestöjen yhteisesti hyväksymien periaatteiden pohjalta.

Helsingissä 12 päivänä joulukuuta 2008

  • Saara Karhu /sd
  • Lauri Kähkönen /sd
  • Tero Rönni /sd

VASTALAUSE 3

Perustelut

Sähköistä viestintää ja sen valvontaa koskevan lainsäädännön uudistamistarve on selkeä. Voimassa olevan lain säädökset tunnistamistietojen käsittelystä ovat ylimalkaisia ja aiheuttavat tulkintaongelmia. Sähköpostiliikenne on muodostanut harmaan alueen, jota ei ole voitu tutkia työnantajayrityksen tai viranomaisen, esimerkiksi poliisin, toimesta edes niissä tilanteissa, kun on ollut aihetta epäillä yrityssalaisuuden vuotamista. Jokaisella yrityksellä on oikeus työnsä tuloksiin ja yritykseen kertyneeseen aineelliseen ja aineettomaan pääomaan. Sen suojaaminen väärinkäytöksiltä on joissain tilanteissa ollut kuitenkin hankalaa.

Hallituksen esitys toteutuessaan antaa mahdollisuuden torjua tunnistamistietoja käsittelemällä viestintäverkon luvatonta ja viestintäpalveluiden ohjeiden vastaista käyttöä. Samoin se antaa mahdollisuuden estää elinkeinotoiminnan kannalta keskeisten yrityssalaisuuksien luvatonta paljastamista, silloin kun välineenä käytetään sähköistä viestintää.

Tarkkailuoikeus annettaisiin myös yliopistoille, virastoille, kirjastoille ja jopa taloyhtiöille, joilla on oma viestintäverkko. Sähköpostin lisäksi tarkkailuoikeus koskisi ip-liikennettä, kuten nettipuheluita ja pikaviestipalveluja. Lakiesityksen mukaan työnantaja saisi oikeuden tarkkailla ja käsitellä työntekijöiden sähköpostiliikenteen tunnistamistietoja. Automatisoitu tarkkailu ei edellyttäisi epäilyä, että yrityssalaisuuksia olisi paljastettu.

Jo hallituksen esityksen tekstiasu ja käsitteistö antavat hyvän kuvan siitä, että sähköinen viestintä teknisesti ja siihen liittyvä juridinen sääntely työpaikoilla, joilla eri osapuolten oikeudet ja velvollisuudet ovat vahvat, on äärimmäisen herkkää aluetta.

Käsittääksemme hallituksen esitys lähtee hyvin pitkälle yritysten tarpeista. Vaikka ne olisivatkin sinällään perusteltuja, on syytä miettiä, olisiko samaan tavoitteeseen päästy toista kautta vaarantamatta yksityisyyden suojaa tilanteessa, jossa käytettävä teknologia ja järjestelmät sekä työelämä sinällään muuttuvat hyvin nopeasti. Peruskysymykseen "kuka valvoo valvojaa" ei saatu asiantuntijakuulemisen aikana tyhjentävää vastausta. Esimerkiksi tietosuojavaltuutetun toimiston resurssit ovat hyvin niukat.

Oikeuskansleri ja perustuslakivaliokunnan lukuisat asiantuntijat ovat suhtautuneet hyvin kriittisesti puheena olevaan lakiehdotukseen. Heidän mielestään laki toteutuessaan heikentää tarpeettomasti perusoikeuksia ja antaa yhteisötilaajille eli työnantajille liian suuret toimivaltuudet. Kyse olisi merkittävien, poliisia suurempien, pakkokeinojen myöntämisestä yksityiselle taholle ilman lupamenettelyä.

Nyt esitetylle sähköisen viestinnän tietosuojalaille ja eräiden siihen liittyvien lakien muuttamiselle olisi ollut kaksi vaihtoehtoista etenemistietä, jotka eivät olisi aiheuttaneet niin suuria epäilyjä ja uhkia yksityisyyden vaarantumiselle kuin nyt tapahtuu. Ensinnäkin, työelämän käytäntöjen kannalta parempi ratkaisu olisi ollut, että yksityisyyden suojasta työelämässä annettuun lakiin olisi otettu asianmukaiset ja tarkemmat säännökset työnantajan oikeudesta käsitellä työntekijän viestien tunnistamistietoja. Toinen vaihtoehto olisi ollut lisätä ja tarkentaa poliisin valtuuksia niin, että se voisi näissä tilanteissa käsitellä tunnistamistietoja.

Ehdotus

Edellä olevan perusteella ehdotamme,

että lakiehdotukset hylätään.

Helsingissä 12 päivänä joulukuuta 2008

  • Pentti Tiusanen /vas
  • Martti Korhonen /vas